Ativar e usar a avaliação de vulnerabilidades do Google Cloud

A Avaliação de Vulnerabilidades para Google Cloud ajuda você a descobrir vulnerabilidades de software em Google Cloud recursos sem instalar agentes. Os tipos de recursos verificados dependem do nível de serviço do Security Command Center e incluem o seguinte:

  • Instâncias de VM do Compute Engine em execução
  • Nós em clusters do GKE Standard
  • Contêineres em execução em clusters do GKE Standard e do GKE Autopilot.

A Avaliação de Vulnerabilidades para Google Cloud funciona clonando os discos da instância de VM, ativando-os em outra instância de VM segura e verificando-os com o SCALIBR. O clone da instância de VM tem as seguintes propriedades:

  • Ele é criado na mesma região da instância de VM de origem.
  • Ele é criado em um projeto do Google, então não aumenta seus custos.

Diferenças de capacidade entre níveis de serviço

As seguintes capacidades da Avaliação de Vulnerabilidades para Google Cloud variam dependendo do nível de serviço:

  • A frequência de verificação
  • Quais descobertas são enriquecidas com dados de avaliação de CVE da Mandiant
  • O tempo até que uma descoberta seja marcada como INACTIVE

Consulte Descobertas geradas pela Avaliação de Vulnerabilidades para Google Cloud para mais informações sobre essas diferenças.

Limitações

Considere o seguinte ao identificar os recursos que você quer verificar:

  • Os agentes de serviço do Security Command Center precisam ser capazes de listar instâncias de VM do projeto e clonar os discos delas para projetos do Google. Verifique se as configurações de segurança e política, como as restrições de política da organização, não interferem na capacidade do agente de serviço de acessar e verificar esses recursos.

  • Ao verificar instâncias de VM com discos permanentes criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK), a chave precisa ser armazenada na mesma região do disco. Esse é o local global ou o mesmo local geográfico do disco ao usar chaves multirregionais.

  • A Avaliação de Vulnerabilidades para Google Cloud não oferece suporte à verificação de discos criptografados com CMEK e que estão dentro dos perímetros do VPC Service Controls.

  • A Avaliação de Vulnerabilidades para Google Cloud não oferece suporte a instâncias de VM com discos permanentes que são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK).

  • A Avaliação de Vulnerabilidades para Google Cloud verifica apenas partições de disco VFAT, EXT2 e EXT4.

  • A Avaliação de Vulnerabilidades para Google Cloud tem as seguintes limitações ao verificar clusters do GKE:

Considerações ao fazer upgrade e downgrade de níveis de serviço

Ao mudar os níveis de serviço, as capacidades da Avaliação de Vulnerabilidades para Google Cloud mudam para aquelas com suporte no nível de serviço ativo.

As descobertas geradas pela ativação anterior permanecerão ativas pelo tempo definido pelo nível de serviço anterior. Ao fazer downgrade do nível Premium para o Standard, por exemplo, as descobertas geradas no nível Premium permanecem ativas por 25 horas. As novas descobertas geradas no nível Standard permanecem ativas por 195 horas.

Antes de começar

Se você tiver perímetros do VPC Service Controls configurados, crie as regras de saída e entrada necessárias.

Permissões para ativar a Avaliação de Vulnerabilidades para Google Cloud

Para ativar a Avaliação de Vulnerabilidades para Google Cloud em uma ativação do nível Standard, você precisa dos seguintes papéis do IAM:

  • Administrador da Central de segurança (roles/securitycenter.admin)

  • Um dos seguintes papéis:

    • Administrador de segurança (roles/iam.securityAdmin)
    • Administrador da organização (roles/resourcemanager.organizationAdmin)

Agentes de serviço para verificar discos

A Avaliação de Vulnerabilidades para Google Cloud o serviço usa agentes de serviço do Security Command Center para identidade e permissão de acesso a Google Cloud recursos.

Para ativações do Security Command Center no nível da organização, a Avaliação de Vulnerabilidades para Google Cloud usa o seguinte agente de serviço:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Para ativações do Security Command Center no nível do projeto, a Avaliação de Vulnerabilidades para Google Cloud usa o seguinte agente de serviço:

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

Ativar ou desativar a Avaliação de Vulnerabilidades para Google Cloud

Nos níveis Premium e Enterprise, a Avaliação de Vulnerabilidades para Google Cloud é ativada automaticamente para todas as instâncias de VM, quando possível.

No nível Standard, é necessário ativar manualmente a Avaliação de Vulnerabilidades para Google Cloud a nível de organização, pasta ou projeto.

Para mudar as configurações da Avaliação de Vulnerabilidades para Google Cloud , faça o seguinte:

  1. No Google Cloud console do, acesse a página Visão geral de riscos:

    Acessar Visão geral de riscos

  2. Selecione uma organização em que você quer ativar a Avaliação de Vulnerabilidades para Google Cloud.

  3. Clique em Configurações.

  4. Na seção Avaliação de Vulnerabilidades, clique em Gerenciar configurações.

  5. Na guia Google Cloud , ative ou desative a Avaliação de Vulnerabilidades para Google Cloud a nível de organização, pasta ou projeto na coluna Avaliação de Vulnerabilidades sem agente. Os níveis mais baixos podem herdar o valor de níveis mais altos.

Verificar discos criptografados com CMEK

Para permitir que a Avaliação de Vulnerabilidades para Google Cloud verifique discos criptografados com CMEK, conceda o papel de Criptografador/Descriptografador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) aos seguintes agentes de serviço:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

service-PROJECT_ID@compute-system.iam.gserviceaccount.com

Se você tiver o seguinte agente de serviço, também precisará conceder o papel a ele:

service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com

Configurar permissões no nível da chave

  1. Acesse a página Segurança > Gerenciamento de chaves.
  2. Selecione o keyring que contém a chave.
  3. Selecione a chave.
  4. No painel de informações, clique em Permissões.
  5. Insira o nome do agente de serviço que você inseriu no campo Novos principais.
  6. No menu Selecionar papel, escolha Criptografador/descriptografador de CryptoKey do Cloud KMS.
  7. Clique em Salvar.

Configurar permissões de chave para envolvidos no projeto

  1. Acesse IAM e Admin > IAM.
  2. Clique em Conceder acesso.
  3. Insira o nome do agente de serviço que você inseriu no campo Novos principais.
  4. No menu Selecionar papel, escolha Criptografador/descriptografador de CryptoKey do Cloud KMS.

Para que as verificações sejam executadas corretamente, a chave precisa estar na mesma região do disco. A Avaliação de Vulnerabilidades para Google Cloud tenta verificar discos criptografados usando CMEK. Se você não conceder as permissões necessárias, Google Cloud vai gerar o seguinte erro no registro de auditoria: Cloud KMS error when using key.

Descobertas geradas pela Avaliação de Vulnerabilidades para Google Cloud

A Avaliação de Vulnerabilidades para Google Cloud o serviço gera uma descoberta no Security Command Center quando detecta o seguinte, que varia de acordo com o nível de serviço:

  • Vulnerabilidades de software em uma instância de VM do Compute Engine.
  • Vulnerabilidades de software em nós em um cluster do GKE ou contêineres em execução no GKE.

  • Vulnerabilidades de imagem de contêiner nos seguintes recursos:

    • Pods do GKE
    • Serviços do App Engine
    • Serviços e jobs do Cloud Run

A frequência das verificações varia de acordo com o nível de serviço:

Nível Standard Níveis Premium e Enterprise
Uma vez por semana Aproximadamente a cada 12 horas

A Avaliação de Vulnerabilidades para Google Cloud publica descobertas com as seguintes gravidades, que variam de acordo com o nível de serviço:

Nível Standard Níveis Premium e Enterprise
Descobertas de gravidade Critical Descobertas de gravidade Critical e High

Quando a Avaliação de Vulnerabilidades para Google Cloud cria uma descoberta, ela permanece no estado ACTIVE pelo seguinte período de estado ativo, que varia de acordo com o nível de serviço:

Nível Standard Níveis Premium e Enterprise
195 horas 25 horas

Se a Avaliação de Vulnerabilidades para Google Cloud detectar a descoberta novamente dentro do período de estado ativo (com base no nível de serviço), o contador será redefinido e a descoberta permanecerá no estado ACTIVE por outro período de estado ativo.

Se a Avaliação de Vulnerabilidades para Google Cloud não detectar a descoberta novamente dentro do período de estado ativo (com base no nível de serviço), a Avaliação de Vulnerabilidades para Google Cloud vai definir a descoberta como INACTIVE.

Informações disponíveis nas descobertas

As descobertas contêm as seguintes informações comuns:

  • Uma descrição da vulnerabilidade, incluindo as seguintes informações:
    • O pacote de software que contém a vulnerabilidade e o local dele
    • Informações do registro de CVE associado
    • Uma avaliação do Security Command Center da gravidade da vulnerabilidade
  • Se disponível, etapas para corrigir o problema, incluindo o patch ou o upgrade de versão para resolver a vulnerabilidade

  • Os seguintes valores de propriedade:

    • Classe: Vulnerability
    • Provedor de serviços de nuvem: Google Cloud
    • Origem: Vulnerability Assessment
    • Categoria: um dos seguintes valores:
      • Container Image Vulnerability
      • OS vulnerability
      • Software vulnerability

Algumas descobertas, que variam de acordo com o nível de serviço, são enriquecidas com informações sobre o impacto e a capacidade de exploração de uma CVE usando as avaliações de CVE da Mandiant.

Nível Standard Níveis Premium e Enterprise
As CVEs que têm uma gravidade crítica incluem informações de avaliação da Mandiant As CVEs que têm uma gravidade crítica ou alta incluem informações de avaliação da Mandiant

As descobertas geradas nos níveis de serviço Premium e Enterprise incluem as seguintes informações:

  • Uma pontuação de exposição a ataques que ajuda você a priorizar a correção.
  • Uma representação visual do caminho que um invasor pode seguir para recursos de alto valor expostos pela vulnerabilidade.

Descobertas de vulnerabilidades de software detectadas

As descobertas de vulnerabilidades de software detectadas contêm as seguintes informações adicionais:

  • O nome completo do recurso da instância de VM ou do cluster do GKE afetado.

  • Informações sobre o objeto afetado quando a descoberta está relacionada a uma carga de trabalho do GKE, por exemplo:

    • CronJob
    • DaemonSet
    • Deployment
    • Job
    • Pod
    • ReplicationController
    • ReplicaSet
    • StatefulSet

Como a Avaliação de Vulnerabilidades para Google Cloud pode identificar a mesma vulnerabilidade em vários contêineres, a Avaliação de Vulnerabilidades para Google Cloud agrega vulnerabilidades no nível da carga de trabalho do GKE ou do pod. Em uma descoberta, é possível encontrar vários valores em um único campo, por exemplo, no campo files.elem.path.

Descobertas de vulnerabilidades de imagem de contêiner detectadas

As descobertas de vulnerabilidades de imagem de contêiner detectadas contêm as seguintes informações adicionais:

  • O nome completo do recurso da imagem do contêiner
  • Qualquer associação de ambiente de execução relacionada à descoberta, se a imagem vulnerável for executada em um dos seguintes itens:
    • Pod do GKE
    • App Engine
    • Serviço e revisão do Cloud Run
    • Job e execução do Cloud Run

Retenção de descobertas

Depois de resolvidas, as descobertas geradas pela Avaliação de Vulnerabilidades para Google Cloud são mantidas por sete dias e depois excluídas. As descobertas ativas da Avaliação de Vulnerabilidades para Google Cloudsão mantidas por um ano e 31 dias (396 dias). As descobertas também são desativadas se a imagem ou o contêiner associado a elas for excluído.

Localização do pacote

O local do arquivo de uma vulnerabilidade em uma descoberta se refere aos arquivos binários ou de metadados do pacote. Essas informações dependem do extrator SCALIBR que a Avaliação de Vulnerabilidades para Google Cloud usa. Para vulnerabilidades que a Avaliação de Vulnerabilidades para Google Cloud encontra em um contêiner, esse é o caminho dentro do contêiner.

A tabela a seguir mostra exemplos de locais de vulnerabilidade para vários extratores SCALIBR.

Extrator SCALIBR Localização do pacote
Pacote Debian (dpkg) /var/lib/dpkg/status
Binário Go /usr/bin/google_osconfig_agent
arquivo Java /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar
PHP /var/www/html/vkumark/backend_api/composer.lock
Python /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA
Ruby /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec

Analisar descobertas no console

É possível conferir as descobertas da Avaliação de Vulnerabilidades para Google Cloud no Google Cloud console. Antes de fazer isso, verifique se você tem os papéis adequados.

Para analisar as descobertas da Avaliação de Vulnerabilidades para Google Cloud no console do Google Cloud , siga estas etapas:

  1. No Google Cloud console do, acesse a página Descobertas do Security Command Center.

    Acessar descobertas

  2. Selecioneo seu Google Cloud projeto ou a organização.
  3. Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Avaliação de Vulnerabilidades. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
  4. Para visualizar os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
  5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
  6. Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.