Attivare e utilizzare la valutazione delle vulnerabilità per Google Cloud

La Valutazione di vulnerabilità per Google Cloud ti aiuta a scoprire le vulnerabilità del software nelle risorse Google Cloudsenza installare agenti. I tipi di risorse analizzate dipendono dal livello di servizio di Security Command Center e includono quanto segue:

  • Istanze VM di Compute Engine in esecuzione
  • Nodi nei cluster GKE Standard
  • Container in esecuzione nei cluster GKE Standard e GKE Autopilot.

La valutazione di vulnerabilità per Google Cloud funziona clonando i dischi delle istanze VM, montandoli in un'altra istanza VM sicura e analizzandoli con SCALIBR. Il clone dell'istanza VM ha le seguenti proprietà:

  • Viene creato nella stessa regione dell'istanza VM di origine.
  • Viene creato in un progetto di proprietà di Google, quindi non comporta costi aggiuntivi.

Differenze di funzionalità tra i livelli di servizio

Le seguenti funzionalità di Valutazione di vulnerabilità per Google Cloud variano a seconda del livello di servizio:

  • La frequenza di scansione
  • I risultati arricchiti con i dati di valutazione CVE di Mandiant
  • Il tempo prima che un risultato venga contrassegnato come INACTIVE

Per ulteriori informazioni su queste differenze, consulta Risultati generati dalla Valutazione di vulnerabilità per Google Cloud.

Limitazioni

Tieni presente quanto segue quando identifichi le risorse che vuoi analizzare:

  • Gli agenti di servizio di Security Command Center devono essere in grado di elencare le istanze VM del progetto e clonare i relativi dischi nei progetti di proprietà di Google. Assicurati che le configurazioni di sicurezza e delle policy, come i vincoli delle policy dell'organizzazione, non interferiscano con la capacità dell'agente di servizio di accedere a queste risorse ed eseguirne la scansione.

  • Quando esegui la scansione delle istanze VM con dischi permanenti criptati con chiavi di crittografia gestite dal cliente (CMEK), la chiave deve essere archiviata nella stessa regione del disco. Si tratta della località globale o della stessa località geografica del disco quando si utilizzano chiavi multi-regionali.

  • La valutazione di vulnerabilità per Google Cloud non supporta la scansione dei dischi criptati con CMEK e che si trovano all'interno dei perimetri dei Controlli di servizio VPC.

  • La valutazione di vulnerabilità per Google Cloud non supporta le istanze VM con dischi permanenti che sono criptati con chiavi di crittografia fornite dal cliente (CSEK).

  • La valutazione di vulnerabilità per Google Cloud esegue la scansione solo delle partizioni del disco VFAT, EXT2, EXT4, XFS e NTFS.

  • La valutazione di vulnerabilità per Google Cloud non include le etichette dei cluster nei risultati quando esegue la scansione dei cluster GKE.

  • La valutazione di vulnerabilità per Google Cloud non esegue la scansione delle macchine virtuali Confidential Computing e dei nodi Confidential Google Kubernetes Engine.

Considerazioni sull'upgrade e sul downgrade dei livelli di servizio

Quando passi da un livello di servizio all'altro, le funzionalità di Valutazione di vulnerabilità per Google Cloud cambiano in quelle supportate nel livello di servizio attivo.

I risultati generati dall'attivazione precedente rimarranno attivi per il periodo definito dal livello di servizio precedente. Ad esempio, quando esegui il downgrade dal livello Premium al livello Standard, i risultati generati nel livello Premium rimangono attivi per 25 ore. I nuovi risultati generati nel livello Standard rimangono attivi per 195 ore.

Prima di iniziare

Se hai configurato i perimetri dei Controlli di servizio VPC , crea le regole in entrata e in uscita richieste.

Autorizzazioni per abilitare la valutazione di vulnerabilità per Google Cloud

Le autorizzazioni richieste dipendono dal livello di attivazione di Security Command Center. Per informazioni sulle autorizzazioni richieste per le attivazioni di Security Command Center Premium, consulta Attivare Security Command Center Premium per un'organizzazione.

Attivazioni del livello Standard a livello di organizzazione

Per abilitare la valutazione di vulnerabilità per Google Cloud con un'attivazione del livello Standard a livello di organizzazione, devi disporre dei seguenti ruoli IAM:

  • Amministratore Centro sicurezza (roles/securitycenter.admin)
  • Uno dei seguenti ruoli:

    • Amministratore sicurezza (roles/iam.securityAdmin)
    • Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)

Attivazioni del livello Premium o Standard a livello di progetto

Per abilitare la valutazione di vulnerabilità per Google Cloud in un progetto quando Security Command Center è attivato solo a livello di progetto, devi disporre dei seguenti ruoli IAM:

  • Amministratore Centro sicurezza (roles/securitycenter.admin)
  • Amministratore sicurezza (roles/iam.securityAdmin)

Agenti di servizio per l'analisi dei dischi

Il servizio di Valutazione di vulnerabilità per Google Cloud utilizza gli agenti di servizio di Security Command Center per l'identità e l'autorizzazione ad accedere alle Google Cloud risorse.

Per le attivazioni di Security Command Center a livello di organizzazione, la valutazione di vulnerabilità per Google Cloud utilizza il seguente service agent:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Per le attivazioni di Security Command Center a livello di progetto, la Valutazione di vulnerabilità per Google Cloud utilizza il seguente service agent:

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

Abilitare o disabilitare la valutazione di vulnerabilità per Google Cloud

Nei livelli Premium ed Enterprise, la valutazione di vulnerabilità per Google Cloud è abilitata automaticamente per tutte le istanze VM, ove possibile.

Nel livello Standard, devi abilitare manualmente la valutazione di vulnerabilità per Google Cloud a livello di organizzazione, cartella o progetto.

Per modificare le impostazioni di Valutazione di vulnerabilità per Google Cloud :

  1. Nella Google Cloud console, vai alla pagina Panoramica dei rischi:

    Vai alla panoramica dei rischi

  2. Seleziona un'organizzazione in cui abilitare la valutazione di vulnerabilità per Google Cloud.

  3. Fai clic su Impostazioni.

  4. Nella sezione Valutazione di vulnerabilità, fai clic su Gestisci impostazioni.

  5. Nella scheda Google Cloud , abilita o disabilita la valutazione di vulnerabilità per Google Cloud a livello di organizzazione, cartella o progetto dalla Valutazione delle vulnerabilità senza agenti colonna. I livelli inferiori possono ereditare il valore dai livelli superiori.

Analizzare i dischi criptati con CMEK

Per consentire alla Valutazione di vulnerabilità per Google Cloud di scansionare i dischi criptati con CMEK, devi concedere il ruolo Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) ai seguenti service agent:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-PROJECT_ID@compute-system.iam.gserviceaccount.com

Se hai il seguente agente di servizio, devi concedere il ruolo anche a questo agente di servizio:

service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com

Configurare le autorizzazioni a livello di chiave

  1. Vai alla pagina Sicurezza > Gestione delle chiavi.
  2. Seleziona il keyring contenente la chiave.
  3. Seleziona la chiave.
  4. Nel riquadro delle informazioni, fai clic su Autorizzazioni.
  5. Inserisci il nome dell'agente di servizio che hai inserito nel campo Nuove entità.
  6. Nel menu Seleziona un ruolo, seleziona Cloud KMS CryptoKey Encrypter/Decrypter.
  7. Fai clic su Salva.

Configurare le autorizzazioni delle chiavi a livello di progetto

  1. Vai a IAM e amministrazione > IAM.
  2. Fai clic su Concedi l'accesso.
  3. Inserisci il nome dell'agente di servizio che hai inserito nel campo Nuove entità.
  4. Nel menu Seleziona un ruolo, seleziona Cloud KMS CryptoKey Encrypter/Decrypter.

Affinché le scansioni vengano eseguite correttamente, la chiave deve trovarsi nella stessa regione del disco. Valutazione di vulnerabilità per Google Cloud tenta di analizzare i dischi criptati con CMEK. Se non concedi le autorizzazioni richieste, Google Cloud genera il seguente errore nel log di audit: Cloud KMS error when using key.

Risultati generati dalla Valutazione di vulnerabilità per Google Cloud

Il servizio Valutazione di vulnerabilità per Google Cloud genera un risultato in Security Command Center quando rileva quanto segue:

  • Vulnerabilità del software in un'istanza VM di Compute Engine.
  • Vulnerabilità del software sui nodi di un cluster GKE o sui container in esecuzione su GKE.
  • Vulnerabilità delle immagini container nelle seguenti risorse:

    • Pod GKE
    • Servizi App Engine
    • Servizi e job Cloud Run

La frequenza delle scansioni varia in base al livello di servizio:

Livello Standard Livelli Premium ed Enterprise
Una volta alla settimana Circa ogni 12 ore

La valutazione di vulnerabilità per Google Cloud pubblica i risultati con le seguenti gravità, che variano in base al livello di servizio:

Livello Standard Livelli Premium ed Enterprise
Risultati con gravità Critical Risultati con gravità Critical e High

Quando la valutazione delle vulnerabilità per Google Cloud crea un risultato, questo rimane nello stato ACTIVE per il seguente periodo di stato attivo, che varia in base al livello di servizio:

Livello Standard Livelli Premium ed Enterprise
195 ore 25 ore

Se la Valutazione di vulnerabilità per Google Cloud rileva di nuovo il risultato entro il periodo di stato attivo (in base al livello di servizio), il contatore viene reimpostato e il risultato rimane nello stato ACTIVE per un altro periodo di stato attivo.

Se la valutazione delle vulnerabilità per Google Cloud non rileva di nuovo il risultato entro il periodo di stato attivo (in base al livello di servizio), la valutazione delle vulnerabilità per Google Cloud imposta il risultato su INACTIVE.

Informazioni disponibili nei risultati

I risultati contengono le seguenti informazioni comuni:

  • Una descrizione della vulnerabilità, incluse le seguenti informazioni:
    • Il pacchetto software contenente la vulnerabilità e la sua posizione
    • Informazioni dal record CVE associato
    • Una valutazione di Security Command Center della gravità della vulnerabilità
  • Se disponibili, i passaggi per risolvere il problema, inclusa la patch o l'upgrade della versione per risolvere la vulnerabilità
  • I seguenti valori delle proprietà:

    • Classe: Vulnerability
    • Provider di servizi cloud: Google Cloud
    • Origine: Vulnerability Assessment
    • Categoria: uno dei seguenti valori:
      • Container Image Vulnerability
      • OS vulnerability
      • Software vulnerability

Alcuni risultati, che variano in base al livello di servizio, sono arricchiti con informazioni sull'impatto e sull'esplorabilità di un CVE utilizzando le valutazioni CVE di Mandiant.

Livello Standard Livelli Premium ed Enterprise
I CVE con gravità Critical includono le informazioni di valutazione di Mandiant I CVE con gravità Critical o High includono le informazioni di valutazione di Mandiant assessment

I risultati generati nei livelli di servizio Premium ed Enterprise includono le seguenti informazioni:

  • Un punteggio di esposizione agli attacchi che ti aiuta a dare la priorità alla correzione.
  • Una rappresentazione visiva del percorso che un utente malintenzionato potrebbe intraprendere per accedere alle risorse di alto valore esposte dalla vulnerabilità.

Risultati per le vulnerabilità del software rilevate

I risultati per le vulnerabilità del software rilevate contengono le seguenti informazioni aggiuntive:

  • Il nome completo della risorsa dell'istanza VM o del cluster GKE interessato.
  • Informazioni sull'oggetto interessato quando il risultato riguarda un carico di lavoro GKE, ad esempio:

    • CronJob
    • DaemonSet
    • Deployment
    • Job
    • Pod
    • ReplicationController
    • ReplicaSet
    • StatefulSet

Poiché la Valutazione di vulnerabilità per Google Cloud può identificare la stessa vulnerabilità in più container, la Valutazione di vulnerabilità per Google Cloud aggrega le vulnerabilità a livello di carico di lavoro GKE o di pod. In un risultato, potresti visualizzare più valori in un singolo campo, ad esempio nel campo files.elem.path.

Risultati per le vulnerabilità delle immagini container rilevate

I risultati per le vulnerabilità delle immagini container rilevate contengono le seguenti informazioni aggiuntive:

  • Il nome completo della risorsa dell'immagine container
  • Se l'immagine vulnerabile è in esecuzione su uno dei seguenti servizi, il risultato include un conteggio delle risorse di runtime interessate:
    • Pod GKE
    • App Engine
    • Servizio e revisione Cloud Run
    • Job ed esecuzione Cloud Run

Conservazione dei risultati

Una volta risolti, i risultati generati dalla Valutazione di vulnerabilità per Google Cloud vengono conservati per 7 giorni, dopodiché vengono eliminati. Valutazione di vulnerabilità attiva per Google Cloud i risultati vengono conservati per 1 anno e 31 giorni (396 giorni). I risultati vengono disattivati anche se l'immagine o il container associato al risultato viene eliminato.

Località pacchetto

La posizione del file di una vulnerabilità in un risultato si riferisce ai file binari o ai file di metadati del pacchetto. Queste informazioni dipendono dall' estrattore SCALIBR utilizzato dalla Valutazione di vulnerabilità per Google Cloud . Per le vulnerabilità che la Valutazione di vulnerabilità per Google Cloud trova in un container, questo è il percorso all'interno del container.

La tabella seguente mostra esempi di posizioni delle vulnerabilità per vari estrattori SCALIBR.

Estrattore SCALIBR Località pacchetto
Pacchetto Debian (dpkg) /var/lib/dpkg/status
Binario Go /usr/bin/google_osconfig_agent
Archivio Java /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar
PHP /var/www/html/vkumark/backend_api/composer.lock
Python /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA
Ruby /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec

Esaminare i risultati nella console

Puoi visualizzare i risultati della Valutazione di vulnerabilità per Google Cloud nella Google Cloud console. Prima di farlo, assicurati di disporre dei ruoli appropriati.

Per esaminare i risultati della valutazione di vulnerabilità per Google Cloud nella Google Cloud console, segui questi passaggi:

  1. Nella Google Cloud console, vai alla pagina Risultati di Security Command Center.

    Vai ai risultati

  2. Seleziona il tuo Google Cloud progetto o la tua organizzazione.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Valutazione di vulnerabilità. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati da questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo , esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi intraprendere per correggere il risultato.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.