Activer et utiliser l'évaluation des failles pour Google Cloud

L'évaluation des failles pour Google Cloud vous aide à découvrir les failles logicielles dans les ressources Google Cloudsans installer d'agents. Les types de ressources analysées dépendent du niveau de service Security Command Center et incluent les éléments suivants :

  • Exécuter des instances de VM Compute Engine
  • Nœuds dans les clusters GKE Standard
  • Conteneurs exécutés dans des clusters GKE Standard et GKE Autopilot.

L'évaluation des failles pour Google Cloud fonctionne en clonant les disques de votre instance de VM, en les installant dans une autre instance de VM sécurisée et en les analysant avec SCALIBR. Le clone de l'instance de VM possède les propriétés suivantes :

  • Elle est créée dans la même région que l'instance de VM source.
  • Il est créé dans un projet appartenant à Google, ce qui n'augmente pas vos coûts.

Différences de fonctionnalités entre les niveaux de service

Les fonctionnalités suivantes de l'évaluation des failles pour Google Cloud varient en fonction du niveau de service :

  • Fréquence d'analyse
  • Résultats enrichis avec les données d'évaluation des CVE de Mandiant
  • Délai avant qu'un résultat soit marqué INACTIVE

Pour en savoir plus sur ces différences, consultez Résultats générés par l'analyse des failles pour Google Cloud.

Limites

  • Instances de VM avec des disques persistants chiffrés avec des clés de chiffrement gérées par le client (CMEK) et dont les clés se trouvent dans un emplacement global ou une clé multirégionale dans la même zone géographique que le disque.
  • Instances de VM avec des disques persistants chiffrés avec des clés de chiffrement gérées par le client (CMEK) et contenant des clés de chiffrement dans des projets situés dans des périmètres VPC Service Controls.
  • Instances de VM avec des disques persistants chiffrés avec des clés de chiffrement fournies par le client (CSEK)
  • L'évaluation des failles pour Google Cloud n'analyse que les partitions VFAT, EXT2 et EXT4.
  • L'agent de service Security Command Center doit pouvoir lister les instances de VM du projet et cloner leurs disques dans des projets appartenant à Google. Certaines configurations de sécurité et de règles, comme les contraintes de règles d'administration, peuvent interférer avec cet accès et empêcher les analyses.
  • L'évaluation des failles pour Google Cloud n'analyse pas les clusters GKE pour lesquels le streaming d'images est activé.
  • Les libellés de cluster ne sont pas utilisés dans les résultats.

Points à prendre en compte lors du passage à un niveau de service supérieur ou inférieur

Lorsque vous changez de niveau de service, les fonctionnalités d'évaluation des failles pour Google Cloud deviennent celles prises en charge dans le niveau de service actif.

Les résultats générés par l'activation précédente resteront actifs pendant la durée définie par le niveau de service précédent. Lorsque vous passez du niveau Premium au niveau Standard, par exemple, les résultats générés au niveau Premium restent actifs pendant 25 heures. Les nouveaux résultats générés au niveau Standard restent actifs pendant 195 heures.

Avant de commencer

Si vous avez configuré des périmètres VPC Service Controls, créez les règles d'entrée et de sortie requises.

Autorisations permettant d'activer l'évaluation des failles pour Google Cloud

Pour activer l'évaluation des failles pour Google Cloud avec l'activation du niveau Standard, vous avez besoin des rôles IAM suivants :

  • Administrateur du centre de sécurité (roles/securitycenter.admin)

  • L'un des rôles suivants :

    • Administrateur de sécurité (roles/iam.securityAdmin)
    • Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)

Agents de service pour analyser les disques

Le service d'évaluation des failles pour Google Cloud utilise des agents de service Security Command Center pour l'identité et l'autorisation d'accès aux ressources Google Cloud .

Pour les activations de Security Command Center au niveau de l'organisation, l'évaluation des failles de sécurité pour Google Cloud utilise l'agent de service suivant :

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Pour les activations de Security Command Center au niveau du projet, l'analyse des failles pour Google Cloud utilise l'agent de service suivant :

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

Activer ou désactiver l'évaluation des failles pour Google Cloud

Dans les niveaux Premium et Enterprise, l'évaluation des failles pour Google Cloud est automatiquement activée pour toutes les instances de VM, dans la mesure du possible.

Dans le niveau Standard, vous devez activer manuellement l'analyse des failles pour Google Cloud au niveau de l'organisation, du dossier ou du projet.

Pour modifier les paramètres de l'évaluation des failles pour Google Cloud  :

  1. Dans la console Google Cloud , accédez à la page Présentation des risques :

    Accéder à l'aperçu des risques

  2. Sélectionnez une organisation dans laquelle activer l'évaluation des failles pour Google Cloud.

  3. Cliquez sur Paramètres.

  4. Dans la section Évaluation des failles, cliquez sur Gérer les paramètres.

  5. Dans l'onglet Google Cloud, activez ou désactivez l'évaluation des failles pour Google Cloud au niveau de l'organisation, du dossier ou du projet dans la colonne Évaluation des failles sans agent. Les niveaux inférieurs peuvent hériter de la valeur des niveaux supérieurs.

Analyser les disques chiffrés avec une clé CMEK

Pour permettre à l'évaluation des failles de Google Cloud d'analyser les disques chiffrés avec CMEK, vous devez attribuer le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) aux agents de service suivants :

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

service-PROJECT_ID@compute-system.iam.gserviceaccount.com

Si vous disposez de l'agent de service suivant, vous devez également lui attribuer le rôle :

service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com

Configurer les autorisations au niveau des clés

  1. Accédez à la page Sécurité > Gestion des clés.
  2. Sélectionnez le trousseau de clés contenant la clé.
  3. Sélectionnez la clé.
  4. Dans le panneau d'informations, cliquez sur Autorisations.
  5. Saisissez le nom de l'agent de service que vous avez saisi dans le champ Nouveaux comptes principaux.
  6. Dans le menu Sélectionner un rôle, sélectionnez Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS.
  7. Cliquez sur Enregistrer.

Configurer les autorisations associées aux clés au niveau du projet

  1. Accédez à IAM et administration > IAM.
  2. Cliquez sur Accorder l'accès.
  3. Saisissez le nom de l'agent de service que vous avez saisi dans le champ Nouveaux comptes principaux.
  4. Dans le menu Sélectionner un rôle, sélectionnez Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS.

Pour que les analyses s'exécutent correctement, la clé doit se trouver dans la même région que le disque. L'évaluation des failles pour Google Cloud tente d'analyser les disques chiffrés à l'aide de clés CMEK. Si vous n'accordez pas les autorisations requises, Google Cloud génère l'erreur suivante dans le journal d'audit : Cloud KMS error when using key.

Résultats générés par l'évaluation des failles pour Google Cloud

Le service d'évaluation des failles pour Google Cloud génère un résultat dans Security Command Center lorsqu'il détecte les éléments suivants, qui varient selon le niveau de service :

  • Failles logicielles sur une instance de VM Compute Engine.
  • Failles logicielles sur les nœuds d'un cluster GKE ou sur les conteneurs exécutés sur GKE.

  • Failles dans les images de conteneurs sur les ressources suivantes :

    • Pods GKE
    • Services App Engine
    • Services et jobs Cloud Run

La fréquence des analyses varie selon le niveau de service :

Niveau standard Niveaux Premium et Enterprise
Une fois par semaine Environ toutes les 12 heures

L'évaluation des failles pour Google Cloud publie des résultats avec les niveaux de gravité suivants, qui varient selon le niveau de service :

Niveau standard Niveaux Premium et Enterprise
Critical résultats de gravité Résultats de gravité Critical et High

Lorsque l'évaluation des failles pour Google Cloud crée un résultat, il reste à l'état ACTIVE pendant la période d'état actif suivante, qui varie selon le niveau de service :

Niveau standard Niveaux Premium et Enterprise
195 heures 25 heures

Si l'évaluation des failles pour Google Cloud détecte à nouveau le résultat au cours de la période d'état actif (en fonction du niveau de service), le compteur est réinitialisé et le résultat reste à l'état ACTIVE pendant une autre période d'état actif.

Si l'évaluation des failles pour Google Cloud ne détecte plus le résultat pendant la période d'état actif (en fonction du niveau de service), l'évaluation des failles pour Google Cloud définit le résultat sur INACTIVE.

Informations disponibles dans les résultats

Les résultats contiennent les informations courantes suivantes :

  • Description de la faille, y compris les informations suivantes :
    • Le package logiciel contenant la faille et son emplacement
    • Informations issues de l'enregistrement CVE associé
    • Évaluation de la gravité de la faille par Security Command Center
  • Si disponible, la procédure à suivre pour résoudre le problème, y compris le correctif ou la mise à niveau de la version pour remédier à la faille

  • Les valeurs de propriété suivantes :

    • Classe : Vulnerability
    • Fournisseur de services cloud : Google Cloud
    • Source : Vulnerability Assessment
    • Catégorie : l'une des valeurs suivantes :
      • Container Image Vulnerability
      • OS vulnerability
      • Software vulnerability

Certains résultats, qui varient selon le niveau de service, sont enrichis d'informations sur l'impact et l'exploitabilité d'une CVE à l'aide des évaluations CVE de Mandiant.

Niveau standard Niveaux Premium et Enterprise
Les CVE de gravité critique incluent des informations sur l'évaluation Mandiant. Les CVE de gravité critique ou élevée incluent des informations d'évaluation Mandiant.

Les résultats générés avec les niveaux de service Premium et Enterprise incluent les informations suivantes :

  • Un score d'exposition aux attaques qui vous aide à hiérarchiser les corrections.
  • Représentation visuelle du chemin qu'un pirate informatique pourrait emprunter pour accéder aux ressources à forte valeur exposées par la faille.

Résultats concernant les failles logicielles détectées

Les résultats des failles logicielles détectées contiennent les informations supplémentaires suivantes :

  • Nom complet de la ressource de l'instance de VM ou du cluster GKE concerné.

  • Informations sur l'objet concerné lorsque le résultat est lié à une charge de travail GKE, par exemple :

    • CronJob
    • DaemonSet
    • Deployment
    • Job
    • Pod
    • ReplicationController
    • ReplicaSet
    • StatefulSet

Étant donné que l'analyse des failles pour Google Cloud peut identifier la même faille dans plusieurs conteneurs, l'analyse des failles pour Google Cloud agrège les failles au niveau de la charge de travail GKE ou du pod. Dans un résultat, vous pouvez voir plusieurs valeurs dans un même champ, par exemple dans le champ files.elem.path.

Résultats pour les failles détectées dans les images de conteneurs

Les résultats des failles détectées dans les images de conteneurs contiennent les informations supplémentaires suivantes :

  • Nom complet de la ressource de l'image de conteneur
  • Toute association d'exécution liée au résultat, si l'image vulnérable s'exécute sur l'un des éléments suivants :
    • Pod GKE
    • App Engine
    • Service et révision Cloud Run
    • Job et exécution Cloud Run

Conservation des résultats

Une fois résolus, les résultats générés par l'évaluation des failles pour Google Cloud sont conservés pendant sept jours, puis supprimés. Les résultats de l'évaluation active des failles pour Google Cloudsont conservés indéfiniment.

Emplacement du package

L'emplacement d'une faille dans un résultat fait référence aux fichiers binaires ou de métadonnées du package. Ces informations dépendent de l'extracteur SCALIBR utilisé par l'évaluation des failles pour Google Cloud . Pour les failles que l'évaluation des failles pour Google Cloud détecte dans un conteneur, il s'agit du chemin d'accès à l'intérieur du conteneur.

Le tableau suivant présente des exemples d'emplacements de failles pour différents extracteurs SCALIBR.

Extracteur SCALIBR Emplacement du package
Paquet Debian (dpkg) /var/lib/dpkg/status
Binaire Go /usr/bin/google_osconfig_agent
archive Java /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar
PHP /var/www/html/vkumark/backend_api/composer.lock
Python /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA
Ruby /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec

Examiner les résultats dans la console

Vous pouvez consulter l'évaluation des failles pour les résultats Google Cloud dans la console Google Cloud . Avant de commencer, assurez-vous de disposer des rôles appropriés.

Pour examiner les résultats de l'évaluation des failles pour Google Cloud dans la console Google Cloud , procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder aux résultats

  2. Sélectionnez votre projet ou votre organisation Google Cloud .
  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Évaluation des failles. Les résultats de la requête sont mis à jour pour n'afficher que les résultats provenant de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Résumé, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.