La Evaluación de vulnerabilidades de Google Cloud te ayuda a descubrir vulnerabilidades de software en Google Cloud los recursos sin instalar agentes. Los tipos de recursos analizados dependen del nivel de servicio de Security Command Center y son los siguientes:
- Instancias de VM de Compute Engine en ejecución
- Nodos en clústeres de GKE Standard
- Contenedores que se ejecutan en clústeres de GKE Standard y GKE Autopilot
La Evaluación de vulnerabilidades de Google Cloud funciona clonando los discos de tu instancia de VM, activándolos en otra instancia de VM segura y analizándolos con SCALIBR. El clon de la instancia de VM tiene las siguientes propiedades:
- Se crea en la misma región que la instancia de VM de origen.
- Se crea en un proyecto propiedad de Google, por lo que no aumenta tus costos.
Diferencias de capacidades entre los niveles de servicio
Las siguientes capacidades de la Evaluación de vulnerabilidades de Google Cloud varían según el nivel de servicio:
- La frecuencia de análisis
- Qué hallazgos se enriquecen con los datos de evaluación de CVE de Mandiant
- El tiempo hasta que un hallazgo se marca como
INACTIVE
Consulta Hallazgos generados por la Evaluación de vulnerabilidades de Google Cloud para obtener más información sobre estas diferencias.
Limitaciones
Ten en cuenta lo siguiente cuando identifiques los recursos que deseas analizar:
Los agentes de servicio de Security Command Center deben poder enumerar las instancias de VM del proyecto y clonar sus discos en proyectos propiedad de Google. Asegúrate de que las configuraciones de seguridad y políticas, como las restricciones de las políticas de la organización, no interfieran con la capacidad del agente de servicio para acceder a estos recursos y analizarlos.
Cuando se analizan instancias de VM con discos persistentes encriptados con claves de encriptación administradas por el cliente (CMEK), la clave debe almacenarse en la misma región que el disco. Esta es la ubicación global o la misma ubicación geográfica que el disco cuando se usan claves multirregionales.
La Evaluación de vulnerabilidades de Google Cloud no admite el análisis de discos encriptados con CMEK y que se encuentran dentro de los perímetros de los Controles del servicio de VPC.
La Evaluación de vulnerabilidades de Google Cloud no admite instancias de VM con discos persistentes que estén encriptados con claves de encriptación proporcionadas por el cliente (CSEK).
La Evaluación de vulnerabilidades de Google Cloud analiza solo las particiones de disco VFAT, EXT2 y EXT4.
La Evaluación de vulnerabilidades de Google Cloud tiene las siguientes limitaciones cuando analiza clústeres de GKE:
No se analizan los clústeres de GKE que tienen habilitada la transmisión de imágenes. Sin embargo, si usas la evaluación de vulnerabilidades de Artifact Registry, es posible que veas hallazgos de vulnerabilidades de imágenes para estos clústeres.
Las etiquetas de clúster no se incluyen en los hallazgos.
Consideraciones cuando se actualizan y se revierten los niveles de servicio
Cuando cambias los niveles de servicio, las capacidades de la Evaluación de vulnerabilidades de Google Cloud cambian a las compatibles con el nivel de servicio activo.
Los hallazgos generados por la activación anterior permanecerán activos durante el tiempo definido por el nivel de servicio anterior. Cuando se revierte del nivel Premium al Estándar, por ejemplo, los hallazgos generados en el nivel Premium permanecen activos durante 25 horas. Los hallazgos nuevos generados en el nivel Estándar permanecen activos durante 195 horas.
Antes de comenzar
Si tienes perímetros de los Controles del servicio de VPC configurados, crea las reglas de entrada y salida necesarias.
Permisos para habilitar la Evaluación de vulnerabilidades de Google Cloud
Para habilitar la Evaluación de vulnerabilidades de Google Cloud con una activación de nivel Estándar, necesitas los siguientes roles de IAM:
- Administrador del centro de seguridad (
roles/securitycenter.admin) Uno de los siguientes roles:
- Administrador de seguridad (
roles/iam.securityAdmin) - Administrador de la organización (
roles/resourcemanager.organizationAdmin)
- Administrador de seguridad (
Agentes de servicio para analizar discos
El servicio de Evaluación de vulnerabilidades de Google Cloud usa agentes de servicio de Security Command Center para la identidad y el permiso de acceso a los Google Cloud recursos.
Para las activaciones a nivel de organización de Security Command Center, la Evaluación de vulnerabilidades de Google Cloud usa el siguiente agente de servicio:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Para las activaciones a nivel de proyecto de Security Command Center, la Evaluación de vulnerabilidades de Google Cloud usa el siguiente agente de servicio:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Habilita o inhabilita la Evaluación de vulnerabilidades de Google Cloud
En los niveles Premium y Enterprise, la Evaluación de vulnerabilidades de Google Cloud se habilita automáticamente para todas las instancias de VM cuando es posible.
En el nivel Estándar, debes habilitar manualmente la Evaluación de vulnerabilidades de Google Cloud a nivel de la organización, la carpeta o el proyecto.
Para cambiar la configuración de la Evaluación de vulnerabilidades de Google Cloud , haz lo siguiente:
En la Google Cloud consola, ve a la página Descripción general de riesgos:
Selecciona una organización en la que habilitar la Evaluación de vulnerabilidades de Google Cloud.
Haz clic en Configuración.
En la sección Evaluación de vulnerabilidades, haz clic en Administrar configuración.
En la pestaña Google Cloud, habilita o inhabilita la Evaluación de vulnerabilidades para Google Cloud a nivel de la organización, la carpeta o el proyecto desde la Evaluación de vulnerabilidades sin agente columna. Los niveles inferiores pueden heredar el valor de los niveles superiores.
Analiza discos encriptados con CMEK
Para permitir que la Evaluación de vulnerabilidades de Google Cloud analice discos encriptados con CMEK, debes otorgar
el rol Encriptador/Desencriptador de CryptoKey de Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) a los siguientes
agentes de servicio:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-PROJECT_ID@compute-system.iam.gserviceaccount.com
Si tienes el siguiente agente de servicio, también debes otorgarle el rol:
service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com
Configura permisos a nivel de la clave
- Navega a la página Seguridad > Administración de claves.
- Selecciona el llavero de claves que contiene la clave.
- Selecciona la llave.
- En el panel de información, haz clic en Permisos.
- Ingresa el nombre del agente de servicio que ingresaste en el campo Principales nuevas.
- En el menú Seleccionar un rol, elige Encriptador/desencriptador de CryptoKey de Cloud KMS.
- Haz clic en Guardar.
Configura permisos de clave a nivel del proyecto
- Ve a IAM y administración > IAM.
- Haz clic en Otorgar acceso.
- Ingresa el nombre del agente de servicio que ingresaste en el campo Principales nuevas.
- En el menú Seleccionar un rol, elige Encriptador/desencriptador de CryptoKey de Cloud KMS.
Para que los análisis se ejecuten correctamente, la clave debe estar en la misma región que el disco.
La Evaluación de vulnerabilidades de Google Cloud intenta analizar los discos encriptados con CMEK. Si no otorgas
los permisos necesarios, Google Cloud genera el siguiente error en el
registro de auditoría: Cloud KMS error when using key.
Hallazgos generados por la Evaluación de vulnerabilidades de Google Cloud
El servicio de Evaluación de vulnerabilidades de Google Cloud genera un hallazgo en Security Command Center cuando detecta lo siguiente, que varía según el nivel de servicio:
- Vulnerabilidades de software en una instancia de VM de Compute Engine
- Vulnerabilidades de software en nodos de un clúster de GKE o contenedores que se ejecutan en GKE
Vulnerabilidades de imágenes de contenedor en los siguientes recursos:
- Pods de GKE
- Servicios de App Engine
- Servicios y trabajos de Cloud Run
La frecuencia de los análisis varía según el nivel de servicio:
| Nivel Estándar | Niveles Premium y Enterprise |
|---|---|
| Una vez por semana | Aproximadamente cada 12 horas |
La Evaluación de vulnerabilidades de Google Cloud publica hallazgos con las siguientes gravedades, que varían según el nivel de servicio:
| Nivel Estándar | Niveles Premium y Enterprise |
|---|---|
Hallazgos de gravedad Critical |
Hallazgos de gravedad Critical y High |
Cuando la Evaluación de vulnerabilidades de Google Cloud crea un hallazgo, permanece en estado ACTIVE durante el
siguiente período de estado activo, que varía según el nivel de servicio:
| Nivel Estándar | Niveles Premium y Enterprise |
|---|---|
| 195 horas | 25 horas |
Si la Evaluación de vulnerabilidades de Google Cloud vuelve a detectar el hallazgo dentro del período de estado activo
(según el nivel de servicio), el contador se restablece y el hallazgo permanece en
el estado ACTIVE durante otro período de estado activo.
Si la Evaluación de vulnerabilidades de Google Cloud no vuelve a detectar el hallazgo dentro del período de estado activo (según el nivel de servicio), la Evaluación de vulnerabilidades de Google Cloud establece el hallazgo en INACTIVE.
Información disponible en los hallazgos
Los hallazgos contienen la siguiente información común:
- Una descripción de la vulnerabilidad, que incluye la siguiente información:
- El paquete de software que contiene la vulnerabilidad y su ubicación
- Información del registro de CVE asociado
- Una evaluación de Security Command Center de la gravedad de la vulnerabilidad
- Si están disponibles, los pasos para solucionar el problema, incluida la actualización de la versión o el parche para abordar la vulnerabilidad
Los siguientes valores de propiedad:
- Clase:
Vulnerability - Proveedor de servicios en la nube:
Google Cloud - Fuente:
Vulnerability Assessment - Categoría: Uno de los siguientes valores:
Container Image VulnerabilityOS vulnerabilitySoftware vulnerability
- Clase:
Ciertos hallazgos, que varían según el nivel de servicio, se enriquecen con información sobre el impacto y la capacidad de aprovechamiento de una CVE mediante las evaluaciones de CVE de Mandiant.
| Nivel Estándar | Niveles Premium y Enterprise |
|---|---|
| Las CVE que tienen una gravedad Crítica incluyen información de evaluación de Mandiant. | Las CVE que tienen una gravedad Crítica o Alta incluyen información de evaluación de Mandiant evaluación. |
Los hallazgos generados en los niveles de servicio Premium y Enterprise incluyen la siguiente información:
- Una puntuación de exposición a los ataques que te ayuda a priorizar la corrección
- Una representación visual de la ruta que podría tomar un atacante a los recursos de alto valor expuestos por la vulnerabilidad
Hallazgos de vulnerabilidades de software detectadas
Los hallazgos de vulnerabilidades de software detectadas contienen la siguiente información adicional:
- El nombre completo del recurso de la instancia de VM o el clúster de GKE afectados
Información sobre el objeto afectado cuando el hallazgo se relaciona con una carga de trabajo de GKE, por ejemplo:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
Debido a que la Evaluación de vulnerabilidades de Google Cloud puede identificar la misma vulnerabilidad en varios
contenedores, la Evaluación de vulnerabilidades de Google Cloud agrega vulnerabilidades a nivel de la
carga de trabajo de GKE o del Pod. En un hallazgo, es posible que veas varios valores en un solo campo, por ejemplo, en el campo files.elem.path.
Hallazgos de vulnerabilidades de imágenes de contenedor detectadas
Los hallazgos de vulnerabilidades de imágenes de contenedor detectadas contienen la siguiente información adicional:
- El nombre completo del recurso de la imagen del contenedor
- Cualquier asociación de tiempo de ejecución relacionada con el hallazgo, si la imagen vulnerable se ejecuta en cualquiera de los siguientes elementos:
- Pod de GKE
- App Engine
- Servicio y revisión de Cloud Run
- Trabajo y ejecución de Cloud Run
Retención de resultados
Una vez resueltos, los hallazgos generados por la Evaluación de vulnerabilidades de Google Cloud se retienen durante 7 días y, luego, se borran. Los hallazgos activos de la Evaluación de vulnerabilidades de Google Cloud se retienen durante 1 año y 31 días (396 días). Los hallazgos también se desactivan si se borra la imagen o el contenedor asociado con el hallazgo.
Ubicación del paquete
La ubicación del archivo de una vulnerabilidad en un hallazgo se refiere a los archivos binarios o de metadatos del paquete. Esta información depende del extractor de SCALIBR que usa la Evaluación de vulnerabilidades de Google Cloud . Para las vulnerabilidades que la Evaluación de vulnerabilidades de Google Cloud encuentra en un contenedor, esta es la ruta dentro del contenedor.
En la siguiente tabla, se muestran ejemplos de ubicaciones de vulnerabilidades para varios extractores de SCALIBR.
| Extractor de SCALIBR | Ubicación del paquete |
|---|---|
Paquete de Debian (dpkg) |
/var/lib/dpkg/status |
| Objeto binario de Go | /usr/bin/google_osconfig_agent |
| archivo de Java | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Revisa los hallazgos en la consola
Puedes ver los hallazgos de la Evaluación de vulnerabilidades de Google Cloud en la consola de Google Cloud . Antes de hacerlo, asegúrate de tener los roles adecuados.
Para revisar los hallazgos de la Evaluación de vulnerabilidades de Google Cloud en la consola de Google Cloud , sigue estos pasos:
-
En la Google Cloud consola de, ve a la página Hallazgos de Security Command Center.
- Selecciona tu Google Cloud proyecto u organización.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Evaluación de vulnerabilidades. Los resultados de la consulta de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un hallazgo específico, haz clic en el nombre del hallazgo en la columna Categoría. Se abrirá el panel de detalles del hallazgo y se mostrará la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
- Para ver la definición completa de JSON del hallazgo, haz clic en la pestaña JSON (opcional).