Mengaktifkan dan menggunakan Penilaian Kerentanan untuk Google Cloud

Penilaian Kerentanan untuk Google Cloud membantu Anda menemukan kerentanan software di resource Google Cloud tanpa menginstal agen. Jenis resource yang dipindai bergantung pada tingkat layanan Security Command Center, dan mencakup hal berikut:

  • Menjalankan instance VM Compute Engine
  • Node di cluster GKE Standard
  • Container yang berjalan di cluster GKE Standard dan GKE Autopilot.

Penilaian Kerentanan untuk Google Cloud berfungsi dengan meng-clone disk instance VM Anda, memasangnya di instance VM aman lainnya, dan memindainya dengan SCALIBR. Clone instance VM memiliki properti berikut:

  • Snapshot dibuat di region yang sama dengan instance VM sumber.
  • Karena dibuat di project milik Google, akun ini tidak menambah biaya Anda.

Perbedaan kemampuan antar-tingkatan layanan

Kemampuan Penilaian Kerentanan untuk Google Cloud berikut bervariasi bergantung pada tingkat layanan:

  • Frekuensi pemindaian
  • Temuan mana yang dilengkapi dengan data penilaian CVE Mandiant
  • Waktu hingga temuan ditandai INACTIVE

Lihat Temuan yang dihasilkan oleh Penilaian Kerentanan untuk Google Cloud untuk mengetahui informasi selengkapnya tentang perbedaan ini.

Batasan

  • Instance VM dengan persistent disk yang dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK) dan memiliki kunci di lokasi global atau kunci multiregional di lokasi geografis yang sama dengan disk.
  • Instance VM dengan disk persisten yang dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK) dan memiliki kunci enkripsi di dalam project dalam perimeter Kontrol Layanan VPC.
  • Instance VM dengan persistent disk yang dienkripsi dengan kunci enkripsi yang disediakan pelanggan (CSEK)
  • Vulnerability Assessment for Google Cloud hanya memindai partisi VFAT, EXT2, dan EXT4.
  • Agen layanan Security Command Center memerlukan akses untuk mencantumkan instance VM project dan meng-clone disknya ke project milik Google. Beberapa konfigurasi keamanan dan kebijakan seperti batasan kebijakan organisasi dapat mengganggu akses ini, sehingga mencegah pemindaian.
  • Penilaian Kerentanan untuk Google Cloud tidak memindai cluster GKE yang mengaktifkan streaming Image.
  • Label cluster tidak digunakan dalam temuan.

Pertimbangan saat mengupgrade dan mendowngrade tingkat layanan

Saat Anda beralih tingkat layanan, kemampuan Penilaian Kerentanan untuk Google Cloud berubah menjadi kemampuan yang didukung di tingkat layanan aktif.

Hasil temuan yang dihasilkan oleh aktivasi sebelumnya akan tetap aktif selama waktu yang ditentukan oleh tingkat layanan sebelumnya. Saat melakukan downgrade dari paket Premium ke Standar, misalnya, temuan yang dihasilkan di paket Premium tetap aktif selama 25 jam. Temuan baru yang dihasilkan di tingkat Standar tetap aktif selama 195 jam.

Sebelum memulai

Jika Anda telah menyiapkan perimeter Kontrol Layanan VPC, buat aturan ingress dan egress yang diperlukan.

Izin untuk mengaktifkan Penilaian Kerentanan untuk Google Cloud

Untuk mengaktifkan Penilaian Kerentanan untuk Google Cloud dengan aktivasi tingkat Standar, Anda memerlukan peran IAM berikut:

  • Security Center Admin (roles/securitycenter.admin)

  • Salah satu dari peran berikut:

    • (roles/iam.securityAdmin) Security Admin
    • Admin Organisasi (roles/resourcemanager.organizationAdmin)

Agen layanan untuk memindai disk

Penilaian Kerentanan untuk layanan Google Cloud menggunakan agen layanan Security Command Center untuk identitas dan izin guna mengakses Google Cloud resource.

Untuk aktivasi Security Command Center level organisasi, Penilaian Kerentanan untuk Google Cloud menggunakan agen layanan berikut:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Untuk aktivasi Security Command Center level project, Penilaian Kerentanan untuk Google Cloud menggunakan agen layanan berikut:

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

Mengaktifkan atau menonaktifkan Penilaian Kerentanan untuk Google Cloud

Pada tingkat Premium dan Enterprise, Penilaian Kerentanan untuk Google Cloud diaktifkan secara otomatis untuk semua instance VM jika memungkinkan.

Di tingkat Standar, Anda harus mengaktifkan Penilaian Kerentanan secara manual untuk Google Cloud di tingkat organisasi, folder, atau project.

Untuk mengubah setelan Penilaian Kerentanan untuk Google Cloud , lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman Ringkasan Risiko:

    Buka Ringkasan Risiko

  2. Pilih organisasi tempat Anda ingin mengaktifkan Penilaian Kerentanan untuk Google Cloud.

  3. Klik Setelan.

  4. Di bagian Vulnerability Assessment, klik Kelola setelan.

  5. Di tab Google Cloud, aktifkan atau nonaktifkan Penilaian Kerentanan untuk Google Cloud di tingkat organisasi, folder, atau project dari kolom Penilaian Kerentanan Tanpa Agen. Tingkat yang lebih rendah dapat mewarisi nilai dari tingkat yang lebih tinggi.

Memindai disk yang dienkripsi dengan CMEK

Agar Penilaian Kerentanan untuk Google Cloud dapat memindai disk yang dienkripsi dengan CMEK, Anda harus memberikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) kepada agen layanan berikut:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

service-PROJECT_ID@compute-system.iam.gserviceaccount.com

Jika Anda memiliki agen layanan berikut, Anda juga harus memberikan peran kepada agen layanan tersebut:

service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com

Mengonfigurasi izin tingkat kunci

  1. Buka halaman Security > Key Management.
  2. Pilih key ring yang berisi kunci.
  3. Pilih kunci.
  4. Di panel info, klik Izin.
  5. Masukkan nama agen layanan yang Anda masukkan di kolom New principals.
  6. Di menu Select a role, pilih Cloud KMS CryptoKey Encrypter/Decrypter.
  7. Klik Simpan.

Mengonfigurasi izin kunci tingkat project

  1. Buka IAM & Admin > IAM.
  2. Klik Grant access.
  3. Masukkan nama agen layanan yang Anda masukkan di kolom New principals.
  4. Di menu Select a role, pilih Cloud KMS CryptoKey Encrypter/Decrypter.

Agar pemindaian berjalan dengan benar, kunci harus berada di region yang sama dengan disk. Vulnerability Assessment for Google Cloud berupaya memindai disk yang dienkripsi menggunakan CMEK. Jika Anda tidak memberikan izin yang diperlukan, Google Cloud akan menghasilkan error berikut dalam log audit: Cloud KMS error when using key.

Temuan yang dihasilkan oleh Vulnerability Assessment for Google Cloud

Layanan Penilaian Kerentanan untuk Google Cloud menghasilkan temuan di Security Command Center saat mendeteksi hal berikut, yang bervariasi menurut tingkat layanan:

  • Kerentanan software pada instance VM Compute Engine.
  • Kerentanan software pada node di cluster GKE atau container yang berjalan di GKE.

  • Kerentanan image container pada resource berikut:

    • Pod GKE
    • Layanan App Engine
    • Layanan dan tugas Cloud Run

Frekuensi pemindaian bervariasi menurut tingkat layanan:

Paket Standar Paket Premium dan Enterprise
Satu kali seminggu Setiap sekitar 12 jam

Penilaian Kerentanan untuk Google Cloud memublikasikan temuan dengan tingkat keparahan berikut, yang bervariasi menurut tingkat layanan:

Paket Standar Paket Premium dan Enterprise
Critical temuan tingkat keparahan Temuan dengan tingkat keparahan Critical dan High

Saat Penilaian Kerentanan untuk Google Cloud membuat temuan, temuan tersebut akan tetap dalam status ACTIVE selama periode status aktif berikut, yang bervariasi menurut tingkat layanan:

Paket Standar Paket Premium dan Enterprise
195 jam 25 jam

Jika Penilaian Kerentanan untuk Google Cloud mendeteksi temuan lagi dalam periode status aktif (berdasarkan tingkat layanan), penghitung akan direset, dan temuan akan tetap dalam status ACTIVE selama periode status aktif lainnya.

Jika Penilaian Kerentanan untuk Google Cloud tidak mendeteksi temuan lagi dalam periode status aktif (berdasarkan tingkat layanan), Penilaian Kerentanan untuk Google Cloud akan menetapkan temuan ke INACTIVE.

Informasi tersedia dalam temuan

Temuan berisi informasi umum berikut:

  • Deskripsi kerentanan, termasuk informasi berikut:
    • Paket software yang berisi kerentanan dan lokasinya
    • Informasi dari data CVE terkait
    • Penilaian dari Security Command Center tentang tingkat keparahan kerentanan
  • Jika tersedia, langkah-langkah untuk memperbaiki masalah, termasuk patch atau upgrade versi untuk mengatasi kerentanan

  • Nilai properti berikut:

    • Kelas: Vulnerability
    • Penyedia layanan cloud: Google Cloud
    • Sumber: Vulnerability Assessment
    • Kategori: Salah satu nilai berikut:
      • Container Image Vulnerability
      • OS vulnerability
      • Software vulnerability

Temuan tertentu, yang bervariasi menurut tingkat layanan, dilengkapi dengan informasi tentang dampak dan eksploitabilitas CVE menggunakan penilaian CVE Mandiant.

Paket Standar Paket Premium dan Enterprise
CVE yang memiliki tingkat keparahan Kritis mencakup informasi penilaian Mandiant CVE yang memiliki tingkat keparahan Kritis atau Tinggi mencakup informasi penilaian Mandiant

Temuan yang dihasilkan di tingkat layanan Premium dan Enterprise mencakup informasi berikut:

  • Skor eksposur serangan yang membantu Anda memprioritaskan perbaikan.
  • Representasi visual jalur yang mungkin diambil penyerang untuk mengakses resource bernilai tinggi yang terekspos oleh kerentanan.

Temuan untuk kerentanan software yang terdeteksi

Temuan untuk kerentanan software yang terdeteksi berisi informasi tambahan berikut:

  • Nama lengkap resource instance VM atau cluster GKE yang terpengaruh.

  • Informasi tentang objek yang terpengaruh saat temuan terkait dengan workload GKE, misalnya:

    • CronJob
    • DaemonSet
    • Deployment
    • Job
    • Pod
    • ReplicationController
    • ReplicaSet
    • StatefulSet

Karena Penilaian Kerentanan untuk Google Cloud dapat mengidentifikasi kerentanan yang sama di beberapa penampung, Penilaian Kerentanan untuk Google Cloud menggabungkan kerentanan di tingkat beban kerja GKE atau tingkat Pod. Dalam temuan, Anda mungkin melihat beberapa nilai dalam satu kolom, misalnya di kolom files.elem.path.

Temuan untuk kerentanan image container yang terdeteksi

Temuan untuk kerentanan image container yang terdeteksi berisi informasi tambahan berikut:

  • Nama lengkap resource image container
  • Asosiasi runtime apa pun yang terkait dengan temuan, jika image yang rentan berjalan di salah satu hal berikut:
    • Pod GKE
    • App Engine
    • Layanan dan Revisi Cloud Run
    • Tugas dan Eksekusi Cloud Run

Retensi temuan

Setelah diselesaikan, temuan yang dihasilkan oleh Penilaian Kerentanan untuk Google Cloud akan dipertahankan selama 7 hari, lalu dihapus. Penilaian Kerentanan Aktif untuk temuan Google Cloud dipertahankan tanpa batas.

Lokasi paket

Lokasi file kerentanan dalam temuan merujuk ke file metadata biner atau paket. Informasi ini bergantung pada pengekstraksi SCALIBR yang digunakan Penilaian Kerentanan untuk Google Cloud . Untuk kerentanan yang ditemukan oleh Vulnerability Assessment for Google Cloud di dalam container, ini adalah jalur di dalam container.

Tabel berikut menunjukkan contoh lokasi kerentanan untuk berbagai ekstraktor SCALIBR.

Ekstraktor SCALIBR Lokasi paket
Paket Debian (dpkg) /var/lib/dpkg/status
Beralih ke biner /usr/bin/google_osconfig_agent
Arsip Java /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar
PHP /var/www/html/vkumark/backend_api/composer.lock
Python /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA
Ruby /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec

Meninjau temuan di konsol

Anda dapat melihat temuan Penilaian Kerentanan untuk Google Cloud di konsol Google Cloud . Sebelum melakukannya, pastikan Anda memiliki peran yang sesuai.

Untuk meninjau hasil Penilaian Kerentanan untuk Google Cloud di konsol Google Cloud , ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman Findings di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Anda. Google Cloud
  3. Di bagian Quick filters, di subbagian Source display name, pilih Vulnerability Assessment. Hasil kueri temuan diperbarui untuk menampilkan hanya temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Summary.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap temuan, klik tab JSON.