Mengaktifkan dan menggunakan Penilaian Kerentanan untuk Google Cloud

Vulnerability Assessment for Google Cloud membantu Anda menemukan kerentanan software di Google Cloud resource tanpa menginstal agen. Jenis resource yang dipindai bergantung pada tingkat layanan Security Command Center, dan mencakup hal berikut:

  • Menjalankan instance VM Compute Engine
  • Node di cluster GKE Standard
  • Container yang berjalan di cluster GKE Standard dan GKE Autopilot.

Vulnerability Assessment for Google Cloud berfungsi dengan meng-clone disk instance VM Anda, memasangnya di instance VM aman lainnya, dan memindainya dengan SCALIBR. Clone instance VM memiliki properti berikut:

  • Clone dibuat di region yang sama dengan instance VM sumber.
  • Clone dibuat di project milik Google, sehingga tidak menambah biaya Anda.

Perbedaan kemampuan antar-tingkat layanan

Kemampuan Vulnerability Assessment for Google Cloud berikut bervariasi bergantung pada tingkat layanan:

  • Frekuensi pemindaian
  • Temuan mana yang diperkaya dengan data penilaian CVE Mandiant
  • Waktu hingga temuan ditandai INACTIVE

Lihat Temuan yang dihasilkan oleh Vulnerability Assessment for Google Cloud untuk mengetahui informasi selengkapnya tentang perbedaan ini.

Batasan

Pertimbangkan hal berikut saat mengidentifikasi resource yang ingin Anda pindai:

  • Agen layanan Security Command Center harus dapat mencantumkan instance VM project dan meng-clone disk-nya ke project milik Google. Pastikan konfigurasi keamanan dan kebijakan, seperti batasan kebijakan organisasi, tidak mengganggu kemampuan agen layanan untuk mengakses dan memindai resource ini.

  • Saat memindai instance VM dengan persistent disk yang dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK), kunci harus disimpan di region yang sama dengan disk. Lokasinya bisa berupa lokasi global atau lokasi geografis yang sama dengan disk saat menggunakan kunci multi-regional.

  • Vulnerability Assessment for Google Cloud tidak mendukung pemindaian disk yang dienkripsi dengan CMEK dan berada dalam perimeter Kontrol Layanan VPC.

  • Vulnerability Assessment for Google Cloud tidak mendukung instance VM dengan persistent disk yang dienkripsi dengan kunci enkripsi yang disediakan pelanggan (CSEK).

  • Vulnerability Assessment for Google Cloud hanya memindai partisi disk VFAT, EXT2, EXT4, XFS, dan NTFS.

  • Vulnerability Assessment for Google Cloud tidak menyertakan label cluster dalam temuan saat memindai cluster GKE.

Pertimbangan saat mengupgrade dan mendowngrade tingkat layanan

Saat Anda beralih tingkat layanan, kemampuan Vulnerability Assessment for Google Cloud akan berubah menjadi kemampuan yang didukung di tingkat layanan aktif.

Temuan yang dihasilkan oleh aktivasi sebelumnya akan tetap aktif selama waktu yang ditentukan oleh tingkat layanan sebelumnya. Misalnya, saat mendowngrade dari tingkat Premium ke Standar, temuan yang dihasilkan di tingkat Premium akan tetap aktif selama 25 jam. Temuan baru yang dihasilkan di tingkat Standar akan tetap aktif selama 195 jam.

Sebelum memulai

Jika Anda telah menyiapkan perimeter Kontrol Layanan VPC , buat aturan egress dan ingress yang diperlukan.

Izin untuk mengaktifkan Vulnerability Assessment for Google Cloud

Izin yang diperlukan bergantung pada tingkat aktivasi Security Command Center. Untuk mengetahui informasi tentang izin yang diperlukan untuk aktivasi tingkat Premium, lihat Mengaktifkan tingkat Premium Security Command Center untuk organisasi.

Aktivasi tingkat organisasi pada tingkat Standar

Untuk mengaktifkan Vulnerability Assessment for Google Cloud dengan aktivasi tingkat Standar di tingkat organisasi, Anda memerlukan peran IAM berikut:

  • Admin Security Center (roles/securitycenter.admin)

  • Salah satu peran berikut:

    • Admin Keamanan (roles/iam.securityAdmin)
    • Admin Organisasi (roles/resourcemanager.organizationAdmin)

Aktivasi tingkat project pada tingkat Premium atau Standar

Untuk mengaktifkan Vulnerability Assessment for Google Cloud di project saat Security Command Center diaktifkan di tingkat project, Anda memerlukan peran IAM berikut:

  • Admin Security Center (roles/securitycenter.admin)
  • Admin Keamanan (roles/iam.securityAdmin)

Agen layanan untuk memindai disk

Layanan Vulnerability Assessment for Google Cloud menggunakan agen layanan Security Command Center untuk identitas dan izin mengakses Google Cloud resource.

Untuk aktivasi Security Command Center tingkat organisasi, Vulnerability Assessment for Google Cloud menggunakan agen layanan berikut:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Untuk aktivasi Security Command Center tingkat project, Vulnerability Assessment for Google Cloud menggunakan agen layanan berikut:

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

Mengaktifkan atau menonaktifkan Vulnerability Assessment for Google Cloud

Di tingkat Premium dan Enterprise, Vulnerability Assessment for Google Cloud otomatis diaktifkan untuk semua instance VM jika memungkinkan.

Di tingkat Standar, Anda harus mengaktifkan Vulnerability Assessment for Google Cloud secara manual di tingkat organisasi, folder, atau project.

Untuk mengubah setelan Vulnerability Assessment for Google Cloud , lakukan hal berikut:

  1. Di Google Cloud Konsol, buka halaman Risk Overview:

    Buka Risk Overview

  2. Pilih organisasi tempat Anda ingin mengaktifkan Vulnerability Assessment for Google Cloud.

  3. Klik Settings.

  4. Di bagian Vulnerability Assessment, klik Manage settings.

  5. Di tab Google Cloud, aktifkan atau nonaktifkan Vulnerability Assessment for Google Cloud di tingkat organisasi, folder, atau project dari kolom Agentless Vulnerability Assessment. Tingkat yang lebih rendah dapat mewarisi nilai dari tingkat yang lebih tinggi.

Memindai disk yang dienkripsi dengan CMEK

Untuk mengizinkan Vulnerability Assessment for Google Cloud memindai disk yang dienkripsi dengan CMEK, Anda harus memberikan peran Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) kepada agen layanan berikut:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

service-PROJECT_ID@compute-system.iam.gserviceaccount.com

Jika Anda memiliki agen layanan berikut, Anda juga harus memberikan peran tersebut kepada agen layanan tersebut:

service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com

Mengonfigurasi izin tingkat kunci

  1. Buka halaman Security > Key Management.
  2. Pilih key ring yang berisi kunci.
  3. Pilih kunci.
  4. Di panel info, klik Permissions.
  5. Masukkan nama agen layanan yang Anda masukkan di kolom New principals.
  6. Di menu Select a role, pilih Cloud KMS CryptoKey Encrypter/Decrypter.
  7. Klik Save.

Mengonfigurasi izin kunci tingkat project

  1. Buka IAM & Admin > IAM.
  2. Klik Grant access.
  3. Masukkan nama agen layanan yang Anda masukkan di kolom New principals.
  4. Di menu Select a role, pilih Cloud KMS CryptoKey Encrypter/Decrypter.

Agar pemindaian berjalan dengan benar, kunci harus berada di region yang sama dengan disk. Vulnerability Assessment for Google Cloud mencoba memindai disk yang dienkripsi menggunakan CMEK. Jika Anda tidak memberikan izin yang diperlukan, Google Cloud akan menghasilkan error berikut dalam log audit: Cloud KMS error when using key.

Temuan yang dihasilkan oleh Vulnerability Assessment for Google Cloud

Layanan Vulnerability Assessment for Google Cloud menghasilkan temuan di Security Command Center saat mendeteksi hal berikut:

  • Kerentanan software pada instance VM Compute Engine.
  • Kerentanan software pada node di cluster GKE atau container yang berjalan di GKE.

  • Kerentanan image container pada resource berikut:

    • Pod GKE
    • Layanan App Engine
    • Layanan dan tugas Cloud Run

Frekuensi pemindaian bervariasi menurut tingkat layanan:

Tingkat Standar Tingkat Premium dan Enterprise
Satu kali seminggu Setiap sekitar 12 jam

Vulnerability Assessment for Google Cloud memublikasikan temuan dengan tingkat keparahan berikut, yang bervariasi menurut tingkat layanan:

Tingkat Standar Tingkat Premium dan Enterprise
Temuan tingkat keparahan Critical Temuan tingkat keparahan Critical dan High

Saat Vulnerability Assessment for Google Cloud membuat temuan, temuan tersebut akan tetap dalam status ACTIVE selama periode status aktif berikut, yang bervariasi menurut tingkat layanan:

Tingkat Standar Tingkat Premium dan Enterprise
195 jam 25 jam

Jika Vulnerability Assessment for Google Cloud mendeteksi temuan lagi dalam periode status aktif (berdasarkan tingkat layanan), penghitung akan direset, dan temuan akan tetap dalam status ACTIVE selama periode status aktif lainnya.

Jika Vulnerability Assessment for Google Cloud tidak mendeteksi temuan lagi dalam periode status aktif (berdasarkan tingkat layanan), Vulnerability Assessment for Google Cloud akan menetapkan temuan ke INACTIVE.

Informasi yang tersedia dalam temuan

Temuan berisi informasi umum berikut:

  • Deskripsi kerentanan, termasuk informasi berikut:
    • Paket software yang berisi kerentanan dan lokasinya lokasi
    • Informasi dari data CVE terkait
    • Penilaian dari Security Command Center tentang tingkat keparahan kerentanan
  • Jika tersedia, langkah-langkah untuk memperbaiki masalah, termasuk upgrade patch atau versi untuk mengatasi kerentanan

  • Nilai properti berikut:

    • Class: Vulnerability
    • Cloud service provider: Google Cloud
    • Source: Vulnerability Assessment
    • Category: Salah satu nilai berikut:
      • Container Image Vulnerability
      • OS vulnerability
      • Software vulnerability

Temuan tertentu, yang bervariasi menurut tingkat layanan, diperkaya dengan informasi tentang dampak dan kemampuan eksploitasi CVE menggunakan penilaian CVE Mandiant.

Tingkat Standar Tingkat Premium dan Enterprise
CVE yang memiliki tingkat keparahan Critical menyertakan informasi penilaian Mandiant CVE yang memiliki tingkat keparahan Critical atau High menyertakan informasi penilaian Mandiant

Temuan yang dihasilkan di tingkat layanan Premium dan Enterprise mencakup informasi berikut:

  • Skor eksposur serangan yang membantu Anda memprioritaskan perbaikan.
  • Representasi visual jalur yang mungkin diambil penyerang ke resource bernilai tinggi yang terekspos oleh kerentanan.

Temuan untuk kerentanan software yang terdeteksi

Temuan untuk kerentanan software yang terdeteksi berisi informasi tambahan berikut:

  • Nama resource lengkap instance VM atau cluster GKE yang terpengaruh.

  • Informasi tentang objek yang terpengaruh saat temuan terkait dengan workload GKE, misalnya:

    • CronJob
    • DaemonSet
    • Deployment
    • Job
    • Pod
    • ReplicationController
    • ReplicaSet
    • StatefulSet

Karena Vulnerability Assessment for Google Cloud dapat mengidentifikasi kerentanan yang sama di beberapa container, Vulnerability Assessment for Google Cloud mengagregasi kerentanan di tingkat workload GKE atau tingkat Pod. Dalam temuan, Anda mungkin melihat beberapa nilai dalam satu kolom, misalnya di kolom files.elem.path.

Temuan untuk kerentanan image container yang terdeteksi

Temuan untuk kerentanan image container yang terdeteksi berisi informasi tambahan berikut:

  • Nama resource lengkap image container
  • Asosiasi runtime apa pun yang terkait dengan temuan, jika image yang rentan berjalan di salah satu hal berikut:
    • Pod GKE
    • App Engine
    • Layanan dan Revisi Cloud Run
    • Tugas dan Eksekusi Cloud Run

Retensi temuan

Setelah diselesaikan, temuan yang dihasilkan oleh Vulnerability Assessment for Google Cloud akan disimpan selama 7 hari, setelah itu temuan akan dihapus. Temuan Vulnerability Assessment for Google Cloud yang aktif akan disimpan selama 1 tahun ditambah 31 hari (396 hari). Temuan juga akan dinonaktifkan jika image atau container yang terkait dengan temuan dihapus.

Lokasi paket

Lokasi file kerentanan dalam temuan mengacu pada file metadata biner atau paket. Informasi ini bergantung pada ekstraktor SCALIBR yang digunakan Vulnerability Assessment for Google Cloud . Untuk kerentanan yang ditemukan Vulnerability Assessment for Google Cloud dalam container, ini adalah jalur di dalam container.

Tabel berikut menunjukkan contoh lokasi kerentanan untuk berbagai ekstraktor SCALIBR.

Ekstraktor SCALIBR Lokasi paket
Paket Debian (dpkg) /var/lib/dpkg/status
Biner Go /usr/bin/google_osconfig_agent
Arsip Java /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar
PHP /var/www/html/vkumark/backend_api/composer.lock
Python /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA
Ruby /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec

Meninjau temuan di konsol

Anda dapat melihat temuan Vulnerability Assessment for Google Cloud di Google Cloud Konsol. Sebelum melakukannya, pastikan Anda memiliki peran yang sesuai.

Untuk meninjau temuan Vulnerability Assessment for Google Cloud di Google Cloud Konsol, ikuti langkah-langkah berikut:

  1. Di Google Cloud Konsol, buka halaman Findings Security Command Center.

    Buka Temuan

  2. Pilih Google Cloud project atau organisasi Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih Vulnerability Assessment. Hasil kueri temuan akan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Category. Panel detail untuk temuan akan terbuka dan menampilkan tab Summary.
  5. Di tab Summary, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan.
  6. Opsional: Untuk melihat definisi JSON lengkap temuan, klik tab JSON.