La Evaluación de vulnerabilidades para Google Cloud te ayuda a descubrir vulnerabilidades de software en los recursos de Google Cloudsin necesidad de instalar agentes. Los tipos de recursos que se analizan dependen del nivel de servicio de Security Command Center y son los siguientes:
- Ejecuta instancias de VM de Compute Engine
- Nodos en clústeres de GKE Standard
- Contenedores que se ejecutan en clústeres de GKE Standard y GKE Autopilot
La Evaluación de vulnerabilidades para Google Cloud funciona clonando los discos de tu instancia de VM, activándolos en otra instancia de VM segura y analizándolos con SCALIBR. El clon de la instancia de VM tiene las siguientes propiedades:
- Se crea en la misma región que la instancia de VM de origen.
- Se crea en un proyecto propiedad de Google, por lo que no se agrega a tus costos.
Diferencias de capacidad entre los niveles de servicio
La siguiente Evaluación de vulnerabilidades para las capacidades de Google Cloud varía según el nivel de servicio:
- La frecuencia de análisis
- Qué hallazgos se enriquecen con los datos de la evaluación de CVE de Mandiant
- El tiempo hasta que se marca un hallazgo como
INACTIVE
Consulta Hallazgos generados por la Evaluación de vulnerabilidades para Google Cloud para obtener más información sobre estas diferencias.
Limitaciones
- Instancias de VM con discos persistentes encriptados con claves de encriptación administradas por el cliente (CMEK) y que tienen claves en una ubicación global o una clave multirregional en la misma ubicación geográfica que el disco.
- Instancias de VM con discos persistentes encriptados con claves de encriptación administradas por el cliente (CMEK) y claves de encriptación dentro de proyectos en perímetros de Controles del servicio de VPC
- Instancias de VM con discos persistentes encriptados con claves de encriptación proporcionadas por el cliente (CSEK)
- La Evaluación de vulnerabilidades para Google Cloud solo analiza las particiones VFAT, EXT2 y EXT4.
- El agente de servicio de Security Command Center requiere acceso para enumerar las instancias de VM del proyecto y clonar sus discos en proyectos propiedad de Google. Algunas configuraciones de seguridad y políticas, como las restricciones de políticas de la organización, pueden interferir con este acceso y evitar los análisis.
- La Evaluación de vulnerabilidades para Google Cloud no analiza los clústeres de GKE que tienen habilitada la transmisión de imágenes. Sin embargo, si usas las evaluaciones de vulnerabilidades de Artifact Registry, es posible que veas resultados de vulnerabilidades de imágenes para estos clústeres.
- Las etiquetas de clúster no se utilizan en los hallazgos.
Consideraciones para actualizar o cambiar a una versión inferior los niveles de servicio
Cuando cambias de nivel de servicio, las capacidades de la Evaluación de vulnerabilidades para Google Cloud cambian a las que se admiten en el nivel de servicio activo.
Los hallazgos generados por la activación anterior permanecerán activos durante el tiempo definido por el nivel de servicio anterior. Cuando se cambia de nivel Premium a Estándar, por ejemplo, los hallazgos generados en el nivel Premium permanecen activos durante 25 horas. Los resultados nuevos que se generan en el nivel Estándar permanecen activos durante 195 horas.
Antes de comenzar
Si tienes perímetros de Controles del servicio de VPC configurados, crea las reglas de entrada y salida necesarias.
Permisos para habilitar la Evaluación de vulnerabilidades para Google Cloud
Para habilitar la Evaluación de vulnerabilidades para Google Cloud con una activación de nivel Estándar, necesitas los siguientes roles de IAM:
- Administrador del centro de seguridad (
roles/securitycenter.admin) Uno de los siguientes roles:
- Administrador de seguridad (
roles/iam.securityAdmin) - Administrador de la organización (
roles/resourcemanager.organizationAdmin)
- Administrador de seguridad (
Agentes de servicio para analizar discos
La Evaluación de vulnerabilidades para el servicio Google Cloud usa agentes de servicio de Security Command Center para la identidad y el permiso de acceso a los recursos de Google Cloud . Google Cloud
Para las activaciones a nivel de la organización de Security Command Center, Vulnerability Assessment para Google Cloud usa el siguiente agente de servicio:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
En el caso de las activaciones de Security Command Center a nivel del proyecto, Vulnerability Assessment para Google Cloud usa el siguiente agente de servicio:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Habilita o inhabilita la Evaluación de vulnerabilidades para Google Cloud
En los niveles Premium y Enterprise, la Evaluación de vulnerabilidades para Google Cloud se habilita automáticamente para todas las instancias de VM siempre que sea posible.
En el nivel Estándar, debes habilitar manualmente la Evaluación de vulnerabilidades para Google Cloud a nivel de la organización, la carpeta o el proyecto.
Para cambiar la configuración de la Evaluación de vulnerabilidades para Google Cloud , haz lo siguiente:
En la consola de Google Cloud , ve a la página Descripción general del riesgo:
Selecciona una organización en la que habilitar la Evaluación de vulnerabilidades para Google Cloud.
Haz clic en Configuración.
En la sección Evaluación de vulnerabilidades, haz clic en Administrar configuración.
En la pestaña Google Cloud, habilita o inhabilita la evaluación de vulnerabilidades para Google Cloud a nivel de la organización, la carpeta o el proyecto en la columna Evaluación de vulnerabilidades sin agente. Los niveles inferiores pueden heredar el valor de los niveles superiores.
Analiza discos encriptados con CMEK
Para permitir que la Evaluación de vulnerabilidades de Google Cloud analice los discos encriptados con CMEK, debes otorgar el rol de encriptador/desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) a los siguientes agentes de servicio:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-PROJECT_ID@compute-system.iam.gserviceaccount.com
Si tienes el siguiente agente de servicio, también debes otorgarle el rol:
service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com
Configura permisos a nivel de la clave
- Navega a la página Seguridad > Administración de claves.
- Selecciona el llavero de claves que contiene la clave.
- Selecciona la llave.
- En el panel de información, haz clic en Permisos.
- Ingresa el nombre del agente de servicio que ingresaste en el campo Principales nuevas.
- En el menú Seleccionar un rol, elige Encriptador/desencriptador de CryptoKey de Cloud KMS.
- Haz clic en Guardar.
Configura permisos de claves a nivel del proyecto
- Ve a IAM y administración > IAM.
- Haz clic en Otorgar acceso.
- Ingresa el nombre del agente de servicio que ingresaste en el campo Principales nuevas.
- En el menú Seleccionar un rol, elige Encriptador/desencriptador de CryptoKey de Cloud KMS.
Para que los análisis se ejecuten correctamente, la clave debe estar en la misma región que el disco.
La Evaluación de vulnerabilidades para Google Cloud intenta analizar los discos encriptados con CMEK. Si no otorgas los permisos necesarios, Google Cloud generará el siguiente error en el registro de auditoría: Cloud KMS error when using key.
Hallazgos generados por la Evaluación de vulnerabilidades para Google Cloud
La Evaluación de vulnerabilidades para el servicio Google Cloud genera un hallazgo en Security Command Center cuando detecta lo siguiente, que varía según el nivel de servicio:
- Vulnerabilidades de software en una instancia de VM de Compute Engine
- Vulnerabilidades de software en nodos de un clúster de GKE o contenedores que se ejecutan en GKE
Vulnerabilidades de imágenes de contenedor en los siguientes recursos:
- Pods de GKE
- Servicios de App Engine
- Servicios y trabajos de Cloud Run
La frecuencia de los análisis varía según el nivel de servicio:
| Nivel Estándar | Niveles Premium y Enterprise |
|---|---|
| Una vez a la semana | Aproximadamente cada 12 horas |
La Evaluación de vulnerabilidades para Google Cloud publica hallazgos con los siguientes niveles de gravedad, que varían según el nivel de servicio:
| Nivel Estándar | Niveles Premium y Enterprise |
|---|---|
Critical hallazgos de gravedad |
Critical y High hallazgos de gravedad |
Cuando la Evaluación de vulnerabilidades de Google Cloud crea un hallazgo, este permanece en estadoACTIVEdurante el siguiente período de estado activo, que varía según el nivel de servicio:
| Nivel Estándar | Niveles Premium y Enterprise |
|---|---|
| 195 horas | 25 horas |
Si la Evaluación de vulnerabilidades para Google Cloud vuelve a detectar el hallazgo dentro del período de estado activo (según el nivel de servicio), se restablece el contador y el hallazgo permanece en el estado ACTIVE durante otro período de estado activo.
Si la Evaluación de vulnerabilidades para Google Cloud no vuelve a detectar el hallazgo dentro del período de estado activo (según el nivel de servicio), la Evaluación de vulnerabilidades para Google Cloud establece el hallazgo en INACTIVE.
Información disponible en los resultados
Los hallazgos contienen la siguiente información común:
- Una descripción de la vulnerabilidad, que incluye la siguiente información:
- El paquete de software que contiene la vulnerabilidad y su ubicación
- Información del registro de CVE asociado
- Es una evaluación de la gravedad de la vulnerabilidad que realiza Security Command Center.
- Si están disponibles, los pasos para corregir el problema, incluido el parche o la actualización de versión para abordar la vulnerabilidad
Los siguientes valores de propiedad:
- Clase:
Vulnerability - Proveedor de servicios en la nube:
Google Cloud - Fuente:
Vulnerability Assessment - Categoría: Uno de los siguientes valores:
Container Image VulnerabilityOS vulnerabilitySoftware vulnerability
- Clase:
Algunos hallazgos, que varían según el nivel de servicio, se enriquecen con información sobre el impacto y la capacidad de explotación de un CVE a través de las evaluaciones de CVE de Mandiant.
| Nivel Estándar | Niveles Premium y Enterprise |
|---|---|
| Las CVE que tienen una gravedad crítica incluyen información de la evaluación de Mandiant. | Las CVE que tienen una gravedad crítica o alta incluyen información de la evaluación de Mandiant. |
Los hallazgos generados en los niveles de servicio Premium y Enterprise incluyen la siguiente información:
- Una puntuación de exposición a ataques que te ayuda a priorizar la corrección
- Es una representación visual de la ruta que podría tomar un atacante para llegar a los recursos valiosos expuestos por la vulnerabilidad.
Resultados de las vulnerabilidades de software detectadas
Los hallazgos de las vulnerabilidades de software detectadas contienen la siguiente información adicional:
- Es el nombre completo del recurso de la instancia de VM o el clúster de GKE afectados.
Es la información sobre el objeto afectado cuando el hallazgo se relaciona con una carga de trabajo de GKE, por ejemplo:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
Dado que la Evaluación de vulnerabilidades para Google Cloud puede identificar la misma vulnerabilidad en varios contenedores, la Evaluación de vulnerabilidades para Google Cloud agrega las vulnerabilidades a nivel de la carga de trabajo de GKE o del Pod. En un hallazgo, es posible que veas varios valores en un solo campo, por ejemplo, en el campo files.elem.path.
Resultados de las vulnerabilidades detectadas en la imagen del contenedor
Los hallazgos sobre las vulnerabilidades detectadas en las imágenes de contenedor incluyen la siguiente información adicional:
- Nombre completo del recurso de la imagen del contenedor
- Cualquier asociación de tiempo de ejecución relacionada con el hallazgo, si la imagen vulnerable se ejecuta en cualquiera de los siguientes elementos:
- Pod de GKE
- App Engine
- Servicio y revisión de Cloud Run
- Trabajo y ejecución de Cloud Run
Retención de resultados
Después de que se resuelven, los hallazgos generados por la Evaluación de vulnerabilidades para Google Cloud se conservan durante 7 días y, luego, se borran. Los hallazgos de la Evaluación de vulnerabilidades activa para Google Cloudse conservan durante 1 año y 31 días (396 días). Los hallazgos también se desactivan si se borra la imagen o el contenedor asociado con el hallazgo.
Ubicación del paquete
La ubicación del archivo de una vulnerabilidad en un hallazgo hace referencia a los archivos binarios o de metadatos del paquete. Esta información depende del extractor de SCALIBR que usa Vulnerability Assessment para Google Cloud . Para las vulnerabilidades que Vulnerability Assessment para Google Cloud encuentra en un contenedor, esta es la ruta de acceso dentro del contenedor.
En la siguiente tabla, se muestran ejemplos de ubicaciones de vulnerabilidades para varios extractores de SCALIBR.
| Extractor de SCALIBR | Ubicación del paquete |
|---|---|
Paquete de Debian (dpkg) |
/var/lib/dpkg/status |
| Objeto binario de Go | /usr/bin/google_osconfig_agent |
| archivo de Java | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Revisa los hallazgos en la consola
Puedes ver los resultados de la Evaluación de vulnerabilidades para Google Cloud en la consola de Google Cloud . Antes de hacerlo, asegúrate de tener los roles adecuados.
Para revisar los resultados de la Evaluación de vulnerabilidades para Google Cloud en la consola de Google Cloud , sigue estos pasos:
-
En la consola de Google Cloud , ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud organización o proyecto.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Vulnerability Assessment. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
- Opcional: Para ver la definición completa de JSON del hallazgo, haz clic en la pestaña JSON.