Nesta página, descrevemos os serviços e as descobertas compatíveis com o recurso de exposição a ataques e os limites de compatibilidade sujeitos a ele.
O Security Command Center gera pontuações e caminhos de exposição a ataques para os seguintes:
- Categorias de descoberta compatíveis com as classes de descoberta
VulnerabilityeMisconfiguration. Para mais informações, consulte Categorias de descoberta compatíveis. - instâncias de recursos de tipos de recursos compatíveis, designadas como de alto valor; Para mais informações, consulte Tipos de recursos aceitos em conjuntos de recursos de alto valor.
As seções a seguir listam os serviços e as descobertas do Security Command Center compatíveis com as pontuações de exposição a ataques.
Suporte apenas no nível da organização
As simulações de caminho de ataque que geram as pontuações de exposição a ataques e os caminhos de ataque exigem que o Security Command Center esteja ativado no nível da organização. As simulações de caminho de ataque não são compatíveis com ativações no nível do projeto do Security Command Center.
Para ver os caminhos de ataque, a visualização do console do Google Cloud precisa estar definida para sua organização. Se você selecionar uma visualização de projeto ou pasta no console do Google Cloud, verá as pontuações de exposição a ataques, mas não os caminhos de ataque.
Além disso, as permissões do IAM necessárias para os usuários verem os caminhos de ataque precisam ser concedidas no nível da organização. Os usuários precisam ter ao menos a permissão securitycenter.attackpaths.list em um papel concedido no nível da organização. O papel predefinido do IAM menos permissivo que contém essa permissão é o Leitor de caminhos de ataque da Central de segurança (securitycenter.attackPathsViewer).
Para ver outros papéis que contêm essa permissão, consulte Referência de papéis básicos e predefinidos do IAM.
Limites de tamanho para organizações
Para simulações de caminho de ataque, o Security Command Center limita o número de recursos ativos e descobertas ativas que uma organização pode conter.
Se uma organização exceder os limites mostrados na tabela a seguir, as simulações de caminho de ataque não serão executadas.
| Tipo de limite | Limite de uso |
|---|---|
| Número máximo de descobertas ativas | 250.000.000 |
| Número máximo de recursos ativos | 26.000.000 |
Se os recursos, as descobertas ou ambos na sua organização estiverem se aproximando desses limites ou os exceder, entre em contato com o Cloud Customer Care para solicitar a avaliação de um possível aumento na sua organização.
Serviços do Google Cloud inclusos em simulações de caminho de ataque
As simulações podem incluir os seguintes serviços do Google Cloud:
- Artifact Registry
- BigQuery
- Cloud Functions
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Nuvem privada virtual, incluindo configurações de firewall e sub-redes
- Resource Manager
Limites do conjunto de recursos de alto valor
Um conjunto de recursos de alto valor aceita apenas determinados tipos de recursos e pode conter apenas um determinado número de instâncias de recurso.
Limite de instâncias para conjuntos de recursos de alto valor
Um conjunto de recursos de alto valor para uma plataforma de provedor de serviços em nuvem pode conter até 1.000 instâncias de recursos.
Tipos de recursos compatíveis com conjuntos de recursos de alto valor
Só é possível adicionar os seguintes tipos de recursos do Google Cloud a um conjunto de recursos de alto valor:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/Modelaiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Datasetcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instancecontainer.googleapis.com/Clustersqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Para uma lista de tipos de recursos compatíveis com outros provedores de serviços de nuvem, consulte Suporte ao provedor de serviços em nuvem.
Limite de configuração de valor de recurso
É possível criar até 100 configurações de valor de recursos por organização no Google Cloud.
Tipos de recursos compatíveis com as classificações de sensibilidade de dados
As simulações de caminho de ataque podem definir automaticamente valores de prioridade com base em classificações de sensibilidade de dados da Proteção de Dados Sensíveis apenas para os seguintes tipos de recursos de dados:
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instance
Categorias de descoberta compatíveis
As simulações de caminho de ataque geram pontuações de exposição e caminhos de ataque apenas para as categorias de descoberta do Security Command Center dos serviços de detecção do Security Command Center listados nesta seção.
Descobertas do Mandiant Attack Surface Management
As seguintes categorias de descoberta do Gerenciamento de superfícies de ataque da Mandiant oferecem suporte a simulações de caminho de ataque:
- Vulnerabilidade de software
Descobertas da análise de integridade de segurança
As seguintes descobertas da Análise de integridade da segurança têm suporte de simulações de caminho de ataque no Google Cloud:
- Conta de serviço do administrador
- Reparo automático desativado
- Upgrade automático desativado
- Autorização binária desativada
- Somente a política do bucket desativada
- Acesso privado do Google ao cluster desativado
- Criptografia de secrets do cluster desativada
- Nós protegidos do cluster desativados
- Chaves SSH permitidas em todo o projeto de computação
- Inicialização segura do Compute desativada
- Portas seriais de computação ativadas
- COS não usado
- Conta de serviço padrão utilizada
- Acesso integral à API
- Redes mestres autorizadas desativadas
- MFA não aplicado
- Política de rede desativada
- Inicialização segura do pool de nós desativada
- Abrir a porta do Cassandra
- Abrir porta CiscoSecure WebSM
- Abrir porta de serviços de diretório
- Abrir porta DNS
- Abrir porta elasticsearch
- Abrir firewall
- Abrir porta do FTP
- Abrir porta HTTP
- Abrir porta LDAP
- Abrir porta do Memcached
- Abrir a porta do MongoDB
- Abrir porta do MySQL
- Abrir porta do NetBIOS
- Abrir porta OracleDB
- Abrir porta pop3
- Abrir porta do PostgreSQL
- Abrir porta RDP
- Abrir a porta do Redis
- Abrir porta SMTP
- Abrir porta SSH
- Abrir a porta do Telnet
- Sobre uma conta privilegiada
- Escopos privilegiados
- Usuário com uma conta de serviço privilegiada
- Papéis primários usados
- Cluster particular desativado
- ACL de bucket público
- Endereço IP público
- Bucket de registro público
- Canal de lançamento desativado
- Chave da conta de serviço não alternada
- Chave da conta de serviço gerenciada pelo usuário
- Identidade da carga de trabalho desativada
Descobertas da detecção rápida de vulnerabilidades
As seguintes descobertas de Detecção rápida de vulnerabilidades são compatíveis com simulações de caminho de ataque:
- Credenciais fracas
- API Elasticsearch exposta
- Endpoint do Grafana exposto
- Metabase exposta
- Endpoint do atuador do Spring Boot exposto
- API Resource Manager não autenticada do Hadoop YARN
- Java JMX RMI exposto
- Interface exposta do notebook Jupyter
- API do Kubernetes exposta
- Instalação do Wordpress incompleta
- Console de novos itens do Jenkins não autenticado
- RCE do HTTPd do Apache
- SSRF do HTTPd do Apache
- RCE do Consul
- RCE do Druid
- RCE do Drupal
- Divulgação do arquivo Flink
- RCE do GitLab
- RCE do Go CD
- RCE do Jenkins
- RCE do Joomla
- RCE do Log4j
- Encaminhamento de privilégios do MantisBT
- RCE de OGNL
- RCE do OpenAM
- RCE do Oracle WebLogic
- RCE do PHPUnit
- RCE do PHP CGI
- RCE do Portal
- RCE do Redis
- Arquivo Solr exposto
- RCE do Solr
- RCE do Struts
- Divulgação de arquivos Tomcat
- RCE do vBulletin
- RCE do vCenter
- RCE do WebLogic
Descobertas do VM Manager
A categoria de descoberta OS Vulnerability emitida pelo VM Manager é compatível com pontuações de exposição a ataques.
Suporte a notificações do Pub/Sub
As alterações nas pontuações de exposição a ataques não podem ser usadas como gatilho para notificações no Pub/Sub.
Além disso, as descobertas enviadas ao Pub/Sub quando elas são criadas não incluem uma pontuação de exposição a ataques porque o envio ocorre antes de uma pontuação ser calculada.
Suporte a multicloud
O Security Command Center pode fornecer pontuações de exposição e visualizações de caminho de ataque para os seguintes provedores de serviços de nuvem:
- Amazon Web Services (AWS)
Suporte a detectores para outros provedores de serviços de nuvem
Os detectores de vulnerabilidade e de configuração incorreta compatíveis com as simulações de caminho de ataque para outras plataformas de provedores de serviços em nuvem dependem das detecções que os serviços de detecção do Security Command Center suportam na plataforma.
O suporte aos detectores é diferente para cada provedor de serviços de nuvem.
Suporte da AWS
O Security Command Center pode calcular pontuações de exposição a ataques e visualizações do caminho de ataque dos seus recursos na AWS.
Serviços da AWS com suporte em simulações de caminho de ataque
As simulações podem incluir os seguintes serviços da AWS:
- Identity and Access Management (IAM)
- Serviço de token de segurança (STS)
- Serviço de armazenamento simples (S3)
- Firewall de aplicativos da Web (WAFv2)
- Elastic Compute Cloud (EC2)
- Balanceamento de carga elástico (ELB e ELBv2)
- Serviço de banco de dados relacional (RDS)
- Serviço de gerenciamento de chaves (KMS)
- Elastic Container Registry (ECR)
- Serviço de contêiner elástico (ECS, na sigla em inglês)
- ApiGateway e ApiGatewayv2
- Organizações (serviço de gerenciamento de contas)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
Tipos de recursos da AWS que podem ser especificados como recursos de alto valor
Só é possível adicionar os seguintes tipos de recursos da AWS a um conjunto de recursos de alto valor:
- Tabela do DynamoDB
- Instância do EC2
- Função Lambda
- DBCluster do RDS
- DBInstance do RDS
- Bucket S3
Como encontrar suporte para a AWS
As simulações de caminho de ataque oferecem pontuações e visualizações de caminho de ataque para as seguintes categorias de descoberta da Análise de integridade da segurança:
- Rotação de chaves de acesso menos de 90 dias
- Credenciais não usadas por 45 dias ou mais e desativadas
- A VPC do grupo de segurança padrão restringe todo o tráfego
- Instância do EC2 sem IP público
- Política de senha do IAM
- A política de senha do IAM impede a reutilização da senha
- A política de senha do IAM requer um tamanho mínimo de 14 ou mais
- Verificação de credenciais não usadas do usuário do IAM
- Os usuários do IAM recebem grupos de permissões
- O CMK do KMS não foi programado para exclusão
- Buckets do S3 ativados para exclusão da MFA
- Conta de usuário raiz com MFA ativada
- A autenticação multifator (MFA) ativou o console de todos os usuários do IAM
- Não existe uma chave de acesso à conta de usuário raiz
- Nenhum grupo de segurança permite a entrada 0 para administração remota de servidor
- Nenhum grupo de segurança permite a entrada de 0 0 0 0 para administração remota de servidor
- Uma chave de acesso ativa disponível para cada usuário do IAM
- Acesso público determinada instância do RDS
- Portas comuns restritas
- SSH restrito
- CMKS criado pelo cliente de rotação foi ativado
- CMKS simétricas criadas pelo cliente de rotação ativadas
- Buckets do S3 configurados para bloquear as configurações do bucket de acesso público
- O conjunto de políticas de bucket S3 nega solicitações HTTP
- KMS de criptografia padrão do S3
- Grupo de segurança padrão da VPC fechado
Compatibilidade com a interface do usuário
É possível usar o Security Command Center no console do Google Cloud ou a API Security Command Center para trabalhar com pontuações de exposição a ataques.
No entanto, só é possível criar configurações de valor de recursos na guia Simulações de caminho de ataque da página Configurações do Security Command Center no console do Google Cloud.