En esta página, se describen los servicios y resultados que admite la función de exposición a ataques y los límites de compatibilidad a los que está sujeta.
Security Command Center genera rutas y puntuaciones de exposición a ataques para los siguientes elementos:
- Se admiten categorías de resultados en las clases de búsqueda
VulnerabilityyMisconfiguration. Para obtener más información, consulta Categorías de resultados admitidas. - Instancias de recursos de los tipos de recursos admitidos que designes como de alto valor. Para obtener más información, consulta Tipos de recursos compatibles con conjuntos de recursos de alto valor.
En las siguientes secciones, se enumeran los servicios y resultados de Security Command Center que se admiten en las puntuaciones de exposición a ataques.
Solo asistencia a nivel de la organización
Las simulaciones de rutas de ataque que generan las puntuaciones de exposición a ataques y las rutas de ataque requieren que Security Command Center se active al nivel de la organización. Las simulaciones de rutas de ataque no son compatibles con las activaciones a nivel de proyecto de Security Command Center.
Para ver las rutas de ataque, la vista de la consola de Google Cloud debe estar configurada en tu organización. Si seleccionas la vista de un proyecto o una carpeta en la consola de Google Cloud, puedes ver las puntuaciones de exposición a ataques, pero no las rutas de ataque.
Además, los permisos de IAM que los usuarios necesitan para ver las rutas de ataque deben otorgarse a nivel de la organización. Como mínimo, los usuarios deben tener el permiso securitycenter.attackpaths.list en una función otorgada a nivel de la organización. La función de IAM predefinida menos permisiva que contiene este permiso es el de lector de rutas de ataque del centro de seguridad (securitycenter.attackPathsViewer).
Para ver otras funciones que contienen este permiso, consulta la referencia de las funciones básicas y predefinidas de IAM.
Límites de tamaño para las organizaciones
En el caso de las simulaciones de rutas de ataque, Security Command Center limita la cantidad de elementos activos y de resultados activos que puede contener una organización.
Si una organización excede los límites que se muestran en la siguiente tabla, no se ejecutan las simulaciones de rutas de ataque.
| Tipo de límite | Límite de uso |
|---|---|
| Cantidad máxima de hallazgos activos | 250 000 000 |
| Cantidad máxima de recursos activos | 26 000 000 |
Si los recursos, los hallazgos o ambos en tu organización se acercan a estos límites o los superan, comunícate con Atención al cliente de Cloud para solicitar una evaluación de tu organización y poder posibles aumentos.
Servicios de Google Cloud incluidos en las simulaciones de rutas de ataque
Las simulaciones pueden incluir los siguientes servicios de Google Cloud:
- Artifact Registry
- BigQuery
- Cloud Functions
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Nube privada virtual, incluidas las subredes y la configuración de firewall
- Resource Manager
Límites de conjuntos de recursos de alto valor
Un conjunto de recursos de alto valor solo admite ciertos tipos de recursos y puede contener solo un número determinado de instancias de recursos.
Límite de instancias para conjuntos de recursos de alto valor
Un conjunto de recursos de alto valor para una plataforma de proveedor de servicios en la nube puede contener hasta 1,000 instancias de recursos.
Tipos de recursos admitidos en conjuntos de recursos de alto valor
Solo puedes agregar los siguientes tipos de recursos de Google Cloud a un conjunto de recursos de alto valor:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/Modelaiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Datasetcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instancecontainer.googleapis.com/Clustersqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Si quieres obtener una lista de los tipos de recursos admitidos para otros proveedores de servicios en la nube, consulta Asistencia para proveedores de servicios en la nube.
Límite de configuración del valor del recurso
Puedes crear hasta 100 configuraciones de valores de recursos por organización en Google Cloud.
Tipos de recursos compatibles con las clasificaciones de sensibilidad de los datos
Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad en función de las clasificaciones de sensibilidad de los datos de la Protección de datos sensibles solo para los siguientes tipos de recursos de datos:
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instance
Categorías de resultados compatibles
Las simulaciones de rutas de ataque generan puntuaciones de exposición a ataques y rutas de ataque solo para las categorías de hallazgos de Security Command Center de los servicios de detección de Security Command Center que se enumeran en esta sección.
Hallazgos de Mandiant Attack Surface Management
Las siguientes categorías de resultados de Mandiant Attack Surface Management son compatibles con las simulaciones de rutas de ataque:
- Vulnerabilidad de software
Resultados de las estadísticas de estado de seguridad
Los siguientes resultados de Security Health Analytics son compatibles con las simulaciones de rutas de ataque en Google Cloud:
- Cuenta de servicio de administrador
- Reparación automática inhabilitada
- Actualización automática inhabilitada
- Autorización binaria inhabilitada
- Solo política del bucket inhabilitada
- Clúster con Acceso privado a Google inhabilitado
- Encriptación de secretos de clúster inhabilitada
- Nodos protegidos del clúster inhabilitados
- Claves SSH de todo el proyecto de Compute permitidas
- Inicio seguro de Compute inhabilitado
- Puertos en serie de Compute habilitados
- COS sin usar
- Cuenta de servicio predeterminada usada
- Acceso total a la API
- Redes autorizadas de la instancia principal inhabilitadas
- MFA no aplicada
- Política de red inhabilitada
- Inicio seguro del grupo de nodos inhabilitado
- Puerto Cassandra abierto
- Puerto CiscoSecure WebSM abierto
- Puerto abierto de servicios del directorio
- Puerto DNS abierto
- Abrir el puerto de elasticsearch
- Firewall abierto
- Puerto FTP abierto
- Puerto HTTP abierto
- Puerto LDAP abierto
- Puerto Memcached abierto
- Puerto MongoDB abierto
- Puerto MySQL abierto
- Puerto NetBIOS abierto
- Puerto OracleDB abierto
- Abrir puerto pop3
- Puerto PostgreSQL abierto
- Puerto RDP abierto
- Puerto Redis abierto
- Puerto SMTP abierto
- Puerto SSH abierto
- Puerto Telnet abierto
- Cuenta con privilegios excesivos
- Permisos con privilegios excesivos
- Usuario de cuenta de servicio con privilegios excesivos
- Roles básicos usados
- Clúster privado inhabilitado
- LCA de buckets públicos
- Dirección IP pública
- Bucket de registro público
- Canal de versiones inhabilitado
- No se rotó la clave de la cuenta de servicio
- Clave de cuenta de servicio administrada por el usuario
- Workload Identity inhabilitada
Hallazgos de Rapid Vulnerability Detection
Los siguientes hallazgos de la Detección rápida de vulnerabilidades son compatibles con las simulaciones de rutas de ataque:
- Credenciales débiles
- API de Elasticsearch expuesta
- Extremo de Grafana expuesto
- Metabase expuesta
- Extremo del accionador de Spring Boot expuesto
- API de Resource Manager sin autenticar el hilo de Hadoop
- Java Jmx Rmi expuesto
- IU expuesta del notebook de Jupyter
- API de Kubernetes expuesta
- Instalación de WordPress sin terminar
- Consola de nuevo elemento de Jenkins no autenticada
- HTTP(RCE) de Apache
- HTTPd Ssrf de Apache
- Consul Rce
- RC druida
- RCE de Drupal
- Divulgación de archivo Flink
- GitLab Rce
- CD-RCE de Go
- Rce de Jenkins
- Joomla Rce
- Log4j Rce
- Escalación de privilegios de Mantisbt
- Ognl Rce
- Openam Rce
- Oracle Weblogic Rce
- RC de unidades de Php
- Php Cgi Rce
- Portal Rce
- Redis RC
- Se expuso el archivo de Solr
- Solr Rce
- Carrera de struts
- Divulgación del archivo Tomcat
- Vboletín RCE
- CDN de vCenter
- Rce Weblogic
Resultados de VM Manager
La categoría de resultado OS Vulnerability que emite VM Manager admite las puntuaciones de exposición a ataques.
Compatibilidad con notificaciones de Pub/Sub
Los cambios en las puntuaciones de exposición a ataques no se pueden usar como activador de notificaciones para Pub/Sub.
Además, los resultados que se envían a Pub/Sub cuando se crean no incluyen una puntuación de exposición a ataques, ya que se envían antes de que se pueda calcular una puntuación.
Compatibilidad con múltiples nubes
Security Command Center puede proporcionar puntuaciones de exposición a los ataques y visualizaciones de rutas de ataque para los siguientes proveedores de servicios en la nube:
- Amazon Web Services (AWS)
Compatibilidad del detector para otros proveedores de servicios en la nube
Los detectores de vulnerabilidades y configuración incorrecta que admiten las simulaciones de rutas de ataque para otras plataformas de proveedores de servicios en la nube dependen de las detecciones que admiten los servicios de detección de Security Command Center en la plataforma.
La compatibilidad del detector es diferente para cada proveedor de servicios en la nube.
Asistencia de AWS
Security Command Center puede calcular las puntuaciones de exposición a ataques y visualizaciones de la ruta de ataque para tus recursos en AWS.
Servicios de AWS compatibles con simulaciones de rutas de ataque
Las simulaciones pueden incluir los siguientes servicios de AWS:
- Identity and Access Management (IAM)
- Servicio de tokens de seguridad (STS)
- Servicio simple de almacenamiento (S3)
- Firewall de aplicación web (WAFv2)
- Elastic Compute Cloud (EC2)
- Balanceo de cargas elástico (ELB y ELBv2)
- Servicio de bases de datos relacionales (RDS)
- Servicio de administración de claves (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway y ApiGatewayv2
- Organizaciones (Servicio de administración de cuentas)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
Tipos de recursos de AWS que puedes especificar como recursos de alto valor
Solo puedes agregar los siguientes tipos de recursos de AWS a un conjunto de recursos de alto valor:
- Tabla de DynamoDB
- Instancia EC2
- Función lambda
- DBCluster de RDS
- Instancia de base de datos de RDS
- Bucket de S3
Encuentra asistencia para AWS
Las simulaciones de rutas de ataque proporcionan puntuaciones y visualizaciones de rutas de ataque para las siguientes categorías de resultados de Security Health Analytics:
- Las claves de acceso se rotaron 90 días menos
- Credenciales sin usar en los últimos 45 días inhabilitadas
- La VPC predeterminada del grupo de seguridad restringe todo el tráfico
- Instancia de EC2 sin IP pública
- Política de contraseñas de IAM
- La política de contraseñas de IAM impide la reutilización de contraseñas
- La política de contraseñas de IAM requiere una longitud mínima de 14 años
- Verificación de credenciales sin usar del usuario de IAM
- Los usuarios de IAM reciben grupos de permisos
- No se programó la eliminación de CMK de KMS
- Buckets de S3 habilitados para la eliminación MFA
- Cuenta de usuario raíz habilitada para MFA
- Consola de MFA para todos los usuarios de IAM habilitada para la autenticación multifactor
- No existe una clave de acceso de una cuenta de usuario raíz
- Ningún grupo de seguridad permite la administración del servidor remoto de entrada 0
- Ningún grupo de seguridad permite la administración del servidor remoto de entrada 0 0 0 0
- Una clave de acceso activa disponible para cada usuario de IAM
- Se otorgó acceso público a la instancia de RDS
- Puertos comunes restringidos
- SSH restringido
- Rotación de CMKS creada por el cliente habilitada
- Rotación de CMKS simétrica que creó el cliente
- Los buckets de S3 configurados bloquean la configuración del bucket de acceso público
- El conjunto de políticas del bucket de S3 rechaza las solicitudes HTTP
- Encriptación KMS predeterminada de S3
- Grupo de seguridad predeterminado de VPC cerrado
Compatibilidad con la interfaz de usuario
Puedes usar Security Command Center en la consola de Google Cloud o la API de Security Command Center para trabajar con las puntuaciones de exposición a ataques.
Sin embargo, solo puedes crear configuraciones de valores de recursos en la pestaña Simulaciones de rutas de ataque de la página Configuración de Security Command Center en la consola de Google Cloud.