הפעלה ושימוש ב-Vulnerability Assessment ב-Google Cloud

הכלי להערכת נקודות חולשה ב- Google Cloud עוזר לכם לגלות נקודות חולשה בתוכנה במשאבים של Google Cloud בלי להתקין סוכנים. סוגי המשאבים שנסרקים תלויים ברמת השירות של Security Command Center, והם כוללים את המשאבים הבאים:

  • הפעלת מכונות וירטואליות של Compute Engine
  • צמתים באשכולות GKE Standard
  • קונטיינרים שפועלים באשכולות GKE Standard ו-GKE Autopilot.

הכלי הערכת נקודות חולשה for Google Cloud פועל על ידי שכפול הדיסקים של מכונת ה-VM, צירופ שלהם למכונת VM מאובטחת אחרת וסריקה שלהם באמצעות SCALIBR. לשיבוט של מופע ה-VM יש את המאפיינים הבאים:

  • היא נוצרת באותו אזור כמו המכונה הווירטואלית המקורית.
  • הוא נוצר בפרויקט בבעלות Google, ולכן הוא לא מייקר את העלויות.

הבדלים ביכולות בין רמות שירות

היכולות הבאות של הערכת נקודות חולשה ב- Google Cloud משתנות בהתאם לרמת השירות:

  • תדירות הסריקה
  • אילו ממצאים מועשרים בנתוני הערכה של Mandiant CVE
  • הזמן עד שתוצאת הבדיקה מסומנת כ-INACTIVE

מידע נוסף על ההבדלים האלה זמין במאמר ממצאים שנוצרו על ידי הערכת נקודות חולשה ב- Google Cloud.

מגבלות

כשמזהים את המשאבים שרוצים לסרוק, כדאי להביא בחשבון את הנקודות הבאות:

  • סוכני השירות של Security Command Center צריכים להיות מסוגלים להציג רשימה של מכונות וירטואליות בפרויקט ולשכפל את הדיסקים שלהן לפרויקטים בבעלות Google. חשוב לוודא שהגדרות האבטחה והמדיניות, כמו אילוצים של מדיניות הארגון, לא מפריעות לסוכן השירות לגשת למשאבים האלה ולסרוק אותם.

  • כשסורקים מכונות וירטואליות עם דיסקים מתמידים שמוצפנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK), המפתח צריך להיות מאוחסן באותו אזור שבו מאוחסן הדיסק. זהו המיקום הגלובלי או המיקום הגיאוגרפי של הדיסק כשמשתמשים במפתחות של אזורים גיאוגרפיים נרחבים.

  • הערכת נקודות חולשה ב- Google Cloud לא תומכת בסריקת דיסקים שמוצפנים באמצעות CMEK ושנמצאים בתוך היקפי האבטחה של VPC Service Controls.

  • הערכת פגיעות ב- Google Cloud לא תומכת במכונות וירטואליות עם דיסקים מתמידים שמוצפנים באמצעות מפתחות הצפנה באספקת הלקוח (CSEK).

  • הערכת נקודות חולשה בסריקות של Google Cloud מחיצות דיסק מסוג VFAT, ‏ EXT2, ‏ EXT4, ‏ XFS ו-NTFS בלבד.

  • הערכת פגיעות עבור Google Cloud לא כוללת תוויות של אשכולות בממצאים כשסורקים אשכולות GKE.

  • הערכת פגיעות ב- Google Cloud לא סורקת מכונות וירטואליות של Confidential Computing וצמתים של Confidential Google Kubernetes Engine.

שיקולים כשמשדרגים ומנמיכים מסלולי שירות

כשעוברים בין רמות שירות, היכולות של Google Cloud הערכת נקודות חולשה משתנות לאלה שנתמכות ברמת השירות הפעילה.

הממצאים שנוצרו בהפעלה הקודמת יישארו פעילים למשך הזמן שמוגדר ברמת השירות הקודמת. לדוגמה, כשמשדרגים לאחור ממסלול פרימיום למסלול רגיל, הממצאים שנוצרו במסלול פרימיום נשארים פעילים למשך 25 שעות. ממצאים חדשים שנוצרים ברמה Standard נשארים פעילים למשך 195 שעות.

לפני שמתחילים

אם הגדרתם גבולות גזרה של VPC Service Controls, תצטרכו ליצור את הכללים הנדרשים לתעבורת נתונים יוצאת ונכנסת.

הרשאות להפעלת הערכת נקודות חולשה עבור Google Cloud

ההרשאות הנדרשות תלויות ברמת ההפעלה של Security Command Center. מידע על ההרשאות שנדרשות להפעלת מסלול פרימיום זמין במאמר הפעלת מסלול פרימיום של Security Command Center בארגון.

הפעלות של מסלול Standard ברמת הארגון

כדי להפעיל את הערכת נקודות החולשה ב- Google Cloud עם הפעלת רמת שירות Standard ברמת הארגון, אתם צריכים את תפקידי ה-IAM הבאים:

  • אדמין של Security Center (roles/securitycenter.admin)
  • אחד מהתפקידים הבאים:

    • Security Admin (roles/iam.securityAdmin)
    • אדמין ארגוני (roles/resourcemanager.organizationAdmin)

הפעלות ברמת הפרויקט של מסלול פרימיום או מסלול רגיל

כדי להפעיל את הכלי להערכת נקודות חולשה בפרויקט Google Cloud כש-Security Command Center מופעל ברמת הפרויקט בלבד, צריך את תפקידי ה-IAM הבאים:

  • אדמין של Security Center (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)

סוכני שירות לסריקת דיסקים

השירות הערכת נקודות חולשה for Google Cloud משתמש בסוכני שירות של Security Command Center כדי לקבל זהות והרשאה לגישה למשאבים Google Cloud .

בהפעלות של Security Command Center ברמת הארגון, התכונה 'הערכת נקודות חולשה' ל- Google Cloud משתמשת בסוכן השירות הבא:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

בהפעלות של Security Command Center ברמת הפרויקט, התכונה 'הערכת נקודות חולשה' של Google Cloud משתמשת בסוכן השירות הבא:

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

הפעלה או השבתה של הערכת נקודות חולשה עבור Google Cloud

במהדורות Premium ו-Enterprise, האפשרות 'הערכת נקודות חולשה' עבור Google Cloud מופעלת באופן אוטומטי לכל מכונות ה-VM, אם אפשר.

במסלול Standard, צריך להפעיל ידנית את התכונה 'הערכת נקודות חולשה' Google Cloud ברמת הארגון, התיקייה או הפרויקט.

כדי לשנות את ההגדרות של Google Cloud הערכת נקודות חולשה:

  1. במסוף Google Cloud , נכנסים לדף Risk Overview:

    לסקירה הכללית של הסיכונים

  2. בוחרים ארגון שבו רוצים להפעיל את התכונה 'הערכת נקודות חולשה' עבור Google Cloud.

  3. לוחצים על הגדרות.

  4. בקטע Vulnerability Assessment (הערכת נקודות חולשה), לוחצים על Manage settings (ניהול הגדרות).

  5. בכרטיסייה Google Cloud, מפעילים או משביתים את הערכת נקודות החולשה עבור Google Cloud ברמת הארגון, התיקייה או הפרויקט מהעמודה Agentless Vulnerability Assessment. רמות נמוכות יותר יכולות לרשת את הערך מרמות גבוהות יותר.

סריקת דיסקים מוצפנים באמצעות CMEK

כדי לאפשר ל-הערכת נקודות חולשה for Google Cloud לסרוק דיסקים שמוצפנים באמצעות CMEK, צריך להעניק את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter‏ (roles/cloudkms.cryptoKeyEncrypterDecrypter) לסוכני השירות הבאים:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-PROJECT_ID@compute-system.iam.gserviceaccount.com

אם יש לכם את סוכן השירות הבא, אתם צריכים להקצות לו את התפקיד:

service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com

הגדרת הרשאות ברמת המפתח

  1. עוברים לדף אבטחה > ניהול מפתחות.
  2. בוחרים את אוסף המפתחות שמכיל את המפתח.
  3. בוחרים את המפתח.
  4. בחלונית המידע, לוחצים על הרשאות.
  5. מזינים את שם סוכן השירות שהזנתם בשדה New principals.
  6. בתפריט Select a role, בוחרים באפשרות Cloud KMS CryptoKey Encrypter/Decrypter.
  7. לוחצים על Save.

הגדרת הרשאות למפתחות ברמת הפרויקט

  1. עוברים אל IAM & Admin > IAM.
  2. לוחצים על הענקת גישה.
  3. מזינים את שם סוכן השירות שהזנתם בשדה New principals.
  4. בתפריט Select a role, בוחרים באפשרות Cloud KMS CryptoKey Encrypter/Decrypter.

כדי שהסריקות יפעלו בצורה תקינה, המפתח צריך להיות באותו אזור כמו הדיסק. הערכת נקודות חולשה ב- Google Cloud מנסה לסרוק דיסקים שמוצפנים באמצעות CMEK. אם לא תעניקו את ההרשאות הנדרשות, Google Cloud יפיק את השגיאה הבאה ביומן הביקורת: Cloud KMS error when using key.

ממצאים שנוצרו על ידי הערכת נקודות חולשה עבור Google Cloud

הכלי להערכת נקודות חולשה בשירות Google Cloud יוצר ממצא ב-Security Command Center כשהוא מזהה את הדברים הבאים:

  • נקודות חולשה בתוכנה במכונה וירטואלית של Compute Engine.
  • נקודות חולשה בתוכנה בצמתים באשכול GKE או בקונטיינרים שפועלים ב-GKE.
  • נקודות חולשה בקובצי אימג' של קונטיינרים במשאבים הבאים:

    • GKE Pods
    • שירותי App Engine
    • שירותים ומשימות ב-Cloud Run

תדירות הסריקות משתנה בהתאם לרמת השירות:

רמה רגילה רמות Premium ו-Enterprise
פעם בשבוע בערך כל 12 שעות

הכלי הערכת נקודות חולשה for Google Cloud מפרסם ממצאים עם רמות חומרה שונות, בהתאם לרמת השירות:

רמה רגילה רמות Premium ו-Enterprise
Critical ממצאים לפי חומרה ממצאים ברמת החומרה Critical ו-High

כשכלי הערכת נקודות חולשה ב- Google Cloud יוצר ממצא, הוא נשאר במצב ACTIVE למשך התקופה הבאה של מצב פעיל, שמשתנה בהתאם לרמת השירות:

רמה רגילה רמות Premium ו-Enterprise
‫195 שעות ‫25 שעות

אם הכלי הערכת נקודות חולשה for Google Cloud מזהה שוב את הממצא במהלך תקופת המצב הפעיל (בהתאם לרמת השירות), המונה מתאפס והממצא נשאר במצב ACTIVE למשך תקופה נוספת של מצב פעיל.

אם הכלי הערכת נקודות חולשה for Google Cloud לא יזהה שוב את הממצא במהלך תקופת הסטטוס הפעיל (בהתאם לרמת השירות), הכלי הערכת נקודות חולשה for Google Cloud יגדיר את הממצא לסטטוס INACTIVE.

המידע שזמין בממצאים

הממצאים כוללים את המידע הנפוץ הבא:

  • תיאור של נקודת החולשה, כולל הפרטים הבאים:
    • חבילת התוכנה שמכילה את נקודת החולשה והמיקום שלה
    • מידע מרשומת ה-CVE המשויכת
    • הערכה של רמת החומרה של נקודת החולשה מ-Security Command Center
  • אם יש, שלבים לפתרון הבעיה, כולל תיקון או שדרוג גרסה לטיפול בפגיעות
  • ערכי המאפיין (property) הבאים:

    • כיתה: Vulnerability
    • ספק שירותי ענן: Google Cloud
    • מקור: Vulnerability Assessment
    • קטגוריה: אחד מהערכים הבאים:
      • Container Image Vulnerability
      • OS vulnerability
      • Software vulnerability

חלק מהממצאים, שמשתנים בהתאם לרמת השירות, מועשרים במידע על ההשפעה של CVE ועל האפשרות לנצל אותו, באמצעות הערכות CVE של Mandiant.

רמה רגילה רמות Premium ו-Enterprise
פגיעויות CVE ברמת חומרה קריטית כוללות מידע על הערכה של Mandiant ‫CVEs שרמת החומרה שלהם היא Critical או High כוללים מידע על הערכה של Mandiant

הממצאים שנוצרים ברמות השירות Premium ו-Enterprise כוללים את המידע הבא:

  • ציון חשיפה להתקפות שעוזר לקבוע סדר עדיפויות לתיקון.
  • המחשה חזותית של הנתיב שבו התוקף עשוי ללכת כדי להגיע למשאבים בעלי ערך גבוה שנחשפים על ידי נקודת החולשה.

ממצאים לגבי נקודות חולשה בתוכנה שזוהו

הממצאים לגבי נקודות חולשה בתוכנה שזוהו מכילים את המידע הנוסף הבא:

  • השם המלא של המשאב של מכונת ה-VM או של אשכול ה-GKE שהושפעו מהבעיה.
  • מידע על האובייקט שהושפע כשהממצא קשור לעומס עבודה ב-GKE, לדוגמה:

    • CronJob
    • DaemonSet
    • Deployment
    • Job
    • Pod
    • ReplicationController
    • ReplicaSet
    • StatefulSet

מכיוון שכלי הערכת נקודות חולשה ב- Google Cloud יכול לזהות את אותה נקודת חולשה בכמה קונטיינרים, הוא מצטבר את נקודות החולשה ברמת עומס העבודה של GKE או ברמת ה-Pod. Google Cloud יכול להיות שתראו כמה ערכים בשדה אחד בממצא, למשל בשדה files.elem.path.

ממצאים לגבי נקודות חולשה שזוהו בקובץ אימג' של קונטיינר

הממצאים לגבי נקודות חולשה שזוהו בקובצי אימג' של קונטיינרים כוללים את המידע הנוסף הבא:

  • השם המלא של המשאב של קובץ אימג' של קונטיינר
  • אם התמונה הפגיעה פועלת באחד מהשירותים הבאים, הממצא כולל ספירה של משאבי זמן הריצה המושפעים:
    • GKE Pod
    • App Engine
    • שירות וגרסה ב-Cloud Run
    • משימה והפעלה ב-Cloud Run

שמירת הממצאים

אחרי שהבעיות נפתרות, הממצאים שנוצרו על ידי הערכת נקודות חולשה עבור Google Cloud נשמרים למשך 7 ימים, ולאחר מכן הם נמחקים. ממצאים של סריקת חולשות פעילה עבור Google Cloud נשמרים למשך שנה ועוד 31 ימים (396 ימים). ממצאים מושבתים גם אם התמונה או המאגר שמשויכים לממצא נמחקים.

מיקום החבילה

מיקום הקובץ של נקודת חולשה בממצא מתייחס לקובצי מטא-נתונים בינאריים או של חבילות. המידע הזה תלוי בכלי לחילוץ SCALIBR שמשמש את Google Cloud . במקרה של נקודות חולשה שמתגלות בקונטיינר על ידי הערכת נקודות חולשה ב- Google Cloud , זהו הנתיב בתוך הקונטיינר.

בטבלה הבאה מוצגות דוגמאות למיקומי פגיעות עבור כלי חילוץ שונים של SCALIBR.

כלי החילוץ SCALIBR מיקום החבילה
חבילת Debian‏ (dpkg) /var/lib/dpkg/status
Go binary /usr/bin/google_osconfig_agent
ארכיון Java /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar
PHP /var/www/html/vkumark/backend_api/composer.lock
Python /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA
Ruby /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec

בדיקת הממצאים במסוף

אפשר לראות את הממצאים של הערכת נקודות חולשה במסוף Google Cloud . Google Cloud לפני שמתחילים, חשוב לוודא שיש לכם את התפקידים המתאימים.

כדי לבדוק את הממצאים של הערכת הפגיעות במסוף Google Cloud , פועלים לפי השלבים הבאים: Google Cloud

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע מסננים מהירים, בקטע המשנה השם המוצג של המקור, בוחרים באפשרות הערכת נקודות חולשה. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.