Mit der Sicherheitslückenbewertung für Google Cloud können Sie Software-Sicherheitslücken in Google Cloud-Ressourcen erkennen, ohne Agents installieren zu müssen. Die Arten der gescannten Ressourcen hängen von der Security Command Center-Dienststufe ab und umfassen Folgendes:
- Compute Engine-VM-Instanzen ausführen
- Knoten in GKE Standard-Clustern
- Container, die in GKE Standard- und GKE Autopilot-Clustern ausgeführt werden.
Die Sicherheitsrisikobewertung für Google Cloud funktioniert, indem die Laufwerke Ihrer VM-Instanz geklont, in einer anderen sicheren VM-Instanz bereitgestellt und mit SCALIBR gescannt werden. Der VM-Instanzklon hat die folgenden Eigenschaften:
- Sie wird in derselben Region wie die Quell-VM-Instanz erstellt.
- Es wird in einem Google-Projekt erstellt, sodass keine zusätzlichen Kosten anfallen.
Funktionsunterschiede zwischen den Dienststufen
Die folgenden Funktionen für die Sicherheitslückenbewertung für Google Cloud variieren je nach Service-Tier:
- Die Scanfrequenz
- Welche Ergebnisse werden mit Mandiant-CVE-Bewertungsdaten angereichert?
- Die Zeit, bis ein Ergebnis mit
INACTIVEmarkiert wird
Weitere Informationen zu diesen Unterschieden finden Sie unter Von der Sicherheitslückenanalyse für Google Cloudgenerierte Ergebnisse.
Beschränkungen
- VM-Instanzen mit persistenten Laufwerken, die mit kundenverwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt sind und Schlüssel an einem globalen Standort oder einen multiregionalen Schlüssel am selben geografischen Standort wie das Laufwerk haben.
- VM-Instanzen mit persistenten Laufwerken, die mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt sind und Verschlüsselungsschlüssel in Projekten in VPC Service Controls-Perimetern haben.
- VM-Instanzen mit nichtflüchtigen Speichern, die mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (CSEK) verschlüsselt sind
- Die Sicherheitslückenbewertung für Google Cloud scannt nur VFAT-, EXT2- und EXT4-Partitionen.
- Der Security Command Center-Dienst-Agent benötigt Zugriff, um VM-Instanzen in Projekten aufzulisten und ihre Laufwerke in Google-Projekte zu klonen. Einige Sicherheits- und Richtlinienkonfigurationen wie Einschränkungen für Organisationsrichtlinien können diesen Zugriff beeinträchtigen und Scans verhindern.
- Bei der Sicherheitslückenanalyse für Google Cloud werden keine GKE-Cluster mit aktiviertem Image-Streaming gescannt.
- Clusterlabels werden nicht in den Ergebnissen verwendet.
Wichtige Hinweise beim Hoch- und Herabstufen von Service-Levels
Wenn Sie das Servicelevel wechseln, ändern sich die Funktionen der Sicherheitslückenbewertung für Google Cloud in die Funktionen, die im aktiven Servicelevel unterstützt werden.
Ergebnisse, die durch die vorherige Aktivierung generiert wurden, bleiben für den Zeitraum aktiv, der durch die vorherige Service-Stufe definiert ist. Wenn Sie beispielsweise ein Downgrade von der Premium- auf die Standardstufe durchführen, bleiben die in der Premium-Stufe generierten Ergebnisse 25 Stunden lang aktiv. Neue Ergebnisse, die in der Standardstufe generiert werden, bleiben 195 Stunden lang aktiv.
Hinweise
Wenn Sie VPC Service Controls-Perimeter eingerichtet haben, erstellen Sie die erforderlichen Regeln für ausgehenden und eingehenden Traffic.
Berechtigungen zum Aktivieren der Sicherheitslückenbewertung für Google Cloud
Wenn Sie die Sicherheitslückenbewertung für Google Cloud mit einer Aktivierung auf Standard-Ebene aktivieren möchten, benötigen Sie die folgenden IAM-Rollen:
- Sicherheitscenter-Administrator (
roles/securitycenter.admin) Eine der folgenden Rollen:
- Sicherheitsadministrator (
roles/iam.securityAdmin) - Organisationsadministrator (
roles/resourcemanager.organizationAdmin)
- Sicherheitsadministrator (
Dienst-Agents zum Scannen von Festplatten
Für die Sicherheitslückenbewertung für den Dienst Google Cloud werden Security Command Center-Dienst-Agents für die Identität und die Berechtigung für den Zugriff auf Google Cloud -Ressourcen verwendet.
Bei der Aktivierung von Security Command Center auf Organisationsebene wird für Vulnerability Assessment für Google Cloud der folgende Dienst-Agent verwendet:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Bei der Aktivierung von Security Command Center auf Projektebene verwendet Vulnerability Assessment für Google Cloud den folgenden Dienst-Agenten:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Sicherheitslückenbewertung für Google Cloudaktivieren oder deaktivieren
In den Premium- und Enterprise-Stufen ist die Sicherheitslückenbewertung für Google Cloud automatisch für alle VM-Instanzen aktiviert, sofern möglich.
Im Standard-Tarif müssen Sie die Sicherheitslückenbewertung für Google Cloud auf Organisations-, Ordner- oder Projektebene manuell aktivieren.
So ändern Sie die Einstellungen für die Sicherheitslückenbewertung für Google Cloud :
Rufen Sie in der Google Cloud Console die Seite Risikoübersicht auf:
Wählen Sie eine Organisation aus, in der Sie die Sicherheitslückenbewertung für Google Cloudaktivieren möchten.
Klicken Sie auf Einstellungen.
Klicken Sie im Bereich Vulnerability Assessment (Schwachstellenanalyse) auf Manage settings (Einstellungen verwalten).
Aktivieren oder deaktivieren Sie auf dem Tab Google Cloud in der Spalte Agentless Vulnerability Assessment (Agentenlose Sicherheitslückenbewertung) die Sicherheitslückenbewertung für Google Cloud auf Organisations-, Ordner- oder Projektebene. Auf niedrigeren Ebenen kann der Wert von höheren Ebenen übernommen werden.
Mit CMEK verschlüsselte Laufwerke scannen
Damit Vulnerability Assessment für Google Cloud mit CMEK verschlüsselte Laufwerke scannen kann, müssen Sie den folgenden Dienst-Agents die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) zuweisen:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-PROJECT_ID@compute-system.iam.gserviceaccount.com
Wenn Sie den folgenden Dienst-Agent haben, müssen Sie ihm auch die Rolle zuweisen:
service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com
Berechtigungen auf Schlüsselebene konfigurieren
- Rufen Sie die Seite Sicherheit > Schlüsselverwaltung auf.
- Wählen Sie den Schlüsselbund aus, der den Schlüssel enthält.
- Wählen Sie den Schlüssel aus.
- Klicken Sie im Infofeld auf Berechtigungen.
- Geben Sie den Namen des Dienst-Agents ein, den Sie im Feld Neue Hauptkonten eingegeben haben.
- Wählen Sie im Menü Rolle auswählen die Option Cloud KMS CryptoKey Verschlüsseler/Entschlüsseler aus.
- Klicken Sie auf Speichern.
Schlüsselberechtigungen auf Projektebene konfigurieren
- Rufen Sie IAM & Verwaltung > IAM auf.
- Klicken Sie auf Zugriff erlauben.
- Geben Sie den Namen des Dienst-Agents ein, den Sie im Feld Neue Hauptkonten eingegeben haben.
- Wählen Sie im Menü Rolle auswählen die Option Cloud KMS CryptoKey Verschlüsseler/Entschlüsseler aus.
Damit die Scans korrekt ausgeführt werden, muss sich der Schlüssel in derselben Region wie das Laufwerk befinden.
Bei der Sicherheitslückenbewertung für Google Cloud wird versucht, mit CMEK verschlüsselte Laufwerke zu scannen. Wenn Sie die erforderlichen Berechtigungen nicht erteilen,wird in Google Cloud das folgende Fehlerereignis im Audit-Log generiert: Cloud KMS error when using key.
Ergebnisse der Prüfung auf Sicherheitslücken für Google Cloud
Bei der Sicherheitslückenanalyse für den Dienst Google Cloud wird ein Ergebnis in Security Command Center generiert, wenn Folgendes erkannt wird (variiert je nach Dienststufe):
- Softwarelücken auf einer Compute Engine-VM-Instanz.
- Softwarelücken auf Knoten in einem GKE-Cluster oder in Containern, die in GKE ausgeführt werden.
Sicherheitslücken in Container-Images für die folgenden Ressourcen:
- GKE-Pods
- App Engine-Dienste
- Cloud Run-Dienste und -Jobs
Die Häufigkeit der Scans variiert je nach Dienststufe:
| Standardstufe | Premium- und Enterprise-Stufen |
|---|---|
| Einmal pro Woche | Etwa alle 12 Stunden |
Bei der Sicherheitslückenanalyse für Google Cloud werden Ergebnisse mit den folgenden Schweregraden veröffentlicht, die je nach Service-Tier variieren:
| Standardstufe | Premium- und Enterprise-Stufen |
|---|---|
Ergebnisse mit Schweregrad Critical |
Ergebnisse mit Schweregrad Critical und High |
Wenn bei der Sicherheitslückenanalyse für Google Cloud ein Ergebnis erstellt wird, bleibt es für den folgenden aktiven Zeitraum im StatusACTIVE. Dieser Zeitraum variiert je nach Service-Tier:
| Standardstufe | Premium- und Enterprise-Stufen |
|---|---|
| 195 Stunden | 25 Stunden |
Wenn die Sicherheitslückenanalyse für Google Cloud das Ergebnis innerhalb des Zeitraums mit dem Status Aktiv (basierend auf dem Service-Tier) noch einmal erkennt, wird der Zähler zurückgesetzt und das Ergebnis bleibt für einen weiteren Zeitraum mit dem Status Aktiv im Status ACTIVE.
Wenn bei der Sicherheitslückenanalyse für Google Cloud das Ergebnis innerhalb des Zeitraums mit dem aktiven Status (basierend auf der Serviceebene) nicht noch einmal erkannt wird, wird das Ergebnis von der Sicherheitslückenanalyse für Google Cloud auf INACTIVE gesetzt.
In den Ergebnissen verfügbare Informationen
Die Ergebnisse enthalten die folgenden allgemeinen Informationen:
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket, das die Sicherheitslücke enthält, und sein Speicherort
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Bewertung des Schweregrads der Sicherheitslücke durch Security Command Center
- Falls verfügbar, Schritte zur Behebung des Problems, einschließlich des Patches oder Versionsupgrades zur Behebung der Sicherheitslücke
Die folgenden Attributwerte:
- Klasse:
Vulnerability - Cloud-Dienstanbieter:
Google Cloud - Quelle:
Vulnerability Assessment - Kategorie: Einer der folgenden Werte:
Container Image VulnerabilityOS vulnerabilitySoftware vulnerability
- Klasse:
Bestimmte Ergebnisse, die je nach Service-Tier variieren, werden mit Informationen zu den Auswirkungen und der Ausnutzbarkeit einer CVE mithilfe von Mandiant-CVE-Bewertungen angereichert.
| Standardstufe | Premium- und Enterprise-Stufen |
|---|---|
| CVEs mit dem Schweregrad „Kritisch“ enthalten Informationen aus der Mandiant-Analyse. | CVEs mit kritischem oder hohem Schweregrad enthalten Informationen zur Mandiant-Bewertung. |
Ergebnisse, die in den Dienststufen Premium und Enterprise generiert werden, enthalten die folgenden Informationen:
- Ein Angriffsrisikowert, der Ihnen hilft, die Risikobeseitigung zu priorisieren.
- Eine visuelle Darstellung des Pfads, den ein Angreifer zu den durch die Sicherheitslücke gefährdeten wichtigen Ressourcen nehmen könnte.
Ergebnisse zu erkannten Software-Sicherheitslücken
Ergebnisse für erkannte Software-Sicherheitslücken enthalten die folgenden zusätzlichen Informationen:
- Der vollständige Ressourcenname der betroffenen VM-Instanz oder des betroffenen GKE-Clusters.
Informationen zum betroffenen Objekt, wenn sich das Ergebnis auf eine GKE-Arbeitslast bezieht, z. B.:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
Da mit Vulnerability Assessment for Google Cloud dieselbe Sicherheitslücke in mehreren Containern erkannt werden kann, werden Sicherheitslücken mit Vulnerability Assessment for Google Cloud auf GKE-Arbeitslast- oder Pod-Ebene zusammengefasst. In einem Ergebnis können mehrere Werte in einem einzelnen Feld enthalten sein, z. B. im Feld files.elem.path.
Ergebnisse für erkannte Sicherheitslücken in Container-Images
Ergebnisse für erkannte Sicherheitslücken in Container-Images enthalten die folgenden zusätzlichen Informationen:
- Der vollständige Ressourcenname des Container-Images
- Alle Laufzeitzuordnungen im Zusammenhang mit dem Ergebnis, wenn das anfällige Image auf einem der folgenden Systeme ausgeführt wird:
- GKE-Pod
- App Engine
- Cloud Run-Dienst und -Überarbeitung
- Cloud Run-Job und -Ausführung
Aufbewahrung von Ergebnissen
Nachdem sie behoben wurden, werden die von der Sicherheitsrisikobewertung für Google Cloud generierten Ergebnisse 7 Tage lang aufbewahrt und dann gelöscht. Ergebnisse der aktiven Sicherheitslückenbewertung für Google Cloudwerden auf unbestimmte Zeit aufbewahrt.
Paketstandort
Der Dateipfad einer Sicherheitslücke in einem Ergebnis bezieht sich entweder auf die Binär- oder die Paketmetadatendateien. Diese Informationen hängen vom SCALIBR-Extractor ab, der von Vulnerability Assessment für Google Cloud verwendet wird. Bei Sicherheitslücken, die von Vulnerability Assessment für Google Cloud in einem Container gefunden werden, ist dies der Pfad innerhalb des Containers.
Die folgende Tabelle enthält Beispiele für Speicherorte von Sicherheitslücken für verschiedene SCALIBR-Extraktoren.
| SCALIBR-Extraktor | Paketstandort |
|---|---|
Debian-Paket (dpkg) |
/var/lib/dpkg/status |
| Go-Binärprogramm | /usr/bin/google_osconfig_agent |
| Java-Archiv | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Ergebnisse in der Console ansehen
Sie können die Ergebnisse der Sicherheitslückenbewertung für Google Cloud in der Google Cloud -Konsole ansehen. Prüfen Sie vorher, ob Sie die erforderlichen Rollen haben.
So prüfen Sie die Ergebnisse der Sicherheitslückenbewertung für Google Cloud in der Google Cloud Console:
-
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Vulnerability Assessment aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.