La valutazione delle vulnerabilità per Google Cloud ti aiuta a scoprire le vulnerabilità del software nelle risorse Google Cloud senza installare agenti. I tipi di risorse analizzate dipendono dal livello di servizio Security Command Center e includono quanto segue:
- Esecuzione di istanze VM di Compute Engine
- Nodi nei cluster GKE Standard
- Container in esecuzione nei cluster GKE Standard e GKE Autopilot.
La valutazione delle vulnerabilità per Google Cloud funziona clonando i dischi dell'istanza VM, montandoli in un'altra istanza VM sicura ed eseguendo la scansione con SCALIBR. Il clone dell'istanza VM ha le seguenti proprietà:
- Viene creato nella stessa regione dell'istanza VM di origine.
- Viene creato in un progetto di proprietà di Google, quindi non aumenta i costi.
Differenze tra i livelli di servizio
Le seguenti funzionalità di valutazione delle vulnerabilità per Google Cloud variano a seconda del livello di servizio:
- Frequenza di scansione
- Quali risultati sono arricchiti con i dati di valutazione delle CVE di Mandiant
- Il tempo che deve trascorrere prima che un risultato venga contrassegnato come
INACTIVE
Per ulteriori informazioni su queste differenze, consulta la sezione Risultati generati dalla valutazione delle vulnerabilità per Google Cloud.
Limitazioni
- Istanze VM con dischi permanenti criptati con chiavi di crittografia gestite dal cliente (CMEK) e con chiavi in una posizione globale o una chiave multiregionale nella stessa posizione geografica del disco.
- Istanze VM con dischi permanenti criptati con chiavi di crittografia gestite dal cliente (CMEK) e con chiavi di crittografia all'interno di progetti nei perimetri dei Controlli di servizio VPC.
- Istanze VM con dischi permanenti criptati con chiavi di crittografia fornite dal cliente (CSEK)
- La valutazione delle vulnerabilità per le scansioni Google Cloud analizza solo le partizioni VFAT, EXT2 ed EXT4.
- L'agente di servizio Security Command Center richiede l'accesso per elencare le istanze VM del progetto e clonare i relativi dischi nei progetti di proprietà di Google. Alcune configurazioni di sicurezza e criteri come i vincoli dei criteri dell'organizzazione possono interferire con questo accesso, impedendo le scansioni.
- La valutazione delle vulnerabilità per Google Cloud non analizza i cluster GKE con flusso di immagini abilitato.
- Le etichette del cluster non vengono utilizzate nei risultati.
Considerazioni per l'upgrade e il downgrade dei livelli di servizio
Quando cambi livello di servizio, le funzionalità di Vulnerability Assessment per Google Cloud vengono sostituite da quelle supportate nel livello di servizio attivo.
I risultati generati dall'attivazione precedente rimarranno attivi per il periodo definito dal livello di servizio precedente. Quando esegui il downgrade dal livello Premium a quello Standard, ad esempio, i risultati generati nel livello Premium rimangono attivi per 25 ore. I nuovi risultati generati nel livello Standard rimangono attivi per 195 ore.
Prima di iniziare
Se hai configurato perimetri Controlli di servizio VPC, crea le regole in entrata e in uscita necessarie.
Autorizzazioni per abilitare la valutazione delle vulnerabilità per Google Cloud
Per abilitare Vulnerability Assessment per Google Cloud con un'attivazione del livello Standard, devi disporre dei seguenti ruoli IAM:
- Amministratore Centro sicurezza (
roles/securitycenter.admin) Uno dei seguenti ruoli:
- Amministratore sicurezza (
roles/iam.securityAdmin) - Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin)
- Amministratore sicurezza (
Service agent per la scansione dei dischi
Il test delle vulnerabilità per il servizio Google Cloud utilizza gli agenti di servizio Security Command Center per l'identità e l'autorizzazione di accesso alle risorse Google Cloud .
Per le attivazioni di Security Command Center a livello di organizzazione, Vulnerability Assessment per Google Cloud utilizza il seguente service agent:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Per le attivazioni di Security Command Center a livello di progetto, il test delle vulnerabilità per Google Cloud utilizza il seguente service agent:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Attiva o disattiva la valutazione delle vulnerabilità per Google Cloud
Nei livelli Premium ed Enterprise, la valutazione delle vulnerabilità per Google Cloud viene attivata automaticamente per tutte le istanze VM, ove possibile.
Nel livello Standard, devi attivare manualmente la valutazione delle vulnerabilità per Google Cloud a livello di organizzazione, cartella o progetto.
Per modificare le impostazioni di Vulnerability Assessment per Google Cloud :
Nella console Google Cloud , vai alla pagina Panoramica dei rischi:
Seleziona un'organizzazione in cui attivare il test delle vulnerabilità per Google Cloud.
Fai clic su Impostazioni.
Nella sezione Valutazione delle vulnerabilità, fai clic su Gestisci impostazioni.
Nella scheda Google Cloud, abilita o disabilita la valutazione delle vulnerabilità per Google Cloud a livello di organizzazione, cartella o progetto dalla colonna Valutazione delle vulnerabilità senza agenti. I livelli inferiori possono ereditare il valore dai livelli superiori.
Scansiona i dischi criptati con CMEK
Per consentire a Vulnerability Assessment per Google Cloud di analizzare i dischi criptati con CMEK, devi concedere il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) ai seguenti service agent:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-PROJECT_ID@compute-system.iam.gserviceaccount.com
Se hai il seguente service agent, devi concedere il ruolo anche a questo service agent:
service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com
Configurare le autorizzazioni a livello di chiave
- Vai alla pagina Sicurezza > Gestione chiavi.
- Seleziona il keyring contenente la chiave.
- Seleziona la chiave.
- Nel riquadro informazioni, fai clic su Autorizzazioni.
- Inserisci il nome dell'agente di servizio che hai inserito nel campo Nuove entità.
- Nel menu Seleziona un ruolo, seleziona Cloud KMS CryptoKey Encrypter/Decrypter.
- Fai clic su Salva.
Configura le autorizzazioni delle chiavi a livello di progetto
- Vai a IAM e amministrazione > IAM.
- Fai clic su Concedi l'accesso.
- Inserisci il nome dell'agente di servizio che hai inserito nel campo Nuove entità.
- Nel menu Seleziona un ruolo, seleziona Cloud KMS CryptoKey Encrypter/Decrypter.
Affinché le scansioni vengano eseguite correttamente, la chiave deve trovarsi nella stessa regione del disco.
La valutazione delle vulnerabilità per Google Cloud tenta di eseguire la scansione dei dischi criptati utilizzando CMEK. Se non concedi
le autorizzazioni richieste, Google Cloud viene generato il seguente errore nel
log audit: Cloud KMS error when using key.
Risultati generati dalla valutazione di vulnerabilità per Google Cloud
Il test delle vulnerabilità per il servizio Google Cloud genera un risultato in Security Command Center quando rileva quanto segue, che varia in base al livello di servizio:
- Vulnerabilità del software su un'istanza VM di Compute Engine.
- Vulnerabilità del software sui nodi di un cluster GKE o sui container in esecuzione su GKE.
Vulnerabilità delle immagini container nelle seguenti risorse:
- Pod GKE
- Servizi App Engine
- Servizi e job Cloud Run
La frequenza delle scansioni varia in base al livello di servizio:
| Livello Standard | Livelli Premium ed Enterprise |
|---|---|
| Una volta alla settimana | Circa ogni 12 ore |
La valutazione delle vulnerabilità per Google Cloud pubblica i risultati con le seguenti gravità, che variano in base al livello di servizio:
| Livello Standard | Livelli Premium ed Enterprise |
|---|---|
Risultati con gravità Critical |
Risultati con gravità Critical e High |
Quando la valutazione delle vulnerabilità per Google Cloud crea un risultato, questo rimane nello stato ACTIVE per il seguente periodo di stato attivo, che varia in base al livello di servizio:
| Livello Standard | Livelli Premium ed Enterprise |
|---|---|
| 195 ore | 25 ore |
Se la valutazione delle vulnerabilità per Google Cloud rileva nuovamente il risultato entro il periodo di stato attivo
(in base al livello di servizio), il contatore viene reimpostato e il risultato rimane nello
stato ACTIVE per un altro periodo di stato attivo.
Se la valutazione delle vulnerabilità per Google Cloud non rileva di nuovo il risultato entro il periodo di stato attivo (in base al livello di servizio), la valutazione delle vulnerabilità per Google Cloud imposta il risultato su INACTIVE.
Informazioni disponibili nei risultati
I risultati contengono le seguenti informazioni comuni:
- Una descrizione della vulnerabilità, incluse le seguenti informazioni:
- Il pacchetto software contenente la vulnerabilità e la sua posizione
- Informazioni del record CVE associato
- Una valutazione di Security Command Center della gravità della vulnerabilità
- Se disponibili, passaggi per risolvere il problema, inclusa la patch o l'upgrade della versione per risolvere la vulnerabilità
I seguenti valori delle proprietà:
- Classe:
Vulnerability - Provider di servizi cloud:
Google Cloud - Origine:
Vulnerability Assessment - Categoria: uno dei seguenti valori:
Container Image VulnerabilityOS vulnerabilitySoftware vulnerability
- Classe:
Alcuni risultati, che variano in base al livello di servizio, sono arricchiti con informazioni sull'impatto e sulla sfruttabilità di una CVE utilizzando le valutazioni CVE di Mandiant.
| Livello Standard | Livelli Premium ed Enterprise |
|---|---|
| Le CVE con gravità critica includono informazioni di valutazione di Mandiant | I CVE con gravità critica o elevata includono le informazioni di valutazione di Mandiant |
I risultati generati nei livelli di servizio Premium ed Enterprise includono le seguenti informazioni:
- Un punteggio di esposizione agli attacchi che ti aiuta a dare la priorità alla correzione.
- Una rappresentazione visiva del percorso che un utente malintenzionato potrebbe seguire per raggiungere risorse di alto valore esposte dalla vulnerabilità.
Risultati per le vulnerabilità software rilevate
I risultati per le vulnerabilità software rilevate contengono le seguenti informazioni aggiuntive:
- Il nome completo della risorsa dell'istanza VM o del cluster GKE interessato.
Informazioni sull'oggetto interessato quando il risultato riguarda un workload GKE, ad esempio:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
Poiché Vulnerability Assessment per Google Cloud può identificare la stessa vulnerabilità in più container, Vulnerability Assessment per Google Cloud aggrega le vulnerabilità a livello di carico di lavoro GKE o di pod. In un risultato, potresti visualizzare
più valori in un singolo campo, ad esempio nel campo files.elem.path.
Risultati per le vulnerabilità delle immagini container rilevate
I risultati relativi alle vulnerabilità delle immagini container rilevate contengono le seguenti informazioni aggiuntive:
- Il nome completo della risorsa dell'immagine container
- Qualsiasi associazione di runtime correlata al risultato, se l'immagine vulnerabile viene eseguita
su uno dei seguenti elementi:
- Pod GKE
- App Engine
- Servizio e revisione Cloud Run
- Job ed esecuzione Cloud Run
Conservazione dei risultati
Una volta risolte, le vulnerabilità generate da Vulnerability Assessment per Google Cloud vengono conservate per 7 giorni, dopodiché vengono eliminate. I risultati di Vulnerability Assessment attivo per Google Cloud vengono conservati indefinitamente.
Località pacchetto
La posizione del file di una vulnerabilità in un risultato si riferisce ai file di metadati binari o del pacchetto. Queste informazioni dipendono dall'estrattore SCALIBR utilizzato da Vulnerability Assessment per Google Cloud . Per le vulnerabilità che la valutazione delle vulnerabilità per Google Cloud trova in un container, questo è il percorso all'interno del container.
La seguente tabella mostra esempi di posizioni delle vulnerabilità per vari estrattori SCALIBR.
| Estrattore SCALIBR | Località pacchetto |
|---|---|
Pacchetto Debian (dpkg) |
/var/lib/dpkg/status |
| Vai al binario | /usr/bin/google_osconfig_agent |
| archivio Java | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Esaminare i risultati nella console
Puoi visualizzare i risultati della valutazione delle vulnerabilità per Google Cloud nella console Google Cloud . Prima di procedere, assicurati di disporre dei ruoli appropriati.
Per esaminare i risultati della Valutazione delle vulnerabilità per Google Cloud nella console Google Cloud , segui questi passaggi:
-
Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud .
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Valutazione delle vulnerabilità. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un problema specifico, fai clic sul nome del problema nella colonna Categoria. Si apre il pannello dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.