La Evaluación de vulnerabilidades para Google Cloud te ayuda a descubrir vulnerabilidades de software críticas y de gravedad alta sin instalar agentes en los siguientes elementos:
- Ejecuta instancias de VM de Compute Engine
- Nodos en clústeres de GKE Standard
- Contenedores que se ejecutan en clústeres de GKE Standard y GKE Autopilot
La Evaluación de vulnerabilidades para Google Cloud clona los discos de tu instancia de VM aproximadamente cada 12 horas, los activa en otra instancia de VM segura y los evalúa con el escáner SCALIBR. La Evaluación de vulnerabilidades para Google Cloud analiza los sistemas de archivos del host y del contenedor.
El clon de la instancia de VM tiene las siguientes propiedades:
- Se crea en la misma región que la instancia de VM de origen.
- Se crea en un proyecto propiedad de Google, por lo que no se agrega a tus costos.
Solo se analizan las instancias de VM, los nodos y los contenedores en ejecución. Cuando se crea un hallazgo, permanece en el estado ACTIVE durante 25 horas. Si se vuelve a detectar dentro de este período de 25 horas, el contador se restablece y el hallazgo permanece en el estado ACTIVE durante otras 25 horas.
Si no se vuelve a detectar el problema en un período de 25 horas, se establece en INACTIVE.
Si se apaga la instancia de VM o el nodo, el hallazgo se establece en INACTIVE después de su período de 25 horas, aunque no se haya mitigado la vulnerabilidad.
Antes de comenzar
Si tienes perímetros de Controles del servicio de VPC configurados, crea las reglas de entrada y salida necesarias.
Limitaciones
- Instancias de VM con discos persistentes encriptados con claves de encriptación administradas por el cliente (CMEK) y que tienen claves en una ubicación global o una clave multirregional en la misma ubicación geográfica que el disco
- Instancias de VM con discos persistentes encriptados con claves de encriptación administradas por el cliente (CMEK) y que tienen claves de CMEK dentro de proyectos en perímetros de Controles del servicio de VPC
- Instancias de VM con discos persistentes encriptados con claves de encriptación proporcionadas por el cliente (CSEK)
- Solo se analizan las particiones VFAT, EXT2 y EXT4.
- El agente de servicio de Security Command Center requiere acceso para enumerar las instancias de VM del proyecto y clonar sus discos en proyectos propiedad de Google. Algunas configuraciones de seguridad y políticas, como las restricciones de políticas de la organización, pueden interferir con este acceso y evitar que se realice el análisis.
- No se analizan los clústeres de GKE con la transmisión de imágenes habilitada.
Identidad y permisos del servicio
La Evaluación de vulnerabilidades para el servicio Google Cloud usa agentes de servicio de Security Command Center para la identidad y el permiso de acceso a los recursos de Google Cloud . Google Cloud
Para las activaciones de Security Command Center a nivel de la organización, se usa el siguiente agente de servicio:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Para las activaciones a nivel del proyecto de Security Command Center, se usa el siguiente agente de servicio:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Habilita o inhabilita la Evaluación de vulnerabilidades para Google Cloud
De forma predeterminada, las organizaciones que pertenecen a los niveles Premium o Enterprise de Security Command Center tienen habilitada automáticamente la Evaluación de vulnerabilidades para Google Cloud en todas las instancias de VM siempre que sea posible. Para cambiar este parámetro de configuración, completa los siguientes pasos:
En la consola de Google Cloud , ve a la página Descripción general del riesgo:
Selecciona una organización en la que habilitar la Evaluación de vulnerabilidades para Google Cloud.
Haz clic en Configuración.
En la sección Evaluación de vulnerabilidades, haz clic en Administrar configuración.
En la pestaña Google Cloud, habilita o inhabilita la evaluación de vulnerabilidades para Google Cloud a nivel de la organización, la carpeta o el proyecto en la columna Evaluación de vulnerabilidades sin agente. Los niveles inferiores también se pueden configurar para heredar el valor de los niveles superiores.
Ejecuta análisis de vulnerabilidades para los discos protegidos por CMEK
Para permitir que la Evaluación de vulnerabilidades de Google Cloud analice los discos encriptados con CMEK, debes otorgar el rol deCloud KMS CryptoKey Encrypter/Decryptera los siguientesagentes de servicio:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-PROJECT_ID@compute-system.iam.gserviceaccount.com
Si tienes el siguiente agente de servicio, también debes otorgarle permisos:
service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com
Configura permisos a nivel de la clave
- Navega a la página Seguridad > Administración de claves.
- Selecciona el llavero de claves que contiene la clave.
- Selecciona la llave.
- En el panel de información, haz clic en Permisos.
- Ingresa el nombre del agente de servicio que ingresaste en el campo Principales nuevas.
- En el menú Seleccionar un rol, elige Encriptador/desencriptador de CryptoKey de Cloud KMS.
- Haz clic en Guardar.
Configura permisos de claves a nivel del proyecto
- Ve a IAM y administración > IAM.
- Haz clic en Otorgar acceso.
- Ingresa el nombre del agente de servicio que ingresaste en el campo Principales nuevas.
- En el menú Seleccionar un rol, elige Encriptador/desencriptador de CryptoKey de Cloud KMS.
Hallazgos generados por la Evaluación de vulnerabilidades para Google Cloud
Cuando la Evaluación de vulnerabilidades para el servicio Google Cloud detecta cualquiera de los siguientes problemas, genera un hallazgo en Security Command Center:
- Una vulnerabilidad de software en una instancia de VM de Compute Engine, un nodo en un clúster de GKE o un contenedor que se ejecuta en GKE
- Vulnerabilidad de imagen de contenedor en una imagen de contenedor que se ejecuta en un Pod de GKE, un servicio o un trabajo de App Engine o Cloud Run
Todos los hallazgos
Todos los hallazgos contienen la siguiente información:
- Una descripción de la vulnerabilidad, que incluye la siguiente información:
- El paquete de software que contiene la vulnerabilidad y su ubicación
- Información del registro de CVE asociado
- Una evaluación de Mandiant sobre el impacto y la capacidad de explotación de la vulnerabilidad
- Es una evaluación de Security Command Center sobre la gravedad de la vulnerabilidad.
- Una puntuación de exposición a ataques para ayudarte a priorizar la corrección
- Una representación visual de la ruta que podría tomar un atacante para llegar a los recursos de alto valor que expone la vulnerabilidad
- Si están disponibles, los pasos que puedes seguir para solucionar el problema, incluido el parche o la actualización de versión que puedes usar para abordar la vulnerabilidad
Todos los hallazgos de la Evaluación de vulnerabilidades para Google Cloud comparten los siguientes valores de propiedad:
- Categoría
Container Image VulnerabilityOS vulnerabilitySoftware vulnerability- Clase
Vulnerability- Proveedor de servicios en la nube
Google Cloud- Fuente
Vulnerability Assessment
Resultados de las vulnerabilidades de software detectadas
Los hallazgos de las vulnerabilidades de software detectadas contienen la siguiente información:
- Es el nombre completo del recurso de la instancia o el clúster de GKE afectados.
- Si el hallazgo está relacionado con una carga de trabajo de GKE, se incluye información sobre el objeto afectado, como la siguiente:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
Debido a que la misma vulnerabilidad se puede identificar en varios contenedores, las vulnerabilidades se agregan a nivel de la carga de trabajo de GKE o del Pod.
En un hallazgo, es posible que veas varios valores en un solo campo, por ejemplo, en el campo files.elem.path.
Resultados de las vulnerabilidades detectadas en la imagen del contenedor
Los hallazgos sobre las vulnerabilidades detectadas en las imágenes de contenedor incluyen la siguiente información:
- Nombre completo del recurso de la imagen de contenedor
- Cualquier asociación de tiempo de ejecución relacionada con el hallazgo, si la imagen vulnerable se ejecuta en alguno de los siguientes elementos:
- Pod de GKE
- App Engine
- Servicio y revisión de Cloud Run
- Trabajo y ejecución de Cloud Run
Retención de resultados
Después de que se resuelven, los hallazgos generados por la Evaluación de vulnerabilidades para Google Cloud se conservan durante 7 días y, luego, se borran. Los hallazgos de la Evaluación de vulnerabilidades activa para Google Cloudse conservan indefinidamente.
Ubicación del paquete
La ubicación del archivo de una vulnerabilidad que se informa en los hallazgos hace referencia a un archivo binario o a archivos de metadatos de paquetes. Lo que se muestra depende del extractor de SCALIBR que se haya usado. En el caso de las vulnerabilidades encontradas en un contenedor, esta es la ruta de acceso dentro del contenedor.
En la siguiente tabla, se muestran algunos ejemplos de la ubicación de la vulnerabilidad que se muestra para varios extractores de SCALIBR.
| Extractor de SCALIBR | Ubicación del paquete |
|---|---|
Paquete de Debian (dpkg) |
/var/lib/dpkg/status |
| Objeto binario de Go | /usr/bin/google_osconfig_agent |
| archivo de Java | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Revisa los hallazgos en la consola
Puedes ver los resultados de la Evaluación de vulnerabilidades para Google Cloud en la consola de Google Cloud . Antes de hacerlo, asegúrate de que tu principal tenga los roles adecuados.
Para revisar los resultados de la Evaluación de vulnerabilidades para Google Cloud en la consola de Google Cloud , sigue estos pasos:
-
En la consola Google Cloud , ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud organización o proyecto.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Vulnerability Assessment. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
- Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.