Activer et utiliser l'évaluation des failles pour Google Cloud

L'évaluation des failles pour Google Cloud vous aide à découvrir les failles logicielles dans Google Cloud les ressources sans installer d'agents. Les types de ressources analysées dépendent du niveau de service Security Command Center et incluent les éléments suivants :

  • Instances de VM Compute Engine en cours d'exécution
  • Nœuds dans les clusters GKE Standard
  • Conteneurs exécutés dans les clusters GKE Standard et GKE Autopilot

L'évaluation des failles pour Google Cloud fonctionne en clonant les disques de votre instance de VM, en les installant dans une autre instance de VM sécurisée et en les analysant avec SCALIBR. Le clone de l'instance de VM présente les propriétés suivantes :

  • Il est créé dans la même région que l'instance de VM source.
  • Il est créé dans un projet appartenant à Google, ce qui n'entraîne pas de frais supplémentaires.

Différences de fonctionnalités entre les niveaux de service

Les fonctionnalités suivantes de l'évaluation des failles pour Google Cloud varient en fonction du niveau de service :

  • La fréquence d'analyse
  • Les résultats enrichis avec les données d'évaluation des CVE de Mandiant
  • Le délai avant qu'un résultat ne soit marqué comme INACTIVE

Pour en savoir plus sur ces différences, consultez Résultats générés par l'évaluation des failles pour Google Cloud pour plus d'informations.

Limites

Tenez compte des points suivants lorsque vous identifiez les ressources que vous souhaitez analyser :

  • Les agents de service Security Command Center doivent pouvoir lister les instances de VM du projet et cloner leurs disques dans des projets appartenant à Google. Assurez-vous que les configurations de sécurité et de règles, telles que les contraintes de règles d'administration, n'interfèrent pas avec la capacité de l'agent de service à accéder à ces ressources et à les analyser.

  • Lorsque vous analysez des instances de VM avec des disques persistants chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK), la clé doit être stockée dans la même région que le disque. Il s'agit de l'emplacement mondial ou du même emplacement géographique que le disque lorsque vous utilisez des clés multirégionales.

  • L'évaluation des failles pour Google Cloud n'est pas compatible avec l'analyse des disques chiffrés avec des clés CMEK et qui se trouvent dans des périmètres VPC Service Controls.

  • L'évaluation des failles pour Google Cloud n'est pas compatible avec les instances de VM avec des disques persistants qui sont chiffrés à l'aide de clés de chiffrement fournies par le client (CSEK).

  • L'évaluation des failles pour Google Cloud analyse uniquement les partitions de disque VFAT, EXT2 et EXT4.

  • L'évaluation des failles pour Google Cloud présente les limites suivantes lors de l'analyse des clusters GKE :

Points à prendre en compte lors du passage à un niveau de service supérieur ou inférieur

Lorsque vous changez de niveau de service, les fonctionnalités de l'évaluation des failles pour Google Cloud passent à celles compatibles avec le niveau de service actif.

Les résultats générés par l'activation précédente restent actifs pendant la durée définie par le niveau de service précédent. Par exemple, lorsque vous passez du niveau Premium au niveau Standard, les résultats générés au niveau Premium restent actifs pendant 25 heures. Les nouveaux résultats générés au niveau Standard restent actifs pendant 195 heures.

Avant de commencer

Si vous avez configuré des périmètres VPC Service Controls , créez les règles de sortie et d'entrée requises.

Autorisations permettant d'activer l'évaluation des failles pour Google Cloud

Pour activer l'évaluation des failles pour Google Cloud avec une activation au niveau Standard, vous avez besoin des rôles IAM suivants :

  • Administrateur du centre de sécurité (roles/securitycenter.admin)

  • L'un des rôles suivants :

    • Administrateur de sécurité (roles/iam.securityAdmin)
    • Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)

Agents de service pour analyser les disques

Le service d'évaluation des failles pour Google Cloud utilise les agents de service Security Command Center pour l'identité et l'autorisation d'accéder aux Google Cloud ressources.

Pour les activations de Security Command Center au niveau de l'organisation, l'évaluation des failles pour Google Cloud utilise l'agent de service suivant :

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Pour les activations de Security Command Center au niveau du projet, l'évaluation des failles pour Google Cloud utilise l' agent de service suivant :

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

Activer ou désactiver l'évaluation des failles pour Google Cloud

Aux niveaux Premium et Enterprise, l'évaluation des failles pour Google Cloud est automatiquement activée pour toutes les instances de VM lorsque cela est possible.

Au niveau Standard, vous devez activer manuellement l'évaluation des failles pour Google Cloud au niveau de l' organisation, du dossier ou du projet.

Pour modifier les paramètres de l'évaluation des failles pour Google Cloud , procédez comme suit :

  1. Dans la Google Cloud console, accédez à la page Aperçu des risques :

    Accéder à la page "Aperçu des risques"

  2. Sélectionnez une organisation dans laquelle activer l'évaluation des failles pour Google Cloud.

  3. Cliquez sur Paramètres.

  4. Dans la section Évaluation des failles, cliquez sur Gérer les paramètres.

  5. Dans l'onglet Google Cloud , activez ou désactivez l'évaluation des failles pour Google Cloud au niveau de l'organisation, du dossier ou du projet à partir de la Évaluation des failles sans agent colonne. Les niveaux inférieurs peuvent hériter de la valeur des niveaux supérieurs.

Analyser les disques chiffrés avec des clés CMEK

Pour autoriser l'évaluation des failles pour Google Cloud à analyser les disques chiffrés avec des clés CMEK, vous devez accorder le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) aux agents de service suivants :

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

service-PROJECT_ID@compute-system.iam.gserviceaccount.com

Si vous disposez de l'agent de service suivant, vous devez également lui accorder le rôle :

service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com

Configurer les autorisations au niveau des clés

  1. Accédez à la page Sécurité > Gestion des clés.
  2. Sélectionnez le trousseau de clés contenant la clé.
  3. Sélectionnez la clé.
  4. Dans le panneau d'informations, cliquez sur Autorisations.
  5. Saisissez le nom de l'agent de service que vous avez saisi dans le champ Nouveaux comptes principaux.
  6. Dans le menu Sélectionner un rôle, sélectionnez Chiffreur/Déchiffreur de CryptoKeys Cloud KMS.
  7. Cliquez sur Enregistrer.

Configurer les autorisations des clés au niveau du projet

  1. Accédez à IAM et administration > IAM.
  2. Cliquez sur Accorder l'accès.
  3. Saisissez le nom de l'agent de service que vous avez saisi dans le champ Nouveaux comptes principaux.
  4. Dans le menu Sélectionner un rôle, sélectionnez Chiffreur/Déchiffreur de CryptoKeys Cloud KMS.

Pour que les analyses s'exécutent correctement, la clé doit se trouver dans la même région que le disque. L'évaluation des failles pour Google Cloud essaie d'analyser les disques chiffrés à l'aide de clés CMEK. Si vous n'accordez pas les autorisations requises, Google Cloud génère l'erreur suivante dans le journal d'audit : Cloud KMS error when using key.

Résultats générés par l'évaluation des failles pour Google Cloud

Le service d'évaluation des failles pour Google Cloud génère un résultat dans Security Command Center lorsqu' il détecte les éléments suivants, qui varient en fonction du niveau de service :

  • Failles logicielles sur une instance de VM Compute Engine
  • Failles logicielles sur les nœuds d'un cluster GKE ou sur les conteneurs exécutés sur GKE

  • Failles d'image de conteneur sur les ressources suivantes :

    • Pods GKE
    • Services App Engine
    • Services et jobs Cloud Run

La fréquence des analyses varie en fonction du niveau de service :

Niveau Standard Niveaux Premium et Enterprise
Une fois par semaine Environ toutes les 12 heures

L'évaluation des failles pour Google Cloud publie des résultats avec les niveaux de gravité suivants, qui varient en fonction du niveau de service :

Niveau Standard Niveaux Premium et Enterprise
Résultats de gravité Critical Résultats de gravité Critical et High

Lorsque l'évaluation des failles pour Google Cloud crée un résultat, il reste à l'état ACTIVE pendant la période d'état actif suivante, qui varie en fonction du niveau de service :

Niveau Standard Niveaux Premium et Enterprise
195 heures 25 heures

Si l'évaluation des failles pour Google Cloud détecte à nouveau le résultat pendant la période d'état actif (en fonction du niveau de service), le compteur est réinitialisé et le résultat reste à l'état ACTIVE pendant une autre période d'état actif.

Si l'évaluation des failles pour Google Cloud ne détecte plus le résultat pendant la période d'état actif (en fonction du niveau de service), elle le définit sur INACTIVE. Google Cloud

Informations disponibles dans les résultats

Les résultats contiennent les informations communes suivantes :

  • Description de la faille, y compris les informations suivantes :
    • Package logiciel contenant la faille et son emplacement
    • Informations provenant de l'enregistrement CVE associé
    • Évaluation de la gravité de la faille par Security Command Center
  • Si disponible, étapes à suivre pour résoudre le problème, y compris le correctif ou la mise à niveau de la version pour corriger la faille

  • Les valeurs de propriété suivantes :

    • Classe : Vulnerability
    • Fournisseur de services cloud : Google Cloud
    • Source: Vulnerability Assessment
    • Catégorie : l'une des valeurs suivantes :
      • Container Image Vulnerability
      • OS vulnerability
      • Software vulnerability

Certains résultats, qui varient en fonction du niveau de service, sont enrichis d'informations sur l'impact et l'exploitabilité d'une CVE à l'aide des évaluations des CVE de Mandiant.

Niveau Standard Niveaux Premium et Enterprise
Les CVE de gravité "Critique" incluent des informations d'évaluation de Mandiant Les CVE de gravité "Critique" ou "Élevée" incluent des informations d'évaluation de Mandiant évaluation

Les résultats générés aux niveaux de service Premium et Enterprise incluent les informations suivantes :

  • Un score d'exposition aux attaques qui vous aide à définir les priorités de correction.
  • Une représentation visuelle du chemin qu'un pirate informatique peut emprunter pour accéder aux ressources de forte valeur exposées par la faille.

Résultats pour les failles logicielles détectées

Les résultats pour les failles logicielles détectées contiennent les informations supplémentaires suivantes :

  • Nom complet de la ressource de l'instance de VM ou du cluster GKE concerné.

  • Informations sur l'objet concerné lorsque le résultat est lié à une charge de travail GKE, par exemple :

    • CronJob
    • DaemonSet
    • Deployment
    • Job
    • Pod
    • ReplicationController
    • ReplicaSet
    • StatefulSet

Étant donné que l'évaluation des failles pour Google Cloud peut identifier la même faille dans plusieurs conteneurs, elle agrège les failles au niveau de la charge de travail GKE ou du pod. Google Cloud Dans un résultat, vous pouvez voir plusieurs valeurs dans un seul champ, par exemple dans le champ files.elem.path.

Résultats pour les failles d'image de conteneur détectées

Les résultats pour les failles d'image de conteneur détectées contiennent les informations supplémentaires suivantes :

  • Nom complet de la ressource de l'image de conteneur
  • Toute association d'exécution liée au résultat, si l'image vulnérable s'exécute sur l'un des éléments suivants :
    • Pod GKE
    • App Engine
    • Service et révision Cloud Run
    • Job et exécution Cloud Run

Conservation des résultats

Une fois résolus, les résultats générés par l'évaluation des failles pour Google Cloud sont conservés pendant sept jours, après quoi ils sont supprimés. Les résultats actifs de l'évaluation des failles pour Google Cloud sont conservés pendant un an et 31 jours (396 jours). Les résultats sont également désactivés si l'image ou le conteneur associé au résultat est supprimé.

Emplacement du package

L'emplacement du fichier d'une faille dans un résultat fait référence aux fichiers binaires ou de métadonnées du package. Ces informations dépendent de l' extracteur SCALIBR utilisé par l'évaluation des failles pour Google Cloud . Pour les failles que l'évaluation des failles pour Google Cloud détecte dans un conteneur, il s'agit du chemin d'accès à l'intérieur du conteneur.

Le tableau suivant présente des exemples d'emplacements de failles pour différents extracteurs SCALIBR.

Extracteur SCALIBR Emplacement du package
Package Debian (dpkg) /var/lib/dpkg/status
Binaire Go /usr/bin/google_osconfig_agent
Archive Java /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar
PHP /var/www/html/vkumark/backend_api/composer.lock
Python /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA
Ruby /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec

Examiner les résultats dans la console

Vous pouvez afficher les résultats de l'évaluation des failles pour Google Cloud dans la Google Cloud console. Avant de commencer, assurez-vous de disposer des rôles appropriés.

Pour examiner les résultats de l'évaluation des failles pour Google Cloud dans la Google Cloud console, procédez comme suit :

  1. Dans la Google Cloud console, accédez à la page Résultats de Security Command Center.

    Accéder aux résultats

  2. Sélectionnez votre Google Cloud projet ou votre organisation.
  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides , sélectionnez Évaluation des failles. Les résultats de la requête sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Résumé , examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.