הפעלה ושימוש ב-Vulnerability Assessment ב-Google Cloud

הכלי להערכת נקודות חולשה ב- Google Cloud עוזר לכם לגלות נקודות חולשה בתוכנה במשאבים של Google Cloud בלי להתקין סוכנים. סוגי המשאבים שנסרקים תלויים ברמת השירות של Security Command Center, והם כוללים את המשאבים הבאים:

  • מכונות וירטואליות של Compute Engine שפועלות
  • צמתים באשכולות GKE Standard
  • קונטיינרים שפועלים באשכולות GKE Standard ו-GKE Autopilot.

הכלי הערכת נקודות חולשה for Google Cloud פועל על ידי שכפול הדיסקים של מכונת ה-VM, צירוף שלהם למכונת VM מאובטחת אחרת וסריקה שלהם באמצעות SCALIBR. לשיבוט של מופע ה-VM יש את המאפיינים הבאים:

  • היא נוצרת באותו אזור שבו נמצאת המכונה הווירטואלית המקורית.
  • הוא נוצר בפרויקט בבעלות Google, ולכן הוא לא מוסיף לעלויות שלכם.

הבדלים ביכולות בין רמות שירות

היכולות הבאות של הערכת נקודות חולשה ב- Google Cloud משתנות בהתאם לרמת השירות:

  • תדירות הסריקה
  • אילו ממצאים מועשרים בנתוני הערכה של Mandiant CVE
  • הזמן עד שתוצאת החיפוש מסומנת כINACTIVE

מידע נוסף על ההבדלים האלה זמין במאמר ממצאים שנוצרו על ידי הערכת נקודות חולשה ב- Google Cloud.

מגבלות

  • מכונות וירטואליות עם דיסקים קשיחים שמוצפנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK), והמפתחות נמצאים במיקום גלובלי או במפתח במספר אזורים באותו מיקום גיאוגרפי כמו הדיסק.
  • מכונות וירטואליות עם דיסקים קשיחים שמוצפנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK), ויש להן מפתחות הצפנה בתוך פרויקטים בהיקפי האבטחה של VPC Service Controls.
  • מכונות וירטואליות עם דיסקים מתמידים שמוצפנים באמצעות מפתחות הצפנה באספקת הלקוח (CSEK)
  • הערכת נקודות חולשה ב- Google Cloud סורקת רק מחיצות VFAT,‏ EXT2 ו-EXT4.
  • סוכן השירות של Security Command Center צריך גישה לרשימת המכונות הווירטואליות בפרויקט ולשיבוט הדיסקים שלהן לפרויקטים בבעלות Google. הגדרות מסוימות של אבטחה ומדיניות, כמו הגבלות של מדיניות הארגון, עלולות להפריע לגישה הזו ולמנוע סריקות.
  • הכלי להערכת נקודות חולשה ב- Google Cloud לא סורק אשכולות GKE שמופעלת בהם הזרמת תמונות. עם זאת, אם אתם משתמשים בהערכות פגיעות ב-Artifact Registry, יכול להיות שתראו ממצאים של פגיעות בתמונות עבור האשכולות האלה.
  • תוויות האשכול לא נכללות בממצאים.

שיקולים בשדרוג ובשדרוג לאחור של מסלולי שירות

כשעוברים בין רמות שירות, היכולות של הערכת נקודות חולשה ב- Google Cloud משתנות לאלה שנתמכות ברמת השירות הפעילה.

הממצאים שנוצרו על ידי ההפעלה הקודמת יישארו פעילים למשך הזמן שמוגדר ברמת השירות הקודמת. לדוגמה, כשמשדרגים לאחור מפרימיום לרגיל, הממצאים שנוצרו במסלול פרימיום נשארים פעילים למשך 25 שעות. ממצאים חדשים שנוצרו ברמה Standard נשארים פעילים למשך 195 שעות.

לפני שמתחילים

אם הגדרתם גבולות גזרה של VPC Service Controls, צרו את הכללים הנדרשים לתעבורת נתונים יוצאת ונכנסת.

הרשאות להפעלת הערכת נקודות חולשה עבור Google Cloud

כדי להפעיל את התכונה 'הערכת נקודות חולשה' ב- Google Cloud באמצעות הפעלה של מהדורת Standard, אתם צריכים את תפקידי ה-IAM הבאים:

  • אדמין של Security Center‏ (roles/securitycenter.admin)

  • אחד מהתפקידים הבאים:

    • אדמין לענייני אבטחה (roles/iam.securityAdmin)
    • אדמין ארגוני (roles/resourcemanager.organizationAdmin)

סוכני שירות לסריקת דיסקים

השירות של הערכת נקודות החולשה של Google Cloud משאבים משתמש בסוכני שירות של Security Command Center כדי לקבל זהות והרשאה לגישה Google Cloud למשאבים.

בהפעלות של Security Command Center ברמת הארגון, התכונה 'הערכת נקודות חולשה' ל- Google Cloud משתמשת בסוכן השירות הבא:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

בהפעלות של Security Command Center ברמת הפרויקט, התכונה 'הערכת נקודות חולשה' ב- Google Cloud משתמשת בסוכן השירות הבא:

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

הפעלה או השבתה של הערכת נקודות חולשה עבור Google Cloud

בתוכניות Premium ו-Enterprise, האפשרות 'הערכת נקודות חולשה' עבור Google Cloud מופעלת באופן אוטומטי לכל מכונות ה-VM, אם אפשר.

במהדורת Standard, צריך להפעיל ידנית את התכונה 'הערכת נקודות חולשה' Google Cloud ברמת הארגון, התיקייה או הפרויקט.

כדי לשנות את ההגדרות של Google Cloud הערכת נקודות חולשה:

  1. במסוף Google Cloud , נכנסים לדף Risk Overview:

    לסקירה הכללית של הסיכונים

  2. בוחרים ארגון שבו רוצים להפעיל את התכונה 'הערכת נקודות חולשה' עבור Google Cloud.

  3. לוחצים על הגדרות.

  4. בקטע Vulnerability Assessment (הערכת נקודות חולשה), לוחצים על Manage settings (ניהול הגדרות).

  5. בכרטיסייה Google Cloud, מפעילים או משביתים את הערכת נקודות החולשה עבור Google Cloud ברמת הארגון, התיקייה או הפרויקט מהעמודה Agentless Vulnerability Assessment. ברמות נמוכות יותר אפשר לרשת את הערך מרמות גבוהות יותר.

סריקת דיסקים מוצפנים באמצעות CMEK

כדי לאפשר ל-הערכת נקודות חולשה for Google Cloud לסרוק דיסקים שמוצפנים באמצעות CMEK, צריך להעניק את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter‏ (roles/cloudkms.cryptoKeyEncrypterDecrypter) לסוכני השירות הבאים:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

service-PROJECT_ID@compute-system.iam.gserviceaccount.com

אם יש לכם את סוכן השירות הבא, עליכם גם להעניק את התפקיד לסוכן השירות הזה:

service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com

הגדרת הרשאות ברמת המפתח

  1. עוברים לדף Security > Key Management (אבטחה > ניהול מפתחות).
  2. בוחרים את אוסף המפתחות שמכיל את המפתח.
  3. בוחרים את המפתח.
  4. בחלונית המידע, לוחצים על הרשאות.
  5. מזינים את שם סוכן השירות שהזנתם בשדה New principals.
  6. בתפריט Select a role, בוחרים באפשרות Cloud KMS CryptoKey Encrypter/Decrypter.
  7. לוחצים על Save.

הגדרת הרשאות למפתחות ברמת הפרויקט

  1. עוברים אל IAM & Admin > IAM.
  2. לוחצים על הענקת גישה.
  3. מזינים את שם סוכן השירות שהזנתם בשדה New principals.
  4. בתפריט Select a role, בוחרים באפשרות Cloud KMS CryptoKey Encrypter/Decrypter.

כדי שהסריקות יפעלו בצורה תקינה, המפתח צריך להיות באותו אזור כמו הדיסק. הערכת נקודות חולשה ב Google Cloud מנסה לסרוק דיסקים שמוצפנים באמצעות CMEK. אם לא תעניקו את ההרשאות הנדרשות, Google Cloud יפיק את השגיאה הבאה ביומן הביקורת: Cloud KMS error when using key.

ממצאים שנוצרו על ידי הערכת נקודות חולשה עבור Google Cloud

הכלי Vulnerability Assessment for Google Cloud service יוצר ממצא ב-Security Command Center כשהוא מזהה את הפריטים הבאים, שמשתנים בהתאם לרמת השירות:

  • נקודות חולשה בתוכנה במכונה וירטואלית של Compute Engine.
  • נקודות חולשה בתוכנה בצמתים באשכול GKE או בקונטיינרים שפועלים ב-GKE.

  • נקודות חולשה בקובצי אימג' של קונטיינרים במשאבים הבאים:

    • GKE Pods
    • שירותי App Engine
    • שירותים ומשימות ב-Cloud Run

תדירות הסריקות משתנה בהתאם לרמת השירות:

רמה רגילה רמות Premium ו-Enterprise
פעם בשבוע בערך כל 12 שעות

הכלי הערכת נקודות חולשה for Google Cloud מפרסם ממצאים עם רמות חומרה שונות, שמשתנות בהתאם לרמת השירות:

רמה רגילה רמות Premium ו-Enterprise
Critical ממצאים לפי חומרה ממצאים ברמת החומרה Critical ו-High

כשכלי הערכת נקודות חולשה ב- Google Cloud יוצר ממצא, הוא נשאר במצב ACTIVE למשך התקופה הבאה של מצב פעיל, שמשתנה בהתאם לרמת השירות:

רמה רגילה רמות Premium ו-Enterprise
‫195 שעות ‫25 שעות

אם הכלי Vulnerability Assessment for Google Cloud מזהה שוב את הממצא במהלך תקופת הסטטוס הפעיל (בהתאם לרמת השירות), המונה מתאפס והממצא נשאר בסטטוס ACTIVE למשך תקופה נוספת של סטטוס פעיל.

אם הכלי הערכת נקודות חולשה for Google Cloud לא יזהה שוב את הממצא במהלך הסטטוס הפעיל (בהתאם לרמת השירות), הכלי הערכת נקודות חולשה for Google Cloud יגדיר את הממצא כ-INACTIVE.

המידע שזמין בממצאים

הממצאים כוללים את המידע הנפוץ הבא:

  • תיאור של נקודת החולשה, כולל הפרטים הבאים:
    • חבילת התוכנה שמכילה את נקודת החולשה והמיקום שלה
    • מידע מרשומת ה-CVE המשויכת
    • הערכה של רמת הסיכון של נקודת החולשה מ-Security Command Center
  • אם יש, השלבים לפתרון הבעיה, כולל תיקון או שדרוג גרסה לטיפול בנקודת החולשה

  • ערכי המאפיינים הבאים:

    • כיתה: Vulnerability
    • ספק שירותי ענן: Google Cloud
    • מקור: Vulnerability Assessment
    • קטגוריה: אחד מהערכים הבאים:
      • Container Image Vulnerability
      • OS vulnerability
      • Software vulnerability

חלק מהממצאים, שמשתנים בהתאם לרמת השירות, מועשרים במידע על ההשפעה של CVE ועל האפשרות לנצל אותו, באמצעות הערכות CVE של Mandiant.

רמה רגילה רמות Premium ו-Enterprise
פגיעויות CVE ברמת חומרה קריטית כוללות מידע על הערכה של Mandiant נקודות חולשה או חשיפה נפוצות (CVE) עם חומרה קריטית או גבוהה כוללות מידע על הערכה של Mandiant

הממצאים שנוצרים ברמות השירות Premium ו-Enterprise כוללים את המידע הבא:

  • ציון חשיפה למתקפות שעוזר לכם לתעדף את הטיפול בבעיות.
  • המחשה חזותית של הנתיב שתוקף עלול לנקוט כדי להגיע למשאבים בעלי ערך גבוה שנחשפים על ידי נקודת החולשה.

ממצאים לגבי נקודות חולשה בתוכנה שאותרו

הממצאים לגבי נקודות חולשה בתוכנה שזוהו מכילים את המידע הנוסף הבא:

  • השם המלא של המשאב של מכונת ה-VM או של אשכול ה-GKE שהושפעו מהבעיה.

  • מידע על האובייקט המושפע כשהממצא קשור לעומס עבודה ב-GKE, לדוגמה:

    • CronJob
    • DaemonSet
    • Deployment
    • Job
    • Pod
    • ReplicationController
    • ReplicaSet
    • StatefulSet

מכיוון שהערכת נקודות חולשה ב- Google Cloud יכולה לזהות את אותה נקודת חולשה בכמה קונטיינרים, הערכת נקודות חולשה ב- Google Cloud צוברת נקודות חולשה ברמת עומס העבודה של GKE או ברמת ה-Pod. יכול להיות שבממצא מסוים יופיעו כמה ערכים בשדה אחד, למשל בשדה files.elem.path.

ממצאים לגבי נקודות חולשה שזוהו בקובץ אימג' של קונטיינר

הממצאים לגבי נקודות חולשה שזוהו בקובצי אימג' של קונטיינרים כוללים את המידע הנוסף הבא:

  • השם המלא של המשאב של קובץ אימג' של קונטיינר
  • כל שיוך בזמן ריצה שקשור לממצא, אם התמונה הפגיעה פועלת באחד מהמקרים הבאים:
    • GKE Pod
    • App Engine
    • שירות וגרסה ב-Cloud Run
    • משימה והפעלה ב-Cloud Run

שמירת הממצאים

אחרי שהבעיות נפתרות, הממצאים שנוצרו על ידי הערכת נקודות חולשה של Google Cloud נשמרים למשך 7 ימים, ולאחר מכן הם נמחקים. הממצאים של סריקת נקודות חולשה פעילה עבור Google Cloud נשמרים למשך שנה ועוד 31 ימים (396 ימים). הממצאים מושבתים גם אם התמונה או המאגר שמשויכים לממצא נמחקים.

מיקום החבילה

מיקום הקובץ של נקודת חולשה בממצא מתייחס לקובצי מטא-נתונים בינאריים או של חבילות. המידע הזה תלוי בכלי לחילוץ SCALIBR שמשמש את Google Cloud הערכת נקודות חולשה. במקרה של נקודות חולשה שמתגלות בקונטיינר על ידי התכונה 'הערכת נקודות חולשה' ב- Google Cloud , זהו הנתיב בתוך הקונטיינר.

בטבלה הבאה מוצגות דוגמאות למיקומי פגיעות עבור כלי חילוץ שונים של SCALIBR.

SCALIBR extractor מיקום החבילה
חבילת Debian‏ (dpkg) /var/lib/dpkg/status
מעבר לבינארי /usr/bin/google_osconfig_agent
ארכיון Java /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar
PHP /var/www/html/vkumark/backend_api/composer.lock
Python /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA
Ruby /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec

בדיקת הממצאים במסוף

אפשר לראות את הממצאים של הערכת נקודות חולשה במסוף Google Cloud . Google Cloud לפני שמבצעים את הפעולה, חשוב לוודא שיש לכם את התפקידים המתאימים.

כדי לבדוק את הממצאים של הערכת נקודות חולשה במסוף Google Cloud , פועלים לפי השלבים הבאים: Google Cloud

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות הערכת נקודות חולשה. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.