Mit der Sicherheitslückenbewertung für Google Cloud können Sie Software-Sicherheitslücken in Google Cloud Ressourcen erkennen, ohne Agents installieren zu müssen. Welche Arten von Ressourcen gescannt werden, hängt von der Security Command Center-Dienststufe ab. Dazu gehören:
- Aktive Compute Engine-VM-Instanzen
- Knoten in GKE Standard Clustern
- Container, die in GKE Standard- und GKE Autopilot-Clustern ausgeführt werden
Die Sicherheitslückenbewertung für Google Cloud funktioniert, indem die Laufwerke Ihrer VM-Instanz geklont, in einer anderen sicheren VM-Instanz bereitgestellt und mit SCALIBRgescannt werden. Der VM-Instanzklon hat die folgenden Eigenschaften:
- Er wird in derselben Region wie die Quell-VM-Instanz erstellt.
- Er wird in einem Google-eigenen Projekt erstellt, sodass keine zusätzlichen Kosten für Sie entstehen.
Unterschiede zwischen den Dienststufen
Die folgenden Funktionen der Sicherheitslückenbewertung für Google Cloud variieren je nach der Dienststufe:
- Die Scan-Häufigkeit
- Welche Ergebnisse mit Mandiant-CVE-Bewertungsdaten angereichert werden
- Die Zeit, bis ein Ergebnis als
INACTIVEmarkiert wird
Weitere Informationen zu diesen Unterschieden finden Sie unter Ergebnisse, die von der Sicherheitslückenbewertung für Google Cloud generiert wurden.
Beschränkungen
Beachten Sie Folgendes, wenn Sie Ressourcen identifizieren, die Sie scannen möchten:
Die Security Command Center-Dienst-Agents müssen VM-Instanzen des Projekts auflisten und ihre Laufwerke in Google-eigene Projekte klonen können. Achten Sie darauf, dass Sicherheits- und Richtlinienkonfigurationen wie Einschränkungen der Organisationsrichtlinie, die Möglichkeit des Dienst-Agents, auf diese Ressourcen zuzugreifen und sie zu scannen, nicht beeinträchtigen.
Wenn Sie VM-Instanzen mit nichtflüchtigen Speichern scannen, die mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt sind, muss der Schlüssel in derselben Region wie das Laufwerk gespeichert sein. Dies ist entweder der globale Standort oder derselbe geografische Standort wie das Laufwerk, wenn multiregionale Schlüssel verwendet werden.
Die Sicherheitslückenbewertung für Google Cloud unterstützt das Scannen von Laufwerken, die mit CMEK verschlüsselt sind und sich in VPC Service Controls-Perimetern befinden, nicht.
Die Sicherheitslückenbewertung für Google Cloud scannt nur VFAT-, EXT2- und EXT4-Festplattenpartitionen.
Bei der Sicherheitslückenbewertung für Google Cloud gelten beim Scannen von GKE-Clustern die folgenden Einschränkungen:
GKE-Cluster, für die Image-Streaming aktiviert ist, werden nicht gescannt. Wenn Sie jedoch die Sicherheitslückenbewertung von Artifact Registryverwenden, werden möglicherweise Ergebnisse zu Sicherheitslücken in Images für diese Cluster angezeigt.
Clusterlabels sind nicht in den Ergebnissen enthalten.
Überlegungen beim Upgrade und Downgrade von Dienststufen
Wenn Sie die Dienststufe wechseln, ändern sich die Funktionen der Sicherheitslückenbewertung für Google Cloud Funktionen in die Funktionen, die in der aktiven Dienststufe unterstützt werden.
Ergebnisse, die bei der vorherigen Aktivierung generiert wurden, bleiben für den Zeitraum aktiv, der durch die vorherige Dienststufe definiert wurde. Wenn Sie beispielsweise ein Downgrade von der Premium- auf die Standardstufe durchführen, bleiben die auf der Premium-Stufe generierten Ergebnisse 25 Stunden lang aktiv. Neue Ergebnisse, die auf der Standardstufe generiert wurden, bleiben 195 Stunden lang aktiv.
Hinweis
Wenn Sie VPC Service Controls-Perimeter eingerichtet haben, erstellen Sie die erforderlichen Regeln für ein- und ausgehenden Traffic.
Berechtigungen zum Aktivieren der Sicherheitslückenbewertung für Google Cloud
Wenn Sie die Sicherheitslückenbewertung für Google Cloud bei einer Aktivierung der Standardstufe aktivieren möchten, benötigen Sie die folgenden IAM-Rollen:
- Sicherheitscenter-Administrator (
roles/securitycenter.admin) Eine der folgenden Rollen:
- Sicherheitsadministrator (
roles/iam.securityAdmin) - Organisationsadministrator (
roles/resourcemanager.organizationAdmin)
- Sicherheitsadministrator (
Dienst-Agents zum Scannen von Laufwerken
Der Dienst Sicherheitslückenbewertung für Google Cloud verwendet Security Command Center-Dienst-Agents für die Identität und Berechtigung für den Zugriff auf Google Cloud Ressourcen.
Bei der Aktivierung von Security Command Center auf Unternehmensebene verwendet die Sicherheitslückenbewertung für Google Cloud uses den folgenden Dienst-Agent:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Bei der Aktivierung von Security Command Center auf Projektebene verwendet die Sicherheitslückenbewertung für Google Cloud den folgenden Dienst-Agent:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Aktivieren oder Deaktivieren der Sicherheitslückenbewertung für Google Cloud
Auf den Stufen „Premium“ und „Enterprise“ wird die Sicherheitslückenbewertung für Google Cloud nach Möglichkeit automatisch für alle VM-Instanzen aktiviert.
Auf der Standardstufe müssen Sie die Sicherheitslückenbewertung für Google Cloud manuell auf der Organisations-, Ordner- oder Projektebene aktivieren.
So ändern Sie die Einstellungen für die Sicherheitslückenbewertung für Google Cloud :
Rufen Sie in der Google Cloud Console die Seite Risikoübersicht auf:
Wählen Sie eine Organisation aus, in der Sie die Sicherheitslückenbewertung füraktivieren möchten Google Cloud.
Klicken Sie auf Einstellungen.
Klicken Sie im Bereich Sicherheitslückenbewertung auf Einstellungen verwalten.
Aktivieren oder deaktivieren Sie auf dem Tab Google Cloud die Sicherheitslückenbewertung für Google Cloud auf der Organisations-, Ordner- oder Projektebene in der Agentlose Sicherheitslückenbewertung Spalte. Niedrigere Ebenen können den Wert von höheren Ebenen übernehmen.
Mit CMEK verschlüsselte Laufwerke scannen
Damit die Sicherheitslückenbewertung für Google Cloud mit CMEK verschlüsselte Laufwerke scannen kann, müssen Sie
den folgenden
Dienst-Agents die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“
(roles/cloudkms.cryptoKeyEncrypterDecrypter) zuweisen:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-PROJECT_ID@compute-system.iam.gserviceaccount.com
Wenn Sie den folgenden Dienst-Agent haben, müssen Sie ihm auch die Rolle zuweisen:
service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com
Berechtigungen auf Schlüsselebene konfigurieren
- Rufen Sie die Seite Sicherheit > Schlüsselverwaltung auf.
- Wählen Sie den Schlüsselbund mit dem Schlüssel aus.
- Wählen Sie den Schlüssel aus.
- Klicken Sie im Infofeld auf Berechtigungen.
- Geben Sie den Namen des Dienst-Agents ein, den Sie im Feld Neue Hauptkonten eingegeben haben.
- Wählen Sie im Menü Rolle auswählen die Option Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
- Klicken Sie auf Speichern.
Schlüsselberechtigungen auf Projektebene konfigurieren
- Rufen Sie IAM & Verwaltung > IAM auf.
- Klicken Sie auf Zugriff erlauben.
- Geben Sie den Namen des Dienst-Agents ein, den Sie im Feld Neue Hauptkonten eingegeben haben.
- Wählen Sie im Menü Rolle auswählen die Option Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
Damit die Scans ordnungsgemäß ausgeführt werden können, muss sich der Schlüssel in derselben Region wie das Laufwerk befinden.
Die Sicherheitslückenbewertung für Google Cloud versucht, Laufwerke zu scannen, die mit CMEK verschlüsselt sind. Wenn Sie
die erforderlichen Berechtigungen nicht gewähren, Google Cloud wird in das
Audit-Log der folgende Fehler geschrieben: Cloud KMS error when using key.
Ergebnisse, die von der Sicherheitslückenbewertung fürgeneriert wurden Google Cloud
Der Dienst Sicherheitslückenbewertung für Google Cloud generiert ein Ergebnis in Security Command Center, wenn er Folgendes erkennt, was je nach Dienststufe variiert:
- Software-Sicherheitslücken in einer Compute Engine-VM-Instanz
- Software-Sicherheitslücken auf Knoten in einem GKE-Cluster oder in Containern, die in GKE ausgeführt werden
Sicherheitslücken in Container-Images in den folgenden Ressourcen:
- GKE-Pods
- App Engine-Dienste
- Cloud Run-Dienste und ‑Jobs
Die Häufigkeit der Scans variiert je nach Dienststufe:
| Standardstufe | Premium- und Enterprise-Stufe |
|---|---|
| Einmal pro Woche | Ungefähr alle 12 Stunden |
Die Sicherheitslückenbewertung für Google Cloud veröffentlicht Ergebnisse mit den folgenden Schweregraden, die je nach Dienststufe variieren:
| Standardstufe | Premium- und Enterprise-Stufe |
|---|---|
Ergebnisse mit dem Schweregrad Critical |
Ergebnisse mit dem Schweregrad Critical und High |
Wenn die Sicherheitslückenbewertung für Google Cloud ein Ergebnis erstellt, bleibt es für den
folgenden Zeitraum im Status ACTIVEder je nach Dienststufe variiert:
| Standardstufe | Premium- und Enterprise-Stufe |
|---|---|
| 195 Stunden | 25 Stunden |
Wenn die Sicherheitslückenbewertung für Google Cloud das Ergebnis innerhalb des Zeitraums für den active state erkennt
(je nach Dienststufe), wird der Zähler zurückgesetzt und das Ergebnis bleibt für
einen weiteren Zeitraum im Status ACTIVE.
Wenn die Sicherheitslückenbewertung für Google Cloud das Ergebnis innerhalb des Zeitraums für den Status ACTIVE (je nach Dienststufe) nicht noch einmal erkennt, wird das Ergebnis auf INACTIVEgesetzt. Google Cloud
In Ergebnissen verfügbare Informationen
Ergebnisse enthalten die folgenden allgemeinen Informationen:
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket, das die Sicherheitslücke enthält, und sein Speicherort
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Bewertung des Schweregrads der Sicherheitslücke durch Security Command Center
- Falls verfügbar, Schritte zur Behebung des Problems, einschließlich des Patches oder des Versionsupgrades zur Behebung der Sicherheitslücke
Die folgenden Attributwerte:
- Klasse:
Vulnerability - Cloud-Dienstanbieter:
Google Cloud - Quelle:
Vulnerability Assessment - Kategorie: Einer der folgenden Werte:
Container Image VulnerabilityOS vulnerabilitySoftware vulnerability
- Klasse:
Bestimmte Ergebnisse, die je nach Dienststufe variieren, werden mit Informationen zu den Auswirkungen und der Ausnutzbarkeit einer CVE mithilfe von Mandiant-CVE-Bewertungen angereichert.
| Standardstufe | Premium- und Enterprise-Stufe |
|---|---|
| CVEs mit dem Schweregrad „Critical“ enthalten Informationen zur Mandiant-Bewertung | CVEs mit dem Schweregrad „Critical“ oder „High“ enthalten Informationen zur Mandiant Bewertung |
Ergebnisse, die auf den Dienststufen „Premium“ und „Enterprise“ generiert wurden, enthalten die folgenden Informationen:
- Eine Bewertung des Angriffsrisikos, mit der Sie die Behebung priorisieren können.
- Eine visuelle Darstellung des Pfads, den ein Angreifer zu hochwertigen Ressourcen nehmen könnte, die durch die Sicherheitslücke gefährdet sind.
Ergebnisse für erkannte Software-Sicherheitslücken
Ergebnisse für erkannte Software-Sicherheitslücken enthalten die folgenden zusätzlichen Informationen:
- Der vollständige Ressourcenname der betroffenen VM-Instanz oder des betroffenen GKE-Clusters.
Informationen zum betroffenen Objekt, wenn sich das Ergebnis auf eine GKE-Arbeitslast bezieht, z. B.:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
Da die Sicherheitslückenbewertung für Google Cloud dieselbe Sicherheitslücke in mehreren
Containern erkennen kann, werden Sicherheitslücken auf der
GKE-Arbeitslast- oder Pod-Ebene aggregiert. Google Cloud In einem Ergebnis werden möglicherweise mehrere Werte in einem einzelnen Feld angezeigt, z. B. im Feld files.elem.path.
Ergebnisse für erkannte Sicherheitslücken in Container-Images
Ergebnisse für erkannte Sicherheitslücken in Container-Images enthalten die folgenden zusätzlichen Informationen:
- Der vollständige Ressourcenname des Container-Images
- Alle Laufzeitzuordnungen im Zusammenhang mit dem Ergebnis, wenn das angreifbare Image auf einer der folgenden Ressourcen ausgeführt wird:
- GKE-Pod
- App Engine
- Cloud Run-Dienst und ‑Überarbeitung
- Cloud Run-Job und ‑Ausführung
Aufbewahrung von Ergebnissen
Nachdem sie behoben wurden, werden Ergebnisse, die von der Sicherheitslückenbewertung für Google Cloud generiert wurden, 7 Tage lang aufbewahrt und dann gelöscht. Aktive Ergebnisse der Sicherheitslückenbewertung für Google Cloud werden 1 Jahr und 31 Tage (396 Tage) lang aufbewahrt. Ergebnisse werden auch deaktiviert, wenn das Image oder der Container, das bzw. der mit dem Ergebnis verknüpft ist, gelöscht wird.
Paketstandort
Der Speicherort einer Datei für eine Sicherheitslücke in einem Ergebnis bezieht sich entweder auf die Binär- oder Paketmetadatendateien. Diese Informationen hängen vom SCALIBR-Extraktor ab, den die Sicherheitslückenbewertung für Google Cloud verwendet. Bei Sicherheitslücken, die die Sicherheitslückenbewertung für Google Cloud in einem Container findet, ist dies der Pfad innerhalb des Containers.
Die folgende Tabelle enthält Beispiele für Speicherorte von Sicherheitslücken für verschiedene SCALIBR-Extraktoren.
| SCALIBR-Extraktor | Paketstandort |
|---|---|
Debian-Paket (dpkg) |
/var/lib/dpkg/status |
| Binärdatei für Go | /usr/bin/google_osconfig_agent |
| Java-Archiv | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Ergebnisse in der Console prüfen
Sie können die Ergebnisse der Sicherheitslückenbewertung für Google Cloud in der Google Cloud Console ansehen. Prüfen Sie vorher, ob Sie die entsprechenden Rollen haben.
So prüfen Sie die Ergebnisse der Sicherheitslückenbewertung für Google Cloud in der Google Cloud Console: Führen Sie die folgenden Schritte aus:
-
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Sicherheitslückenbewertung aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Prüfen Sie auf dem Tab Zusammenfassung die Details des Ergebnisses, einschließlich Informationen zu dem, was erkannt wurde, der betroffenen Ressource und – falls verfügbar – Schritte, die Sie zur Behebung des Ergebnisses ausführen können.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.