Mit der Sicherheitslückenbewertung für Google Cloud können Sie Software-Sicherheitslücken in Google Cloud Ressourcen erkennen, ohne Agents installieren zu müssen. Die Arten der gescannten Ressourcen hängen von der Security Command Center-Dienststufe ab und umfassen Folgendes:
- Aktive Compute Engine-VM-Instanzen
- Knoten in GKE Standard clustern
- Container, die in GKE Standard- und GKE-Autopilot-Clustern ausgeführt werden
Bei der Sicherheitslückenbewertung für Google Cloud werden die Laufwerke Ihrer VM-Instanz geklont, in einer anderen sicheren VM-Instanz bereitgestellt und mit SCALIBRgescannt. Der Klon der VM-Instanz hat die folgenden Eigenschaften:
- Er wird in derselben Region wie die Quell-VM-Instanz erstellt.
- Er wird in einem Google-eigenen Projekt erstellt, sodass keine zusätzlichen Kosten für Sie entstehen.
Unterschiede bei den Funktionen zwischen den Dienststufen
Die folgenden Funktionen der Sicherheitslückenbewertung für Google Cloud variieren je nach der Dienststufe:
- Die Scanfrequenz
- Welche Ergebnisse mit Mandiant-CVE-Bewertungsdaten angereichert werden
- Die Zeit, bis ein Ergebnis als
INACTIVEmarkiert wird
Weitere Informationen zu diesen Unterschieden finden Sie unter Ergebnisse, die von der Sicherheitslückenbewertung für Google Cloud generiert wurden.
Beschränkungen
Beachten Sie Folgendes, wenn Sie Ressourcen identifizieren, die Sie scannen möchten:
Die Security Command Center-Dienst-Agents müssen VM-Instanzen von Projekten auflisten und ihre Laufwerke in Google-eigene Projekte klonen können. Achten Sie darauf, dass Sicherheits- und Richtlinienkonfigurationen wie Einschränkungen der Organisationsrichtlinie, die Fähigkeit des Dienst-Agents, auf diese Ressourcen zuzugreifen und sie zu scannen, nicht beeinträchtigen.
Wenn Sie VM-Instanzen mit nichtflüchtigen Speichern scannen, die mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt sind, muss der Schlüssel in derselben Region wie das Laufwerk gespeichert sein. Dies ist entweder der globale Standort oder derselbe geografische Standort wie das Laufwerk, wenn multiregionale Schlüssel verwendet werden.
Die Sicherheitslückenbewertung für Google Cloud unterstützt das Scannen von Laufwerken, die mit CMEK verschlüsselt sind und sich in VPC Service Controls-Perimetern befinden, nicht.
Die Sicherheitslückenbewertung für Google Cloud scannt nur VFAT-, EXT2- und EXT4-Festplattenpartitionen.
Die Sicherheitslückenbewertung für Google Cloud fügt bei der Überprüfung von GKE-Clustern keine Clusterlabels in die Ergebnisse ein.
Überlegungen beim Upgrade und Downgrade von Dienststufen
Wenn Sie die Dienststufe wechseln, ändern sich die Funktionen der Sicherheitslückenbewertung für Google Cloud Funktionen in die Funktionen, die in der aktiven Dienststufe unterstützt werden.
Ergebnisse, die durch die vorherige Aktivierung generiert wurden, bleiben für die Zeit aktiv, die durch die vorherige Dienststufe definiert wurde. Wenn Sie beispielsweise ein Downgrade von der Premium- zur Standardstufe durchführen, bleiben die auf der Premium-Stufe generierten Ergebnisse 25 Stunden lang aktiv. Neue Ergebnisse, die auf der Standardstufe generiert wurden, bleiben 195 Stunden lang aktiv.
Hinweis
Wenn Sie VPC Service Controls-Perimeter eingerichtet haben, erstellen Sie die erforderlichen Regeln für ein- und ausgehenden Traffic.
Berechtigungen zum Aktivieren der Sicherheitslückenbewertung für Google Cloud
Die erforderlichen Berechtigungen hängen von der Security Command Center-Aktivierungsebene ab. Informationen zu den für die Aktivierung der Premium-Stufe erforderlichen Berechtigungen finden Sie unter Security Command Center Premium-Stufe für eine Organisation aktivieren.
Aktivierungen der Standardstufe auf Organisationsebene
Wenn Sie die Sicherheitslückenbewertung für Google Cloud mit einer Aktivierung der Standardstufe auf der Organisationsebene aktivieren möchten, benötigen Sie die folgenden IAM-Rollen:
- Sicherheitscenter-Administrator (
roles/securitycenter.admin) Eine der folgenden Rollen:
- Sicherheitsadministrator (
roles/iam.securityAdmin) - Organisationsadministrator (
roles/resourcemanager.organizationAdmin)
- Sicherheitsadministrator (
Aktivierungen der Premium- oder Standardstufe auf Projektebene
Wenn Sie die Sicherheitslückenbewertung für Google Cloud in einem Projekt aktivieren möchten, in dem Security Command Center aktiviert ist nur auf Projektebene, benötigen Sie die folgenden IAM-Rollen:
- Sicherheitscenter-Administrator (
roles/securitycenter.admin) - Sicherheitsadministrator (
roles/iam.securityAdmin)
Dienst-Agents zum Scannen von Laufwerken
Der Dienst „Sicherheitslückenbewertung für“ Google Cloud verwendet Security Command Center-Dienst-Agents für die Identität und Berechtigung für den Zugriff auf Google Cloud Ressourcen.
Bei der Aktivierung von Security Command Center auf Organisationsebene verwendet die Sicherheitslückenbewertung für Google Cloud uses den folgenden Dienst-Agent:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Bei der Aktivierung von Security Command Center auf Projektebene verwendet die Sicherheitslückenbewertung für Google Cloud den folgenden Dienst-Agent:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Sicherheitslückenbewertung füraktivieren oder deaktivieren Google Cloud
Auf den Dienststufen „Premium“ und „Enterprise“ wird die Sicherheitslückenbewertung für Google Cloud nach Möglichkeit automatisch für alle VM-Instanzen aktiviert.
Auf der Standardstufe müssen Sie die Sicherheitslückenbewertung für Google Cloud manuell auf der Organisations-, Ordner- oder Projektebene aktivieren.
So ändern Sie die Einstellungen für die Sicherheitslückenbewertung für Google Cloud :
Rufen Sie in der Google Cloud Console die Seite Risikoübersicht auf:
Wählen Sie eine Organisation aus, in der Sie die Sicherheitslückenbewertung füraktivieren möchten Google Cloud.
Klicken Sie auf Einstellungen.
Klicken Sie im Bereich Sicherheitslückenbewertung auf Einstellungen verwalten.
Aktivieren oder deaktivieren Sie auf dem Tab Google Cloud die Sicherheitslückenbewertung für Google Cloud auf der Organisations-, Ordner- oder Projektebene in der Agentlose Sicherheitslückenbewertung Spalte. Niedrigere Ebenen können den Wert von höheren Ebenen übernehmen.
Mit CMEK verschlüsselte Laufwerke scannen
Damit die Sicherheitslückenbewertung für Google Cloud mit CMEK verschlüsselte Laufwerke scannen kann, müssen Sie
den folgenden
Dienst-Agents die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“
(roles/cloudkms.cryptoKeyEncrypterDecrypter) zuweisen:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-PROJECT_ID@compute-system.iam.gserviceaccount.com
Wenn Sie den folgenden Dienst-Agent haben, müssen Sie ihm auch die Rolle zuweisen:
service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com
Berechtigungen auf Schlüsselebene konfigurieren
- Rufen Sie die Seite Sicherheit > Schlüsselverwaltung auf.
- Wählen Sie den Schlüsselbund aus, der den Schlüssel enthält.
- Wählen Sie den Schlüssel aus.
- Klicken Sie im Infofeld auf Berechtigungen.
- Geben Sie den Namen des Dienst-Agents ein, den Sie im Feld Neue Hauptkonten eingegeben haben.
- Wählen Sie im Menü Rolle auswählen die Option Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
- Klicken Sie auf Speichern.
Schlüsselberechtigungen auf Projektebene konfigurieren
- Rufen Sie IAM & Verwaltung > IAM auf.
- Klicken Sie auf Zugriff erlauben.
- Geben Sie den Namen des Dienst-Agents ein, den Sie im Feld Neue Hauptkonten eingegeben haben.
- Wählen Sie im Menü Rolle auswählen die Option Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
Damit die Scans ordnungsgemäß ausgeführt werden können, muss sich der Schlüssel in derselben Region wie das Laufwerk befinden.
Die Sicherheitslückenbewertung für Google Cloud versucht, mit CMEK verschlüsselte Laufwerke zu scannen. Wenn Sie
die erforderlichen Berechtigungen nicht gewähren, Google Cloud wird im
Audit-Log der folgende Fehler generiert: Cloud KMS error when using key.
Ergebnisse, die von der Sicherheitslückenbewertung fürgeneriert wurden Google Cloud
Der Dienst „Sicherheitslückenbewertung für Google Cloud “generiert ein Ergebnis in Security Command Center, wenn er Folgendes erkennt:
- Software-Sicherheitslücken in einer Compute Engine-VM-Instanz
- Software-Sicherheitslücken auf Knoten in einem GKE-Cluster oder in Containern, die in GKE ausgeführt werden
Sicherheitslücken in Container-Images in den folgenden Ressourcen:
- GKE-Pods
- App Engine-Dienste
- Cloud Run-Dienste und ‑Jobs
Die Häufigkeit der Scans variiert je nach Dienststufe:
| Standardstufe | Premium- und Enterprise-Stufe |
|---|---|
| Einmal pro Woche | Ungefähr alle 12 Stunden |
Die Sicherheitslückenbewertung für Google Cloud veröffentlicht Ergebnisse mit den folgenden Schweregraden, die je nach Dienststufe variieren:
| Standardstufe | Premium- und Enterprise-Stufe |
|---|---|
Ergebnisse mit dem Schweregrad Critical |
Ergebnisse mit dem Schweregrad Critical und High |
Wenn die Sicherheitslückenbewertung für Google Cloud ein Ergebnis erstellt, bleibt es für den
folgenden aktiven Status-Zeitraum im Status ACTIVE. Dieser Zeitraum variiert je nach Dienststufe:
| Standardstufe | Premium- und Enterprise-Stufe |
|---|---|
| 195 Stunden | 25 Stunden |
Wenn die Sicherheitslückenbewertung für Google Cloud das Ergebnis innerhalb des aktiven Status-Zeitraums
(basierend auf der Dienststufe) noch einmal erkennt, wird der Zähler zurückgesetzt und das Ergebnis bleibt für einen weiteren aktiven Status-Zeitraum im Status ACTIVE.
Wenn die Sicherheitslückenbewertung für Google Cloud das Ergebnis innerhalb des Zeitraums im Status ACTIVE (basierend auf der Dienststufe) nicht noch einmal erkennt, wird das Ergebnis auf INACTIVEgesetzt. Google Cloud
In Ergebnissen verfügbare Informationen
Ergebnisse enthalten die folgenden allgemeinen Informationen:
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket, das die Sicherheitslücke enthält, und sein Speicherort
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Bewertung des Schweregrads der Sicherheitslücke durch Security Command Center
- Falls verfügbar, Schritte zur Behebung des Problems, einschließlich des Patches oder des Versionsupgrades zur Behebung der Sicherheitslücke
Die folgenden Attributwerte:
- Klasse:
Vulnerability - Cloud-Dienstanbieter:
Google Cloud - Quelle:
Vulnerability Assessment - Kategorie: Einer der folgenden Werte:
Container Image VulnerabilityOS vulnerabilitySoftware vulnerability
- Klasse:
Bestimmte Ergebnisse, die je nach Dienststufe variieren, werden mit Informationen zu den Auswirkungen und der Ausnutzbarkeit einer CVE mithilfe von Mandiant-CVE-Bewertungen angereichert.
| Standardstufe | Premium- und Enterprise-Stufe |
|---|---|
| CVEs mit dem Schweregrad „Critical“ enthalten Informationen zur Mandiant-Bewertung | CVEs mit dem Schweregrad „Critical“ oder „High“ enthalten Informationen zur Mandiant Bewertung |
Ergebnisse, die auf den Dienststufen „Premium“ und „Enterprise“ generiert wurden, enthalten die folgenden Informationen:
- Eine Bewertung des Angriffsrisikos, die Ihnen hilft, die Behebung zu priorisieren.
- Eine visuelle Darstellung des Pfads, den ein Angreifer zu hochwertigen Ressourcen nehmen könnte, die durch die Sicherheitslücke gefährdet sind.
Ergebnisse für erkannte Software-Sicherheitslücken
Ergebnisse für erkannte Software-Sicherheitslücken enthalten die folgenden zusätzlichen Informationen:
- Der vollständige Ressourcenname der betroffenen VM-Instanz oder des betroffenen GKE-Clusters.
Informationen zum betroffenen Objekt, wenn sich das Ergebnis auf eine GKE-Arbeitslast bezieht, z. B.:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
Da die Sicherheitslückenbewertung für Google Cloud dieselbe Sicherheitslücke in mehreren
Containern erkennen kann, werden Sicherheitslücken auf der
GKE-Arbeitslast- oder Pod-Ebene aggregiert. Google Cloud In einem Ergebnis können in einem einzelnen Feld mehrere Werte angezeigt werden, z. B. im Feld files.elem.path.
Ergebnisse für erkannte Sicherheitslücken in Container-Images
Ergebnisse für erkannte Sicherheitslücken in Container-Images enthalten die folgenden zusätzlichen Informationen:
- Der vollständige Ressourcenname des Container-Images
- Alle Laufzeitzuordnungen im Zusammenhang mit dem Ergebnis, wenn das angreifbare Image in einer der folgenden Umgebungen ausgeführt wird:
- GKE-Pod
- App Engine
- Cloud Run-Dienst und ‑Überarbeitung
- Cloud Run-Job und ‑Ausführung
Aufbewahrung von Ergebnissen
Nachdem sie behoben wurden, werden Ergebnisse, die von der Sicherheitslückenbewertung für Google Cloud generiert wurden, 7 Tage lang aufbewahrt und dann gelöscht. Aktive Ergebnisse der Sicherheitslückenbewertung für Google Cloudwerden 1 Jahr und 31 Tage (396 Tage) lang aufbewahrt. Ergebnisse werden auch deaktiviert, wenn das Image oder der Container, das bzw. der mit dem Ergebnis verknüpft ist, gelöscht wird.
Paketstandort
Der Speicherort einer Datei für eine Sicherheitslücke in einem Ergebnis bezieht sich entweder auf die Binär- oder Paketmetadatendateien. Diese Informationen hängen vom SCALIBR-Extraktor ab, den die Sicherheitslückenbewertung für Google Cloud verwendet. Bei Sicherheitslücken, die die Sicherheitslückenbewertung für Google Cloud in einem Container findet, ist dies der Pfad innerhalb des Containers.
Die folgende Tabelle enthält Beispiele für Speicherorte von Sicherheitslücken für verschiedene SCALIBR-Extraktoren.
| SCALIBR-Extraktor | Paketstandort |
|---|---|
Debian-Paket (dpkg) |
/var/lib/dpkg/status |
| Go-Binärdatei | /usr/bin/google_osconfig_agent |
| Java-Archiv | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Ergebnisse in der Console prüfen
Sie können die Ergebnisse der Sicherheitslückenbewertung für Google Cloud in der Google Cloud Console ansehen. Prüfen Sie vorher, ob Sie die entsprechenden Rollen haben.
So prüfen Sie die Ergebnisse der Sicherheitslückenbewertung für Google Cloud in der Google Cloud Console: Führen Sie die folgenden Schritte aus:
-
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Sicherheitslückenbewertung aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert und zeigen nur die Ergebnisse aus dieser Quelle.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Prüfen Sie auf dem Tab Zusammenfassung die Details des Ergebnisses, einschließlich Informationen zu dem, was erkannt wurde, der betroffenen Ressource und – falls verfügbar – Schritte, die Sie zur Behebung des Ergebnisses ausführen können.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.