安全漏洞評估功能可協助您找出 Google Cloud 資源中的軟體安全漏洞,且無須安裝代理程式。 Google Cloud掃描的資源類型取決於 Security Command Center 服務層級,包括下列項目:
- 執行 Compute Engine VM 執行個體
- GKE Standard 叢集中的節點
- 在 GKE Standard 和 GKE Autopilot 叢集中執行的容器。
「 Google Cloud 」的安全性漏洞評估功能會複製 VM 執行個體磁碟,並將磁碟掛接至另一個安全 VM 執行個體,然後使用 SCALIBR 掃描磁碟。VM 執行個體副本具有下列屬性:
- 這個執行個體與來源 VM 執行個體位於相同區域。
- 這項資源是在 Google 擁有的專案中建立,因此不會增加您的費用。
服務層級之間的能力差異
以下功能適用的安全漏洞評估 Google Cloud 會因服務層級而異:
- 掃描頻率
- 哪些發現項目會使用 Mandiant CVE 評估資料進行強化
- 發現項目標示為
INACTIVE的時間
如要進一步瞭解這些差異,請參閱「安全漏洞評估 for Google Cloud 產生的發現項目」。
限制
識別要掃描的資源時,請考量下列事項:
Security Command Center 服務代理程式必須能夠列出專案 VM 執行個體,並將其磁碟複製到 Google 擁有的專案。請確保安全性與政策設定 (例如機構政策限制) 不會干擾服務代理程式存取及掃描這些資源。
掃描使用客戶自行管理的加密金鑰 (CMEK) 加密的永久磁碟時,金鑰必須儲存在與磁碟相同的區域。使用多區域金鑰時,這可以是全球位置,也可以與磁碟的地理位置相同。
安全漏洞評估 for Google Cloud 不支援掃描以客戶自行管理的加密金鑰加密,且位於 VPC Service Controls 範圍內的磁碟。
如果 VM 執行個體的永久磁碟使用客戶提供的加密金鑰 (CSEK) 加密,則「 Google Cloud 」的弱點評估功能不支援這類執行個體。
安全漏洞評估僅適用於掃描 VFAT、EXT2 和 EXT4 磁碟分割區。 Google Cloud
掃描 GKE 叢集時, Google Cloud 安全漏洞評估功能有下列限制:
系統不會掃描已啟用映像檔串流的 GKE 叢集。不過,如果您使用 Artifact Registry 安全漏洞評估,可能會看到這些叢集的映像檔安全漏洞發現結果。
叢集標籤不會納入調查結果。
升級和降級服務層級時的注意事項
切換服務層級時,安全漏洞評估功能的 Google Cloud 功能會變更為有效服務層級支援的功能。
先前啟用時產生的發現項目,在先前服務層級定義的時間內仍會保持有效。舉例來說,從進階級降級至標準級後,進階級產生的發現項目仍會保留 25 小時。標準級方案產生的新發現項目會保留 195 小時。
事前準備
如果您已設定 VPC Service Controls 範圍,請建立必要的輸出和輸入規則。
啟用「 Google Cloud」安全漏洞評估功能的權限
所需權限取決於 Security Command Center 的啟用層級。 如要瞭解啟用 Security Command Center Premium 方案所需的權限,請參閱「為機構啟用 Security Command Center Premium 方案」。
在機構層級啟用標準級
如要在機構層級啟用 Google Cloud 的標準層級,並啟用安全漏洞評估功能,您需要下列 IAM 角色:
- 安全中心管理員 (
roles/securitycenter.admin) 下列其中一個角色:
- 安全管理員 (
roles/iam.securityAdmin) - 組織管理員 (
roles/resourcemanager.organizationAdmin)
- 安全管理員 (
專案層級啟用進階或標準級
如果 Security Command Center 僅在專案層級啟用,如要為專案啟用安全漏洞評估功能,您需要下列 IAM 角色: Google Cloud
- 安全中心管理員 (
roles/securitycenter.admin) - 安全管理員 (
roles/iam.securityAdmin)
服務代理人掃描磁碟
Google Cloud 服務的安全漏洞評估功能會使用 Security Command Center 服務代理程式的身分和權限,存取 Google Cloud 資源。
如果在組織層級啟用 Security Command Center,安全漏洞評估功能會使用下列 Google Cloud 服務代理程式:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
如果在專案層級啟用 Security Command Center,安全漏洞評估功能會使用下列 Google Cloud 服務代理程式:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
啟用或停用安全漏洞評估 Google Cloud
在 Premium 和 Enterprise 層級中,系統會盡可能為所有 VM 執行個體自動啟用「安全漏洞評估」 Google Cloud 。
在標準層級中,您必須在機構、資料夾或專案層級,手動為 Google Cloud 啟用安全漏洞評估。
如要變更 Vulnerability Assessment for Google Cloud 設定,請按照下列步驟操作:
前往 Google Cloud 控制台的「風險總覽」頁面:
選取要為 Google Cloud啟用安全漏洞評估的機構。
按一下「設定」。
在「安全漏洞評估」部分,按一下「管理設定」。
在「Google Cloud」分頁中,從「無代理程式安全漏洞評估」欄啟用或停用機構、資料夾或專案層級的 Vulnerability Assessment。 Google Cloud 較低層級可沿用較高層級的值。
掃描以 CMEK 加密的磁碟
如要允許 Google Cloud 的安全性漏洞評估功能掃描以 CMEK 加密的磁碟,您必須將 Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) 角色授予下列服務代理人:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-PROJECT_ID@compute-system.iam.gserviceaccount.com
如果您有下列服務代理,也必須將角色授予該服務代理:
service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com
設定金鑰層級權限
- 前往「安全性」>「金鑰管理」頁面。
- 選取包含金鑰的金鑰環。
- 選取金鑰。
- 在資訊面板中,按一下「權限」。
- 輸入您在「新增主體」欄位中輸入的服務代理程式名稱。
- 在「Select a role」(選取角色) 選單中,選取「Cloud KMS CryptoKey Encrypter/Decrypter」(Cloud KMS CryptoKey 加密者/解密者)。
- 按一下 [儲存]。
設定專案層級的金鑰權限
- 前往「IAM & Admin」(IAM 與管理) >「IAM」(IAM)。
- 按一下「授予存取權」。
- 輸入您在「新增主體」欄位中輸入的服務代理程式名稱。
- 在「Select a role」(選取角色) 選單中,選取「Cloud KMS CryptoKey Encrypter/Decrypter」(Cloud KMS CryptoKey 加密者/解密者)。
如要正確執行掃描,金鑰必須與磁碟位於相同區域。
安全漏洞評估功能 Google Cloud 會嘗試掃描使用 CMEK 加密的磁碟。如果您未授予必要權限, Google Cloud 會在稽核記錄中產生下列錯誤:Cloud KMS error when using key。
安全漏洞評估為 Google Cloud產生的發現項目
當「 Google Cloud 服務安全漏洞評估」偵測到下列情況時,會在 Security Command Center 中產生發現項目:
- Compute Engine VM 執行個體上的軟體安全漏洞。
- GKE 叢集節點或在 GKE 上執行的容器中的軟體安全漏洞。
下列資源的容器映像檔安全漏洞:
- GKE Pod
- App Engine 服務
- Cloud Run 服務和工作
掃描頻率會因服務層級而異:
| 標準級 | Premium 和 Enterprise 方案 |
|---|---|
| 每週一次 | 約每 12 小時 |
安全漏洞評估會發布以下嚴重程度的結果,但各服務層級的嚴重程度有所不同: Google Cloud
| 標準級 | Premium 和 Enterprise 方案 |
|---|---|
Critical 個嚴重性為「」的發現項目 |
Critical 個嚴重性為「High」的發現項目 |
當「安全漏洞評估」 Google Cloud 建立發現項目時,該項目會在下列有效狀態期間維持 ACTIVE 狀態,這段期間會因服務層級而異:
| 標準級 | Premium 和 Enterprise 方案 |
|---|---|
| 195 小時 | 25 小時 |
如果 Vulnerability Assessment for Google Cloud 在有效狀態期間 (視服務層級而定) 再次偵測到發現項目,計數器就會重設,且發現項目會在ACTIVE狀態中保留另一個有效狀態期間。
如果安全漏洞評估在 Google Cloud 有效狀態期間 (依服務層級而定) 未再次偵測到發現項目,安全漏洞評估 Google Cloud 就會將發現項目設為 INACTIVE。
調查結果中提供的資訊
調查結果通常包含下列資訊:
- 安全漏洞說明,包括下列資訊:
- 含有安全漏洞的軟體套件及其位置
- 相關聯 CVE 記錄中的資訊
- Security Command Center 對安全漏洞嚴重程度的評估
- 如有解決問題的步驟,請一併提供,包括修補程式或版本升級,以解決安全漏洞
下列屬性值:
- 課程:
Vulnerability - 雲端服務供應商:
Google Cloud - 來源:
Vulnerability Assessment - 類別:下列其中一個值:
Container Image VulnerabilityOS vulnerabilitySoftware vulnerability
- 課程:
系統會使用 Mandiant CVE 評估,針對特定發現項目 (因服務層級而異) 補充 CVE 的影響和可利用性資訊。
| 標準級 | Premium 和 Enterprise 方案 |
|---|---|
| 嚴重程度為「重大」的 CVE 包含 Mandiant 評估資訊 | 嚴重性為「重大」或「高」的 CVE,包括 Mandiant 評估資訊 |
在 Premium 和 Enterprise 服務層級產生的調查結果包含下列資訊:
- 受攻擊風險分數,可協助您優先處理修復作業。
- 以視覺化方式呈現攻擊者可能採取的路徑,藉此取得因安全漏洞而暴露的高價值資源。
偵測到的軟體安全漏洞調查結果
偵測到的軟體安全漏洞調查結果包含下列額外資訊:
- 受影響的 VM 執行個體或 GKE 叢集的完整資源名稱。
如果發現項目與 GKE 工作負載相關,則會提供受影響物件的資訊,例如:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
由於 Google Cloud 的弱點評估功能可識別多個容器中的相同弱點,因此 Google Cloud 的弱點評估功能會彙整 GKE 工作負載層級或 Pod 層級的弱點。在發現項目中,您可能會在單一欄位中看到多個值,例如 files.elem.path 欄位。
偵測到的容器映像檔安全漏洞調查結果
偵測到的容器映像檔安全漏洞調查結果包含下列額外資訊:
- 容器映像檔的完整資源名稱
- 與發現項目相關聯的任何執行階段關聯,前提是易受攻擊的映像檔在下列任一項目上執行:
- GKE Pod
- App Engine
- Cloud Run 服務和修訂版本
- Cloud Run 工作和執行作業
發現項目保留期限
解決問題後,系統會保留安全漏洞評估產生的發現項目 7 天,然後刪除。 Google Cloud 主動式安全漏洞評估的發現項目會保留 1 年又 31 天 (396 天)。 Google Cloud如果與發現項目相關聯的映像檔或容器遭到刪除,發現項目也會停用。
套件位置
發現項目中安全漏洞的檔案位置是指二進位檔或套件中繼資料檔案。這項資訊取決於 Vulnerability Assessment for Google Cloud 使用的 SCALIBR 擷取器。對於 Vulnerability Assessment for Google Cloud 在容器中發現的安全漏洞評估,這是容器內部的路徑。
下表列出各種 SCALIBR 擷取器的安全漏洞位置示例。
| SCALIBR 擷取器 | 套件位置 |
|---|---|
Debian 套件 (dpkg) |
/var/lib/dpkg/status |
| 二進位檔 | /usr/bin/google_osconfig_agent |
| Java 封存檔 | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
在控制台中查看發現項目
您可以在 Google Cloud 控制台查看 Google Cloud 發現項目的安全漏洞評估結果。請先確認您具備適當的角色,再進行這項操作。
如要在 Google Cloud 控制台中查看 安全漏洞評估 的 Google Cloud 發現項目,請按照下列步驟操作:
-
前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。
- 選取 Google Cloud 專案或機構。
- 在「快速篩選器」部分的「來源顯示名稱」子部分,選取「安全漏洞評估」。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如適用) 可採取哪些步驟修正發現項目。
- 選用:如要查看發現項目的完整 JSON 定義,請按一下「JSON」分頁。