Ativar e usar a avaliação de vulnerabilidades do Google Cloud

A Avaliação de vulnerabilidades para Google Cloud ajuda você a descobrir vulnerabilidades de software em recursos do Google Cloudsem instalar agentes. Os tipos de recursos verificados dependem do nível de serviço do Security Command Center e incluem o seguinte:

  • Execução de instâncias de VM do Compute Engine
  • Nós em clusters do GKE Standard
  • Contêineres em execução em clusters do GKE Standard e do GKE Autopilot.

A avaliação de vulnerabilidades para Google Cloud clona os discos da instância de VM, monta-os em outra instância de VM segura e os verifica com o SCALIBR. O clone da instância de VM tem as seguintes propriedades:

  • Ela é criada na mesma região da instância de VM de origem.
  • Ele é criado em um projeto do Google, então não aumenta seus custos.

Diferenças de recursos entre níveis de serviço

As seguintes funcionalidades de avaliação de vulnerabilidade para Google Cloud variam de acordo com o nível de serviço:

  • A frequência de verificação
  • Quais descobertas são enriquecidas com dados de avaliação de CVE da Mandiant
  • O tempo até que uma descoberta seja marcada como INACTIVE

Consulte Descobertas geradas pela Avaliação de vulnerabilidades para Google Cloud para mais informações sobre essas diferenças.

Limitações

Considere o seguinte ao identificar os recursos que você quer verificar:

  • Os agentes de serviço do Security Command Center precisam listar instâncias de VM do projeto e clonar os discos delas em projetos do Google. Verifique se as configurações de segurança e política, como restrições de política da organização, não interferem na capacidade do agente de serviço de acessar e verificar esses recursos.

  • Ao verificar instâncias de VM com discos permanentes criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK), a chave precisa ser armazenada na mesma região que o disco. Esse é o local global ou o mesmo local geográfico do disco ao usar chaves multirregionais.

  • A avaliação de vulnerabilidades para Google Cloud não é compatível com a verificação de discos criptografados com CMEK e que estão dentro dos perímetros do VPC Service Controls.

  • A Avaliação de vulnerabilidades para Google Cloud não oferece suporte a instâncias de VM com discos permanentes criptografados com chaves de criptografia fornecidas pelo cliente (CSEK).

  • A Avaliação de vulnerabilidade para Google Cloud verifica apenas partições de disco VFAT, EXT2 e EXT4.

  • A Avaliação de vulnerabilidades para Google Cloud tem as seguintes limitações ao verificar clusters do GKE:

Considerações ao fazer upgrade e downgrade dos níveis de serviço

Quando você muda de nível de serviço, os recursos da Avaliação de vulnerabilidades para Google Cloud mudam para aqueles compatíveis com o nível de serviço ativo.

As descobertas geradas pela ativação anterior vão permanecer ativas pelo tempo definido pelo nível de serviço anterior. Ao fazer downgrade do nível Premium para o Standard, por exemplo, as descobertas geradas no nível Premium permanecem ativas por 25 horas. As novas descobertas geradas no nível Standard permanecem ativas por 195 horas.

Antes de começar

Se você tiver perímetros do VPC Service Controls configurados, crie as regras de saída e entrada necessárias.

Permissões para ativar a avaliação de vulnerabilidades do Google Cloud

As permissões necessárias dependem do nível de ativação do Security Command Center. Para informações sobre as permissões necessárias para ativações do Security Command Center Premium, consulte Ativar o Security Command Center Premium para uma organização.

Ativações do nível Standard no nível da organização

Para ativar a Avaliação de vulnerabilidades para Google Cloud com uma ativação do nível Standard no nível da organização, você precisa dos seguintes papéis do IAM:

  • Administrador da Central de segurança (roles/securitycenter.admin)

  • Um dos seguintes papéis:

    • Administrador de segurança (roles/iam.securityAdmin)
    • Administrador da organização (roles/resourcemanager.organizationAdmin)

Ativações do nível Premium ou Standard para envolvidos no projeto

Para ativar a Avaliação de vulnerabilidades para Google Cloud em um projeto quando o Security Command Center está ativado apenas no nível do projeto, você precisa das seguintes funções do IAM:

  • Administrador da Central de segurança (roles/securitycenter.admin)
  • Administrador de segurança (roles/iam.securityAdmin)

Agentes de serviço para verificar discos

O serviço de verificação de vulnerabilidades para Google Cloud usa agentes de serviço do Security Command Center para identidade e permissão de acesso a recursos do Google Cloud .

Para ativações do Security Command Center no nível da organização, a Avaliação de vulnerabilidades para Google Cloud usa o seguinte agente de serviço:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Para ativações do Security Command Center no nível do projeto, a Avaliação de vulnerabilidades para Google Cloud usa o seguinte agente de serviço:

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

Ativar ou desativar a avaliação de vulnerabilidades para Google Cloud

Nos níveis Premium e Enterprise, a avaliação de vulnerabilidades para Google Cloud é ativada automaticamente para todas as instâncias de VM sempre que possível.

No nível Standard, é necessário ativar manualmente a Avaliação de vulnerabilidades para Google Cloud no nível da organização, da pasta ou do projeto.

Para mudar as configurações da Avaliação de vulnerabilidades do Google Cloud , faça o seguinte:

  1. No console do Google Cloud , acesse a página Visão geral de risco:

    Acessar a Visão geral de riscos

  2. Selecione uma organização para ativar a Avaliação de vulnerabilidades para Google Cloud.

  3. Clique em Configurações.

  4. Na seção Avaliação de vulnerabilidades, clique em Gerenciar configurações.

  5. Na guia Google Cloud, ative ou desative a avaliação de vulnerabilidades para Google Cloud no nível da organização, pasta ou projeto na coluna Avaliação de vulnerabilidades sem agente. Os níveis mais baixos podem herdar o valor dos níveis mais altos.

Verificar discos criptografados com a CMEK

Para permitir que a Avaliação de Vulnerabilidades para Google Cloud verifique discos criptografados com CMEK, conceda o papel de criptografador/descriptografador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) aos seguintes agentes de serviço:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

service-PROJECT_ID@compute-system.iam.gserviceaccount.com

Se você tiver o seguinte agente de serviço, também será necessário conceder o papel a ele:

service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com

Configurar permissões no nível da chave

  1. Acesse a página Segurança > Gerenciamento de chaves.
  2. Selecione o keyring que contém a chave.
  3. Selecione a chave.
  4. No painel de informações, clique em Permissões.
  5. Insira o nome do agente de serviço que você digitou no campo Novos principais.
  6. No menu Selecionar um papel, escolha Criptografador/descriptografador de CryptoKey do Cloud KMS.
  7. Clique em Salvar.

Configurar permissões de chave para envolvidos no projeto

  1. Acesse IAM e administrador > IAM.
  2. Clique em Conceder acesso.
  3. Insira o nome do agente de serviço que você digitou no campo Novos principais.
  4. No menu Selecionar um papel, escolha Criptografador/descriptografador de CryptoKey do Cloud KMS.

Para que as verificações sejam executadas corretamente, a chave precisa estar na mesma região que o disco. A Avaliação de vulnerabilidades para Google Cloud tenta verificar discos criptografados com CMEK. Se você não conceder as permissões necessárias, Google Cloud vai gerar o seguinte erro no registro de auditoria: Cloud KMS error when using key.

Descobertas geradas pela Avaliação de vulnerabilidades para Google Cloud

O serviço de verificação de vulnerabilidades para Google Cloud gera uma descoberta no Security Command Center quando detecta o seguinte:

  • Vulnerabilidades de software em uma instância de VM do Compute Engine.
  • Vulnerabilidades de software em nós de um cluster do GKE ou contêineres em execução no GKE.

  • Vulnerabilidades de imagens de contêiner nos seguintes recursos:

    • Pods do GKE
    • Serviços do App Engine
    • Serviços e jobs do Cloud Run

A frequência das verificações varia de acordo com o nível de serviço:

Nível Standard Níveis Premium e Enterprise
Uma vez por semana Aproximadamente a cada 12 horas

A Avaliação de vulnerabilidades para Google Cloud publica descobertas com as seguintes gravidades, que variam de acordo com o nível de serviço:

Nível Standard Níveis Premium e Enterprise
Critical descobertas de gravidade Descobertas de gravidade Critical e High

Quando a Avaliação de vulnerabilidades para Google Cloud cria uma descoberta, ela permanece no estado ACTIVE durante o período ativo a seguir, que varia de acordo com o nível de serviço:

Nível Standard Níveis Premium e Enterprise
195 horas 25 horas

Se a Avaliação de vulnerabilidades para Google Cloud detectar a descoberta novamente no período de estado ativo (com base no nível de serviço), o contador será redefinido, e a descoberta permanecerá no estado ACTIVE por outro período de estado ativo.

Se a Avaliação de vulnerabilidades para Google Cloud não detectar a descoberta novamente no período de estado ativo (com base no nível de serviço), a Avaliação de vulnerabilidades para Google Cloud definirá a descoberta como INACTIVE.

Informações disponíveis nas descobertas

As descobertas contêm as seguintes informações comuns:

  • Uma descrição da vulnerabilidade, incluindo as seguintes informações:
    • O pacote de software que contém a vulnerabilidade e a localização dela
    • Informações do registro de CVE associado
    • Uma avaliação do Security Command Center sobre a gravidade da vulnerabilidade
  • Se disponíveis, etapas para corrigir o problema, incluindo o patch ou upgrade de versão para resolver a vulnerabilidade

  • Os seguintes valores de propriedade:

    • Classe: Vulnerability
    • Provedor de serviços de nuvem: Google Cloud
    • Origem: Vulnerability Assessment
    • Categoria: um dos seguintes valores:
      • Container Image Vulnerability
      • OS vulnerability
      • Software vulnerability

Alguns resultados, que variam de acordo com o nível de serviço, são enriquecidos com informações sobre o impacto e a capacidade de exploração de uma CVE usando as avaliações de CVE da Mandiant.

Nível Standard Níveis Premium e Enterprise
CVEs com gravidade crítica incluem informações de avaliação da Mandiant Os CVEs que têm uma gravidade crítica ou alta incluem informações de avaliação da Mandiant.

As descobertas geradas nos níveis de serviço Premium e Enterprise incluem as seguintes informações:

  • Uma pontuação de exposição a ataques que ajuda você a priorizar a correção.
  • Uma representação visual do caminho que um invasor pode seguir para recursos de alto valor expostos pela vulnerabilidade.

Descobertas de vulnerabilidades de software detectadas

As descobertas de vulnerabilidades de software detectadas contêm as seguintes informações adicionais:

  • O nome completo do recurso da instância de VM ou do cluster do GKE afetado.

  • Informações sobre o objeto afetado quando a descoberta se relaciona a uma carga de trabalho do GKE, por exemplo:

    • CronJob
    • DaemonSet
    • Deployment
    • Job
    • Pod
    • ReplicationController
    • ReplicaSet
    • StatefulSet

Como a Avaliação de vulnerabilidades para Google Cloud pode identificar a mesma vulnerabilidade em vários contêineres, a Avaliação de vulnerabilidades para Google Cloud agrega vulnerabilidades no nível da carga de trabalho do GKE ou do pod. Em uma descoberta, é possível encontrar vários valores em um único campo, por exemplo, no campo files.elem.path.

Descobertas de vulnerabilidades detectadas em imagens de contêiner

As descobertas de vulnerabilidades detectadas em imagens de contêiner incluem as seguintes informações adicionais:

  • O nome completo do recurso da imagem do contêiner
  • Qualquer associação de ambiente de execução relacionada à descoberta, se a imagem vulnerável for executada em qualquer um dos seguintes:
    • Pod do GKE
    • App Engine
    • Serviço e revisão do Cloud Run
    • Job e execução do Cloud Run

Retenção de descobertas

Depois de resolvidos, os resultados gerados pela Avaliação de vulnerabilidades para Google Cloud são mantidos por sete dias e depois excluídos. As descobertas da Avaliação de vulnerabilidades ativa para Google Cloud são mantidas por um ano e 31 dias (396 dias). As descobertas também são desativadas se a imagem ou o contêiner associado a elas for excluído.

Localização do pacote

O local do arquivo de uma vulnerabilidade em uma descoberta se refere aos arquivos binários ou de metadados do pacote. Essas informações dependem do extrator SCALIBR usado pela Avaliação de vulnerabilidades para Google Cloud . Para vulnerabilidades encontradas em um contêiner pela Avaliação de vulnerabilidades para Google Cloud , este é o caminho dentro do contêiner.

A tabela a seguir mostra exemplos de locais de vulnerabilidade para vários extratores do SCALIBR.

Extrator SCALIBR Localização do pacote
Pacote Debian (dpkg) /var/lib/dpkg/status
Binário Go /usr/bin/google_osconfig_agent
arquivo Java /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar
PHP /var/www/html/vkumark/backend_api/composer.lock
Python /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA
Ruby /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec

Analisar descobertas no console

É possível conferir as descobertas da Avaliação de vulnerabilidades para Google Cloud no console Google Cloud . Antes de fazer isso, verifique se você tem os papéis apropriados.

Para analisar as descobertas da avaliação de vulnerabilidades para Google Cloud no console do Google Cloud , siga estas etapas:

  1. No console do Google Cloud , acesse a página Descobertas do Security Command Center.

    Acessar descobertas

  2. Selecione Google Cloud o projeto ou a organização.
  3. Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Avaliação de vulnerabilidades. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
  4. Para visualizar os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
  5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
  6. Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.