Ativar e usar a avaliação de vulnerabilidades do Google Cloud

A Avaliação de vulnerabilidades para Google Cloud ajuda você a descobrir vulnerabilidades de software em recursos do Google Cloudsem instalar agentes. Os tipos de recursos verificados dependem do nível de serviço do Security Command Center e incluem o seguinte:

  • Execução de instâncias de VM do Compute Engine
  • Nós em clusters do GKE Standard
  • Contêineres em execução em clusters do GKE Standard e do GKE Autopilot.

A avaliação de vulnerabilidades para Google Cloud funciona clonando os discos da instância de VM, ativando-os em outra instância de VM segura e verificando-os com o SCALIBR. O clone da instância de VM tem as seguintes propriedades:

  • Ela é criada na mesma região da instância de VM de origem.
  • Ele é criado em um projeto do Google, então não aumenta seus custos.

Diferenças de recursos entre níveis de serviço

Os seguintes recursos da Avaliação de vulnerabilidades para Google Cloud variam de acordo com o nível de serviço:

  • A frequência de verificação
  • Quais descobertas são enriquecidas com dados de avaliação de CVE da Mandiant
  • O tempo até que uma descoberta seja marcada como INACTIVE

Consulte Descobertas geradas pela Avaliação de vulnerabilidades para Google Cloud para mais informações sobre essas diferenças.

Limitações

  • Instâncias de VM com discos permanentes criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK) e que têm chaves em um local global ou uma chave multirregional no mesmo local geográfico do disco.
  • Instâncias de VM com discos permanentes criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK) e que têm chaves de criptografia em projetos nos perímetros do VPC Service Controls.
  • Instâncias de VM com discos permanentes criptografados com chaves de criptografia fornecidas pelo cliente (CSEK)
  • A avaliação de vulnerabilidades para Google Cloud verifica apenas partições VFAT, EXT2 e EXT4.
  • O agente de serviço do Security Command Center precisa de acesso para listar instâncias de VM do projeto e clonar os discos delas em projetos do Google. Algumas configurações de segurança e política, como restrições de política da organização, podem interferir nesse acesso e impedir as verificações.
  • A avaliação de vulnerabilidades para Google Cloud não verifica clusters do GKE com o streaming de imagens ativado.
  • Os rótulos de cluster não são usados nas descobertas.

Considerações ao fazer upgrade e downgrade dos níveis de serviço

Quando você muda de nível de serviço, os recursos da Avaliação de vulnerabilidades para Google Cloud mudam para aqueles compatíveis com o nível de serviço ativo.

As descobertas geradas pela ativação anterior vão permanecer ativas pelo tempo definido pelo nível de serviço anterior. Ao fazer downgrade do nível Premium para o Standard, por exemplo, as descobertas geradas no nível Premium permanecem ativas por 25 horas. As novas descobertas geradas no nível Standard permanecem ativas por 195 horas.

Antes de começar

Se você tiver perímetros do VPC Service Controls configurados, crie as regras de saída e entrada necessárias.

Permissões para ativar a avaliação de vulnerabilidades do Google Cloud

Para ativar a avaliação de vulnerabilidades para Google Cloud com uma ativação do nível Standard, você precisa dos seguintes papéis do IAM:

  • Administrador da Central de segurança (roles/securitycenter.admin)

  • Um dos seguintes papéis:

    • Administrador de segurança (roles/iam.securityAdmin)
    • Administrador da organização (roles/resourcemanager.organizationAdmin)

Agentes de serviço para verificar discos

O serviço de verificação de vulnerabilidades para Google Cloud usa agentes de serviço do Security Command Center para identidade e permissão de acesso a recursos do Google Cloud .

Para ativações do Security Command Center no nível da organização, a Avaliação de vulnerabilidades para Google Cloud usa o seguinte agente de serviço:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Para ativações do Security Command Center no nível do projeto, a Avaliação de vulnerabilidades para Google Cloud usa o seguinte agente de serviço:

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

Ativar ou desativar a avaliação de vulnerabilidades para Google Cloud

Nos níveis Premium e Enterprise, a avaliação de vulnerabilidades para Google Cloud é ativada automaticamente para todas as instâncias de VM sempre que possível.

No nível Standard, é necessário ativar manualmente a Avaliação de vulnerabilidades para Google Cloud no nível da organização, da pasta ou do projeto.

Para mudar as configurações da Avaliação de vulnerabilidades do Google Cloud , faça o seguinte:

  1. No console do Google Cloud , acesse a página Visão geral de risco:

    Acessar a Visão geral de riscos

  2. Selecione uma organização para ativar a Avaliação de vulnerabilidades para Google Cloud.

  3. Clique em Configurações.

  4. Na seção Avaliação de vulnerabilidades, clique em Gerenciar configurações.

  5. Na guia Google Cloud, ative ou desative a avaliação de vulnerabilidades para Google Cloud no nível da organização, pasta ou projeto na coluna Avaliação de vulnerabilidades sem agente. Os níveis mais baixos podem herdar o valor dos níveis mais altos.

Verificar discos criptografados com a CMEK

Para permitir que a Avaliação de vulnerabilidades para Google Cloud verifique discos criptografados com CMEK, conceda o papel de criptografador/descriptografador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) aos seguintes agentes de serviço:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

service-PROJECT_ID@compute-system.iam.gserviceaccount.com

Se você tiver o seguinte agente de serviço, também será necessário conceder o papel a ele:

service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com

Configurar permissões no nível da chave

  1. Navegue até a página Segurança > Gerenciamento de chaves.
  2. Selecione o keyring que contém a chave.
  3. Selecione a chave.
  4. No painel de informações, clique em Permissões.
  5. Insira o nome do agente de serviço que você digitou no campo Novos principais.
  6. No menu Selecionar um papel, escolha Criptografador/descriptografador de CryptoKey do Cloud KMS.
  7. Clique em Salvar.

Configurar permissões de chave no nível do projeto

  1. Acesse IAM e administrador > IAM.
  2. Clique em Conceder acesso.
  3. Insira o nome do agente de serviço que você digitou no campo Novos principais.
  4. No menu Selecionar um papel, escolha Criptografador/descriptografador de CryptoKey do Cloud KMS.

Para que as verificações sejam executadas corretamente, a chave precisa estar na mesma região que o disco. A Avaliação de vulnerabilidades para Google Cloud tenta verificar discos criptografados com CMEK. Se você não conceder as permissões necessárias, Google Cloud vai gerar o seguinte erro no registro de auditoria: Cloud KMS error when using key.

Descobertas geradas pela Avaliação de vulnerabilidades para Google Cloud

O serviço de avaliação de vulnerabilidades para Google Cloud gera uma descoberta no Security Command Center quando detecta o seguinte, que varia de acordo com o nível de serviço:

  • Vulnerabilidades de software em uma instância de VM do Compute Engine.
  • Vulnerabilidades de software em nós de um cluster do GKE ou contêineres em execução no GKE.

  • Vulnerabilidades de imagens de contêineres nos seguintes recursos:

    • Pods do GKE
    • Serviços do App Engine
    • Serviços e jobs do Cloud Run

A frequência das verificações varia de acordo com o nível de serviço:

Nível Standard Níveis Premium e Enterprise
Uma vez por semana Aproximadamente a cada 12 horas

A Avaliação de vulnerabilidades para Google Cloud publica descobertas com as seguintes gravidades, que variam de acordo com o nível de serviço:

Nível Standard Níveis Premium e Enterprise
Critical descobertas de gravidade Descobertas de gravidade Critical e High

Quando a Avaliação de vulnerabilidades para Google Cloud cria uma descoberta, ela permanece no estado ACTIVE durante o período ativo a seguir, que varia de acordo com o nível de serviço:

Nível Standard Níveis Premium e Enterprise
195 horas 25 horas

Se a Avaliação de vulnerabilidades para Google Cloud detectar a descoberta novamente no período de estado ativo (com base no nível de serviço), o contador será redefinido, e a descoberta permanecerá no estado ACTIVE por outro período de estado ativo.

Se a Avaliação de vulnerabilidades para Google Cloud não detectar a descoberta novamente no período de estado ativo (com base no nível de serviço), a Avaliação de vulnerabilidades para Google Cloud vai definir a descoberta como INACTIVE.

Informações disponíveis nas descobertas

As descobertas contêm as seguintes informações comuns:

  • Uma descrição da vulnerabilidade, incluindo as seguintes informações:
    • O pacote de software que contém a vulnerabilidade e a localização dela
    • Informações do registro de CVE associado
    • Uma avaliação do Security Command Center sobre a gravidade da vulnerabilidade
  • Se disponíveis, etapas para corrigir o problema, incluindo o patch ou upgrade de versão para resolver a vulnerabilidade

  • Os seguintes valores de propriedade:

    • Classe: Vulnerability
    • Provedor de serviços de nuvem: Google Cloud
    • Origem: Vulnerability Assessment
    • Categoria: um dos seguintes valores:
      • Container Image Vulnerability
      • OS vulnerability
      • Software vulnerability

Alguns resultados, que variam de acordo com o nível de serviço, são enriquecidos com informações sobre o impacto e a capacidade de exploração de uma CVE usando as avaliações de CVE da Mandiant.

Nível Standard Níveis Premium e Enterprise
CVEs com gravidade crítica incluem informações de avaliação da Mandiant Os CVEs que têm uma gravidade crítica ou alta incluem informações de avaliação da Mandiant.

As descobertas geradas nos níveis de serviço Premium e Enterprise incluem as seguintes informações:

  • Uma pontuação de exposição a ataques que ajuda você a priorizar a correção.
  • Uma representação visual do caminho que um invasor pode seguir para recursos de alto valor expostos pela vulnerabilidade.

Descobertas de vulnerabilidades de software detectadas

As descobertas de vulnerabilidades de software detectadas contêm as seguintes informações adicionais:

  • O nome completo do recurso da instância de VM ou do cluster do GKE afetado.

  • Informações sobre o objeto afetado quando a descoberta se relaciona a uma carga de trabalho do GKE, por exemplo:

    • CronJob
    • DaemonSet
    • Deployment
    • Job
    • Pod
    • ReplicationController
    • ReplicaSet
    • StatefulSet

Como a Avaliação de vulnerabilidades para Google Cloud pode identificar a mesma vulnerabilidade em vários contêineres, a Avaliação de vulnerabilidades para Google Cloud agrega vulnerabilidades no nível da carga de trabalho do GKE ou do pod. Em uma descoberta, é possível encontrar vários valores em um único campo, por exemplo, no campo files.elem.path.

Descobertas de vulnerabilidades detectadas em imagens de contêiner

As descobertas de vulnerabilidades detectadas em imagens de contêiner incluem as seguintes informações adicionais:

  • O nome completo do recurso da imagem do contêiner
  • Qualquer associação de ambiente de execução relacionada à descoberta, se a imagem vulnerável for executada em qualquer um dos seguintes:
    • Pod do GKE
    • App Engine
    • Serviço e revisão do Cloud Run
    • Job e execução do Cloud Run

Retenção de descobertas

Depois de resolvidos, os resultados gerados pela Avaliação de vulnerabilidades para Google Cloud são mantidos por sete dias e depois excluídos. As descobertas da avaliação de vulnerabilidades ativa para Google Cloudsão armazenadas por tempo indeterminado.

Localização do pacote

O local do arquivo de uma vulnerabilidade em uma descoberta se refere aos arquivos binários ou de metadados do pacote. Essas informações dependem do extrator SCALIBR usado pela Avaliação de vulnerabilidades para Google Cloud . Para vulnerabilidades que a Avaliação de vulnerabilidades para Google Cloud encontra em um contêiner, este é o caminho dentro do contêiner.

A tabela a seguir mostra exemplos de locais de vulnerabilidade para vários extratores do SCALIBR.

Extrator SCALIBR Localização do pacote
Pacote Debian (dpkg) /var/lib/dpkg/status
Binário Go /usr/bin/google_osconfig_agent
arquivo Java /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar
PHP /var/www/html/vkumark/backend_api/composer.lock
Python /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA
Ruby /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec

Analisar descobertas no console

É possível conferir as descobertas da Avaliação de vulnerabilidades para Google Cloud no console Google Cloud . Antes de fazer isso, verifique se você tem os papéis apropriados.

Para analisar as descobertas da avaliação de vulnerabilidades para Google Cloud no console do Google Cloud , siga estas etapas:

  1. No console do Google Cloud , acesse a página Descobertas do Security Command Center.

    Acessar descobertas

  2. Selecione Google Cloud o projeto ou a organização.
  3. Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Avaliação de vulnerabilidades. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
  4. Para visualizar os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
  5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
  6. Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.