啟用及使用 Google Cloud 的安全漏洞評估功能

安全漏洞評估功能可協助您找出 Google Cloud 資源中的軟體安全漏洞，且無須安裝代理程式。 Google Cloud掃描的資源類型取決於 Security Command Center 服務層級，包括下列項目：

• 執行 Compute Engine VM 執行個體
• GKE Standard 叢集中的節點
• 在 GKE Standard 和 GKE Autopilot 叢集中執行的容器。

安全漏洞評估功能會複製 VM 執行個體磁碟，並掛接至其他安全 VM 執行個體，然後使用 SCALIBR 掃描磁碟。 Google Cloud VM 執行個體副本具有下列屬性：

• 這個執行個體與來源 VM 執行個體位於相同區域。
• 這項資源是在 Google 擁有的專案中建立，因此不會增加您的費用。

服務層級之間的差異

以下功能適用的弱點評估 Google Cloud 會因服務層級而異：

• 掃描頻率
• 哪些發現項目會運用 Mandiant CVE 評估資料進行強化
• 發現項目標示為 INACTIVE 的時間

如要進一步瞭解這些差異，請參閱「Vulnerability Assessment for Google Cloud 產生的結果」。

限制

• VM 執行個體具有以客戶自行管理的加密金鑰 (CMEK) 加密的永久磁碟，且金鑰位於全域位置，或與磁碟位於相同地理位置的多區域金鑰。
• VM 執行個體，其永久磁碟使用客戶自行管理的加密金鑰 (CMEK) 加密，且加密金鑰位於 VPC Service Controls 邊界內的專案中。
• VM 執行個體，其永久磁碟已使用客戶提供的加密金鑰 (CSEK) 加密
• 弱點評估僅會掃描 VFAT、EXT2 和 EXT4 分區。 Google Cloud
• Security Command Center 服務代理程式需要存取權，才能列出專案 VM 執行個體，並將磁碟複製到 Google 擁有的專案。部分安全性與政策設定 (例如機構政策限制) 可能會干擾這項存取權，導致無法掃描。
• 啟用映像檔串流功能的 GKE 叢集，不會接受安全漏洞評估掃描。 Google Cloud
• 叢集標籤不會用於調查結果。

升級和降級服務層級時的注意事項

切換服務層級時，安全漏洞評估功能的 Google Cloud 功能會變更為有效服務層級支援的功能。

先前啟用時產生的發現項目，在先前服務層級定義的時間內仍會有效。舉例來說，從進階級降級至標準級後，進階級產生的調查結果仍會保留 25 小時。標準級方案產生的新發現項目會保留 195 小時。

事前準備

如果您已設定 VPC Service Controls 範圍，請建立必要的輸出和輸入規則。

啟用「 Google Cloud」安全漏洞評估功能的權限

如要啟用 Vulnerability Assessment for Google Cloud ，並啟用標準層級，您需要下列 IAM 角色：

• 安全中心管理員 (roles/securitycenter.admin)

• 下列其中一個角色：

  • 安全管理員 (roles/iam.securityAdmin)
  • 機構管理員 (roles/resourcemanager.organizationAdmin)

服務代理人掃描磁碟

Google Cloud 服務的安全漏洞評估功能會使用 Security Command Center 服務代理程式的身分和權限，存取 Google Cloud 資源。

如果在組織層級啟用 Security Command Center，Vulnerability Assessment for Google Cloud 會使用下列服務代理程式：

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

如果在專案層級啟用 Security Command Center，安全漏洞評估功能會使用下列 Google Cloud 服務代理程式：

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

啟用或停用 Google Cloud

在 Premium 和 Enterprise 層級，系統會盡可能為所有 VM 執行個體自動啟用「 Google Cloud 」安全漏洞評估功能。

在標準層級中，您必須在機構、資料夾或專案層級，手動為 Google Cloud 啟用弱點評估。

如要變更 Vulnerability Assessment for Google Cloud 設定，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「風險總覽」頁面：

   前往「風險總覽」頁面

2. 選取要為 Google Cloud啟用安全漏洞評估的機構。

3. 按一下「設定」。

4. 在「弱點評估」部分，按一下「管理設定」。

5. 在「Google Cloud」分頁中，從「無代理程式安全漏洞評估」欄啟用或停用機構、資料夾或專案層級的 Vulnerability Assessment。 Google Cloud 較低層級可沿用較高層級的值。

掃描以 CMEK 加密的磁碟

如要允許 Vulnerability Assessment for Google Cloud 掃描以 CMEK 加密的磁碟，您必須將 Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) 角色授予下列服務代理人：

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

service-PROJECT_ID@compute-system.iam.gserviceaccount.com

如果您有下列服務代理，也必須將角色授予該服務代理：

service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com

設定金鑰層級權限

1. 前往「安全性」>「金鑰管理」頁面。
2. 選取包含金鑰的金鑰環。
3. 選取金鑰。
4. 在資訊面板中，按一下「權限」。
5. 輸入您在「新增主體」欄位中輸入的服務代理程式名稱。
6. 在「Select a role」(選取角色) 選單中，選取「Cloud KMS CryptoKey Encrypter/Decrypter」(Cloud KMS CryptoKey 加密者/解密者)。
7. 按一下 [儲存]。

設定專案層級的金鑰權限

1. 前往「IAM & Admin」(IAM 與管理) >「IAM」(IAM)。
2. 按一下「授予存取權」。
3. 輸入您在「新增主體」欄位中輸入的服務代理程式名稱。
4. 在「Select a role」(選取角色) 選單中，選取「Cloud KMS CryptoKey Encrypter/Decrypter」(Cloud KMS CryptoKey 加密者/解密者)。

如要正確執行掃描，金鑰必須與磁碟位於相同區域。 安全漏洞評估功能 Google Cloud 會嘗試掃描使用 CMEK 加密的磁碟。如果您未授予必要權限， Google Cloud 會在稽核記錄中產生下列錯誤：Cloud KMS error when using key。

安全漏洞評估為 Google Cloud產生的發現項目

當「 Google Cloud 」服務的安全漏洞評估功能偵測到下列情況時，Security Command Center 會產生發現項目 (視服務層級而異)：

• Compute Engine VM 執行個體上的軟體安全漏洞。
• GKE 叢集節點或在 GKE 上執行的容器中的軟體安全漏洞。

• 下列資源的容器映像檔安全漏洞：

  • GKE Pod
  • App Engine 服務
  • Cloud Run 服務和工作

掃描頻率會因服務層級而異：

安全漏洞評估會發布以下嚴重程度的結果，具體情況因服務層級而異： Google Cloud

當安全漏洞評估功能 Google Cloud 建立發現項目時，該項目會在下列有效狀態期間維持 ACTIVE 狀態，這段期間會因服務層級而異：

如果 Vulnerability Assessment for Google Cloud 在有效狀態期間 (視服務層級而定) 再次偵測到發現項目，計數器就會重設，且發現項目會在ACTIVE狀態中保留另一個有效狀態期間。

如果安全漏洞評估在 Google Cloud 有效狀態期間 (依服務層級而定) 未再次偵測到發現項目，安全漏洞評估 Google Cloud 就會將發現項目設為 INACTIVE。

調查結果中提供的資訊

調查結果通常包含下列資訊：

• 安全漏洞說明，包括下列資訊：
  • 含有安全漏洞的軟體套件及其位置
  • 相關聯 CVE 記錄中的資訊
  • Security Command Center 對安全漏洞嚴重程度的評估
• 如有解決問題的步驟，請一併提供，包括修補程式或版本升級，以解決安全漏洞

• 下列屬性值：

  • 課程：Vulnerability
  • 雲端服務供應商：Google Cloud
  • 來源：Vulnerability Assessment
  • 類別：下列其中一個值：
    • Container Image Vulnerability
    • OS vulnerability
    • Software vulnerability

系統會使用 Mandiant CVE 評估，針對特定發現項目 (因服務層級而異) 補充 CVE 的影響和可利用性資訊。

在 Premium 和 Enterprise 服務層級產生的調查結果包含下列資訊：

• 受攻擊風險分數，可協助您優先處理修復作業。
• 以視覺化方式呈現攻擊者可能採取的路徑，藉此取得因漏洞而暴露的高價值資源。

偵測到的軟體安全漏洞調查結果

偵測到的軟體安全漏洞調查結果包含下列額外資訊：

• 受影響的 VM 執行個體或 GKE 叢集的完整資源名稱。

• 如果發現項目與 GKE 工作負載相關，則會提供受影響物件的資訊，例如：

  • CronJob
  • DaemonSet
  • Deployment
  • Job
  • Pod
  • ReplicationController
  • ReplicaSet
  • StatefulSet

由於 Google Cloud 的弱點評估功能可識別多個容器中的相同弱點，因此 Google Cloud 的弱點評估功能會彙整 GKE 工作負載層級或 Pod 層級的弱點。在調查結果中，您可能會在單一欄位中看到多個值，例如 files.elem.path 欄位。

偵測到的容器映像檔安全漏洞調查結果

偵測到的容器映像檔安全漏洞調查結果包含下列額外資訊：

• 容器映像檔的完整資源名稱
• 與探索結果相關聯的任何執行階段，前提是易受攻擊的映像檔在下列任一項目上執行：
  • GKE Pod
  • App Engine
  • Cloud Run 服務和修訂版本
  • Cloud Run 工作和執行作業

發現項目保留期限

解決問題後，系統會保留弱點評估產生的調查結果 7 天，然後刪除。 Google Cloud 系統會無限期保留 Google Cloud主動安全漏洞評估的發現項目。

套件位置

發現項目中安全漏洞的檔案位置是指二進位檔或套件中繼資料檔案。這項資訊取決於 Vulnerability Assessment for Google Cloud 使用的 SCALIBR 擷取器。這是 Vulnerability Assessment for Google Cloud 在容器中發現安全漏洞的路徑。

下表列出各種 SCALIBR 擷取器的安全漏洞位置示例。

在控制台中查看發現項目

您可以在 Google Cloud 控制台查看 Google Cloud 發現項目的安全漏洞評估結果。請先確認您具備適當的角色，再進行這項操作。

如要在 Google Cloud 控制台中查看 Vulnerability Assessment 的 Google Cloud 發現項目，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

   前往「發現項目」

2. 選取 Google Cloud 專案或機構。
3. 在「快速篩選器」部分的「來源顯示名稱」子部分，選取「弱點評估」。發現項目查詢結果會更新，只顯示來自這個來源的發現項目。
4. 如要查看特定發現項目的詳細資料，請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。
5. 在「摘要」分頁中，查看發現項目的詳細資料，包括偵測到的內容、受影響的資源，以及 (如適用) 可採取哪些步驟修正發現項目。
6. 選用：如要查看發現項目的完整 JSON 定義，請按一下「JSON」分頁。