Mit der Sicherheitslückenbewertung für Google Cloud können Sie kritische und schwerwiegende Software-Sicherheitslücken erkennen, ohne Agents in den folgenden Bereichen installieren zu müssen:
- Compute Engine-VM-Instanzen ausführen
- Knoten in GKE Standard-Clustern
- Container, die in GKE Standard- und GKE Autopilot-Clustern ausgeführt werden
Die Sicherheitslückenbewertung für Google Cloud funktioniert so: Die Festplatten Ihrer VM-Instanz werden etwa alle 12 Stunden geklont, in einer anderen sicheren VM-Instanz bereitgestellt und mit dem SCALIBR-Scanner bewertet. Bei der Sicherheitslückenbewertung für Google Cloud werden das Host- und das Containerdateisystem gescannt.
Der VM-Instanzklon hat die folgenden Attribute:
- Sie wird in derselben Region wie die Quell-VM-Instanz erstellt.
- Es wird in einem Google-Projekt erstellt, sodass keine zusätzlichen Kosten anfallen.
Es werden nur ausgeführte VM-Instanzen, Knoten und Container gescannt. Wenn ein Ergebnis erstellt wird, hat es 25 Stunden lang den Status ACTIVE. Wenn das Problem innerhalb dieses Zeitraums von 25 Stunden noch einmal erkannt wird, wird der Zähler zurückgesetzt und das Ergebnis bleibt weitere 25 Stunden im Status ACTIVE.
Wenn das Ergebnis innerhalb des 25-Stunden-Zeitraums nicht noch einmal erkannt wird, wird es auf INACTIVE gesetzt.
Wenn die VM-Instanz oder der Knoten heruntergefahren wird, wird das Ergebnis nach dem 25-Stunden-Zeitraum auf INACTIVE gesetzt, auch wenn die Sicherheitslücke nicht behoben wurde.
Hinweise
Wenn Sie VPC Service Controls-Perimeter eingerichtet haben, erstellen Sie die erforderlichen Regeln für ein- und ausgehenden Traffic.
Beschränkungen
- VM-Instanzen mit nichtflüchtigen Speichern, die mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer Managed Encryption Keys, CMEK) verschlüsselt sind und Schlüssel an einem globalen Standort oder einen multiregionalen Schlüssel am selben geografischen Standort wie das Laufwerk haben.
- VM-Instanzen mit persistenten Laufwerken, die mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt sind und CMEK-Schlüssel in Projekten in VPC Service Controls-Perimetern haben.
- VM-Instanzen mit nichtflüchtigen Speichern, die mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (CSEK) verschlüsselt sind
- Es werden nur VFAT-, EXT2- und EXT4-Partitionen gescannt.
- Der Security Command Center-Dienst-Agent benötigt Zugriff, um VM-Instanzen in Projekten aufzulisten und ihre Laufwerke in Google-Projekte zu klonen. Einige Sicherheits- und Richtlinienkonfigurationen wie Einschränkungen für Organisationsrichtlinien können diesen Zugriff beeinträchtigen und verhindern, dass der Scan durchgeführt wird.
- GKE-Cluster mit aktiviertem Image-Streaming werden nicht gescannt.
Dienstidentität und Berechtigungen
Für die Sicherheitslückenbewertung für den Dienst Google Cloud werden Security Command Center-Dienst-Agents für die Identität und die Berechtigung für den Zugriff auf Google Cloud -Ressourcen verwendet.
Bei der Aktivierung von Security Command Center auf Organisationsebene wird der folgende Service-Agent verwendet:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Bei der Aktivierung von Security Command Center auf Projektebene wird der folgende Dienst-Agent verwendet:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Sicherheitslückenbewertung für Google Cloudaktivieren oder deaktivieren
Standardmäßig ist die Sicherheitslückenbewertung für Google Cloud für alle VM-Instanzen, sofern möglich, automatisch für Organisationen aktiviert, die zu den Premium- oder Enterprise-Stufen von Security Command Center gehören. So ändern Sie diese Einstellung:
Rufen Sie in der Google Cloud Console die Seite Risikoübersicht auf:
Wählen Sie eine Organisation aus, in der Sie die Sicherheitslückenbewertung für Google Cloudaktivieren möchten.
Klicken Sie auf Einstellungen.
Klicken Sie im Bereich Vulnerability Assessment (Schwachstellenanalyse) auf Einstellungen verwalten.
Aktivieren oder deaktivieren Sie auf dem Tab Google Cloud in der Spalte Agentless Vulnerability Assessment (Agentenlose Sicherheitslückenbewertung) die Sicherheitslückenbewertung für Google Cloud auf Organisations-, Ordner- oder Projektebene. Für niedrigere Ebenen kann auch festgelegt werden, dass der Wert von höheren Ebenen übernommen wird.
Scans auf Sicherheitslücken für CMEK-Laufwerke ausführen
Damit die Sicherheitslückenbewertung für Google Cloud mit CMEK verschlüsselte Laufwerke scannen kann, müssen Sie den folgenden Dienst-Agents die Rolle Cloud KMS CryptoKey Encrypter/Decrypter zuweisen:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-PROJECT_ID@compute-system.iam.gserviceaccount.com
Wenn Sie den folgenden Dienst-Agenten haben, müssen Sie ihm auch Berechtigungen erteilen:
service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com
Berechtigungen auf Schlüsselebene konfigurieren
- Rufen Sie die Seite Sicherheit > Schlüsselverwaltung auf.
- Wählen Sie den Schlüsselbund aus, der den Schlüssel enthält.
- Wählen Sie den Schlüssel aus.
- Klicken Sie im Infofeld auf Berechtigungen.
- Geben Sie den Namen des Dienst-Agents ein, den Sie im Feld Neue Hauptkonten eingegeben haben.
- Wählen Sie im Menü Rolle auswählen die Option Cloud KMS CryptoKey Verschlüsseler/Entschlüsseler aus.
- Klicken Sie auf Speichern.
Schlüsselberechtigungen auf Projektebene konfigurieren
- Rufen Sie IAM & Verwaltung > IAM auf.
- Klicken Sie auf Zugriff erlauben.
- Geben Sie den Namen des Dienst-Agents ein, den Sie im Feld Neue Hauptkonten eingegeben haben.
- Wählen Sie im Menü Rolle auswählen die Option Cloud KMS CryptoKey Verschlüsseler/Entschlüsseler aus.
Ergebnisse der Prüfung auf Sicherheitslücken für Google Cloud
Wenn der Dienst „Vulnerability Assessment for Google Cloud “ eines der folgenden Probleme erkennt, wird in Security Command Center ein Ergebnis generiert:
- Eine Softwarelücke auf einer Compute Engine-VM-Instanz, einem Knoten in einem GKE-Cluster oder einem Container, der in GKE ausgeführt wird
- Eine Container-Image-Sicherheitslücke in einem Container-Image, das in einem GKE-Pod, einem App Engine- oder einem Cloud Run-Dienst oder -Job ausgeführt wird
Alle Ergebnisse
Alle Ergebnisse enthalten die folgenden Informationen:
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket, das die Sicherheitslücke enthält, und sein Speicherort
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Bewertung der Auswirkungen und der Ausnutzbarkeit der Sicherheitslücke durch Mandiant
- Eine Bewertung der Schwere der Sicherheitslücke durch Security Command Center
- Eine Bewertung der Angriffsgefahr, mit der Sie Abhilfemaßnahmen priorisieren können
- Eine visuelle Darstellung des Pfads, den ein Angreifer zu den hochwertigen Ressourcen nehmen könnte, die durch die Sicherheitslücke gefährdet sind
- Falls verfügbar, Schritte, die Sie zur Behebung des Problems ausführen können, einschließlich des Patches oder Versionsupgrades, mit dem Sie die Sicherheitslücke beheben können
Alle Ergebnisse der Sicherheitslückenbewertung für Google Cloud haben die folgenden Attributwerte:
- Kategorie
Container Image VulnerabilityOS vulnerabilitySoftware vulnerability- Klasse
Vulnerability- Cloud-Dienstanbieter
Google Cloud- Quelle
Vulnerability Assessment
Ergebnisse zu erkannten Software-Sicherheitslücken
Ergebnisse für erkannte Software-Sicherheitslücken enthalten die folgenden Informationen:
- Der vollständige Ressourcenname der betroffenen Instanz oder des betroffenen GKE-Clusters.
- Wenn der Befund mit einer GKE-Arbeitslast zusammenhängt, werden Informationen zum betroffenen Objekt angezeigt, z. B.:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
Da dieselbe Sicherheitslücke in mehreren Containern erkannt werden kann, werden Sicherheitslücken auf GKE-Arbeitslast- oder ‑Pod-Ebene zusammengefasst.
In einem Ergebnis können Sie mehrere Werte in einem einzelnen Feld sehen, z. B. im Feld files.elem.path.
Ergebnisse für erkannte Sicherheitslücken in Container-Images
Ergebnisse für erkannte Sicherheitslücken in Container-Images enthalten die folgenden Informationen:
- Vollständiger Ressourcenname des Container-Images
- Alle Laufzeitzuordnungen im Zusammenhang mit dem Ergebnis, wenn das anfällige Image auf einem der folgenden Elemente ausgeführt wird:
- GKE-Pod
- App Engine
- Cloud Run-Dienst und -Überarbeitung
- Cloud Run-Job und -Ausführung
Aufbewahrung von Ergebnissen
Nachdem sie behoben wurden, werden die von der Sicherheitsrisikobewertung für Google Cloud generierten Ergebnisse 7 Tage lang aufbewahrt und dann gelöscht. Ergebnisse der aktiven Sicherheitslückenbewertung für Google Cloudwerden auf unbestimmte Zeit aufbewahrt.
Paketstandort
Der Dateipfad einer in den Ergebnissen gemeldeten Sicherheitslücke bezieht sich entweder auf eine Binärdatei oder auf Paketmetadatendateien. Was aufgeführt wird, hängt vom verwendeten SCALIBR-Extractor ab. Bei Sicherheitslücken, die in einem Container gefunden wurden, ist dies der Pfad innerhalb des Containers.
In der folgenden Tabelle finden Sie einige Beispiele für den Ort der Sicherheitslücke, der für verschiedene SCALIBR-Extraktoren angezeigt wird.
| SCALIBR-Extraktor | Paketstandort |
|---|---|
Debian-Paket (dpkg) |
/var/lib/dpkg/status |
| Go-Binärdatei | /usr/bin/google_osconfig_agent |
| Java-Archiv | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Ergebnisse in der Console ansehen
Sie können die Ergebnisse der Sicherheitslückenbewertung für Google Cloud in der Google Cloud -Konsole ansehen. Bevor Sie das tun, müssen Sie dafür sorgen, dass Ihr Hauptkonto die erforderlichen Rollen hat.
So prüfen Sie die Ergebnisse der Sicherheitslückenbewertung für Google Cloud in der Google Cloud Console:
-
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Vulnerability Assessment aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.