Hallazgos de vulnerabilidades

Los detectores Web Security Scanner y de estadísticas del estado de seguridad de la Web generan resultados de vulnerabilidades que están disponibles en Security Command Center. Cuando se habilitan en Security Command Center, los servicios integrados, como VM Manager, también generan resultados de vulnerabilidades.

Tu capacidad para ver y editar resultados se determina mediante las funciones y los permisos de Identity and Access Management (IAM). Para obtener más información sobre los roles de IAM en Security Command Center, consulta Control de acceso.

Detectores y cumplimiento

Security Command Center supervisa el cumplimiento con detectores que están asignados a los controles de una amplia variedad de estándares de seguridad.

Para cada estándar de seguridad admitido, Security Command Center verifica un subconjunto de los controles. En el caso de los controles que se marcaron, Security Command Center te muestra cuántos cumplen con los requisitos. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de hallazgos que describen las fallas de control.

CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la comparativa CIS Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo a modo de referencia.

Security Command Center agrega compatibilidad con nuevas versiones y estándares de comparativas de forma periódica. Las versiones anteriores siguen siendo compatibles, pero, con el tiempo, dejarán de serlo. Te recomendamos que uses la comparativa o el estándar compatibles más recientes disponibles.

Con el servicio de posición de seguridad, puedes asignar las políticas de la organización y los detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar si hay cambios en el entorno que podrían afectar el cumplimiento de tu empresa.

Para obtener más información sobre la administración del cumplimiento, consulta Cómo evaluar y generar informes sobre el cumplimiento de los estándares de seguridad.

Estándares de seguridad admitidos

Google Cloud

Security Command Center asigna detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:

AWS

Security Command Center asigna detectores de Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:

Para obtener instrucciones sobre cómo ver y exportar informes de cumplimiento, consulta la sección Cumplimiento en Cómo usar Security Command Center en la consola de Google Cloud.

Cómo encontrar la desactivación después de la solución

Después de corregir una vulnerabilidad o un hallazgo de configuración incorrecta, el servicio de Security Command Center que detectó el hallazgo establece automáticamente el estado del hallazgo en INACTIVE la próxima vez que el servicio de detección lo analice. El tiempo que tarda Security Command Center en establecer un hallazgo corregido en INACTIVE depende del programa del análisis que detecta el hallazgo.

Los servicios de Security Command Center también establecen el estado de un hallazgo de vulnerabilidad o configuración incorrecta en INACTIVE cuando un análisis detecta que se borró el recurso afectado por el hallazgo.

Para obtener más información sobre los intervalos de análisis, consulta los siguientes temas:

Resultados de las estadísticas de estado de seguridad

Los detectores de estadísticas del estado de la seguridad supervisan un subconjunto de recursos de Cloud Asset Inventory (CAI) y reciben notificaciones de los cambios en las políticas de la administración de identidades y accesos (IAM). Algunos detectores recuperan datos mediante una llamada directa a las API de Google Cloud, como se indica en las tablas que aparecen más adelante en esta página.

Para obtener más información sobre Security Health Analytics, los programas de análisis y la compatibilidad de Security Health Analytics con detectores de módulos integrados y personalizados, consulta Descripción general de Security Health Analytics.

En las siguientes tablas, se describen los detectores de estadísticas del estado de la seguridad, los elementos y los estándares de cumplimiento que admiten, la configuración que usan para los análisis y los tipos de hallazgos que generan. Puedes filtrar los resultados por varios atributos mediante la página Vulnerabilidades de Security Command Center en la consola de Google Cloud.

Para obtener instrucciones para solucionar problemas y proteger tus recursos, consulta Soluciona los problemas de las estadísticas del estado de seguridad.

Resultados de las vulnerabilidades de la clave de API

El detector API_KEY_SCANNER identifica vulnerabilidades relacionadas con las claves de API que se usan en tu implementación en la nube.

Detector Resumen Configuración de análisis de elementos
API key APIs unrestricted

Nombre de categoría en la API: API_KEY_APIS_UNRESTRICTED

Hallazgos de la descripción: Hay claves de API que se usan demasiado. Para resolver esto, limita el uso de la clave de API a fin de permitir solo las API que necesita la aplicación.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Recupera la propiedad restrictions de todas las claves de API en un proyecto. Para ello, verifica si alguna está configurada en cloudapis.googleapis.com.

  • Análisis en tiempo real: No
API key apps unrestricted

Nombre de categoría en la API: API_KEY_APPS_UNRESTRICTED

Descripción del resultado: Hay claves de API que se usan sin restricciones y que permiten cualquier app que no sea de confianza.

Nivel de precios: Premium

Recursos admitidos
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13

Recupera la propiedad restrictions de todas las claves de API de un proyecto, lo que verifica si browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions o iosKeyRestrictions están configurados.

  • Análisis en tiempo real: No
API key exists

Nombre de categoría en la API: API_KEY_EXISTS

Descripción del resultado: Un proyecto usa claves de API en lugar de la autenticación estándar.

Nivel de precios: Premium

Recursos admitidos
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Recupera todas las claves de API que son propiedad de un proyecto.

  • Análisis en tiempo real: No
API key not rotated

Nombre de categoría en la API: API_KEY_NOT_ROTATED

Descripción del resultado: La clave de API no se rotó durante más de 90 días.

Nivel de precios: Premium

Recursos admitidos
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Recupera la marca de tiempo incluida en la propiedad createTime de todas las claves de API y verifica si transcurrieron 90 días.

  • Análisis en tiempo real: No

Hallazgos de vulnerabilidades de Cloud Asset Inventory

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Cloud Asset Inventory y pertenecen al tipo CLOUD_ASSET_SCANNER.

Detector Resumen Configuración de análisis de elementos
Cloud Asset API disabled

Nombre de categoría en la API: CLOUD_ASSET_API_DISABLED

Descripción del hallazgo: La captura de recursos de Google Cloud y políticas de IAM por parte de Cloud Asset Inventory permite el análisis de seguridad, el seguimiento de cambios de recursos y la auditoría de cumplimiento. Recomendamos que el servicio de Cloud Asset Inventory esté habilitado para todos los proyectos. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Recursos compatibles
pubsub.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

Verifica si el servicio de Cloud Asset Inventory está habilitado.

  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de imágenes de Compute

El detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de imágenes de Google Cloud.

Detector Resumen Configuración de análisis de elementos
Public Compute image

Nombre de categoría en la API: PUBLIC_COMPUTE_IMAGE

Descripción del resultado: Una imagen de Compute Engine es de acceso público.

Nivel de precios: Premium o Estándar

Recursos admitidos
compute.googleapis.com/Image

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Verifica la política de permisos de IAM en metadatos de recursos para las principales allUsers o allAuthenticatedUsers, que otorgan acceso público.

  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de las instancias de Compute

El detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de instancias de Compute Engine.

Los detectores COMPUTE_INSTANCE_SCANNER no informan los resultados en las instancias de Compute Engine que crea GKE. Estas instancias tienen nombres que comienzan con “gke-”, que los usuarios no pueden editar. Para proteger estas instancias, consulta la sección de resultados de vulnerabilidades de contenedores.

Detector Resumen Configuración de análisis de elementos
Confidential Computing disabled

Nombre de categoría en la API: CONFIDENTIAL_COMPUTING_DISABLED

Descripción de resultados: Confidential Computing está inhabilitado en una instancia de Compute Engine.

Nivel de precios: Premium

Recursos admitidos
compute.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Verifica la propiedad confidentialInstanceConfig de los metadatos de la instancia para el par clave-valor "enableConfidentialCompute":true.

  • Elementos excluidos de los análisis:
    • Instancias de GKE
    • Acceso a VPC sin servidores
    • Instancias relacionadas con trabajos de Dataflow
    • Instancias de Compute Engine que no son del tipo N2D
  • Análisis en tiempo real: Sí
Compute project wide SSH keys allowed

Nombre de categoría en la API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Descripción del resultado: Se usan claves SSH de todo el proyecto, lo que permite el acceso a todas las instancias del proyecto.

Nivel de precios: Premium

Recursos admitidos
compute.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

Comprueba el objeto metadata.items[] en los metadatos de la instancia para el par clave-valor "key": "block-project-ssh-keys", "value": TRUE.

  • Elementos excluidos de los análisis: instancias de GKE, trabajo de Dataflow, instancia de Windows
  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee los metadatos de Compute Engine
  • Análisis en tiempo real: No
Compute Secure Boot disabled

Nombre de categoría en la API: COMPUTE_SECURE_BOOT_DISABLED

Descripción del resultado: Esta VM protegida no tiene habilitado Inicio seguro. El uso de Inicio seguro ayuda a proteger las instancias de máquinas virtuales de las amenazas avanzadas, como rootkits y bootkits.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Comprueba la propiedad shieldedInstanceConfig en instancias de Compute Engine para determinar si enableSecureBoot está configurada en true. Este detector verifica si los discos adjuntos son compatibles con el inicio seguro y si este está habilitado.

  • Elementos excluidos de los análisis: Instancias de GKE, discos de Compute Engine que tienen aceleradores de GPU y no usan Container-Optimized OS, Acceso a VPC sin servidores
  • Análisis en tiempo real: Sí
Compute serial ports enabled

Nombre de categoría en la API: COMPUTE_SERIAL_PORTS_ENABLED

Descripción del resultado: Los puertos en serie están habilitados para una instancia, lo que permite conexiones a la consola en serie de la instancia.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Comprueba el objeto metadata.items[] en los metadatos de la instancia para el par clave-valor "key": "serial-port-enable", "value": TRUE.

  • Elementos excluidos de los análisis: Instancias de GKE
  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee los metadatos de Compute Engine
  • Análisis en tiempo real: Sí
Default service account used

Nombre de categoría en la API: DEFAULT_SERVICE_ACCOUNT_USED

Descripción del resultado: Una instancia está configurada para usar la cuenta de servicio predeterminada.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Comprueba la propiedad serviceAccounts en los metadatos de la instancia para cualquier dirección de correo electrónico de cuenta de servicio con el prefijo PROJECT_NUMBER-compute@developer.gserviceaccount.com, que indica la cuenta de servicio predeterminada creada por Google.

  • Elementos excluidos de los análisis: Instancias de GKE, trabajos de Dataflow
  • Análisis en tiempo real: Sí
Disk CMEK disabled

Nombre de categoría en la API: DISK_CMEK_DISABLED

Descripción del resultado: Los discos de esta VM no se encriptan con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Recursos admitidos
compute.googleapis.com/Disk

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Comprueba el campo kmsKeyName del objeto diskEncryptionKey, en los metadatos del disco, para el nombre del recurso de tu CMEK.

  • Elementos excluidos de los análisis: Discos relacionados con entornos de Cloud Composer, trabajos de Dataflow e instancias de GKE
  • Análisis en tiempo real: Sí
Disk CSEK disabled

Nombre de categoría en la API: DISK_CSEK_DISABLED

Descripción del resultado: Los discos de esta VM no se encriptan con claves de encriptación proporcionadas por el cliente (CSEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Detector de casos especiales.

Nivel de precios: Premium

Recursos admitidos
compute.googleapis.com/Disk

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Verifica el campo kmsKeyName en el objeto diskEncryptionKey para el nombre del recurso de tu CSEK.

  • Elementos excluidos de los análisis:
    Discos de Compute Engine sin la marca de seguridad enforce_customer_provided_disk_encryption_keys configurada como true
  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee los metadatos de Compute Engine
  • Análisis en tiempo real: Sí
Full API access

Nombre de categoría en la API: FULL_API_ACCESS

Descripción del resultado: Una instancia está configurada para usar la cuenta de servicio predeterminada con acceso completo a todas las API de Google Cloud.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Recupera el campo scopes en la propiedad serviceAccounts para verificar si se usa una cuenta de servicio predeterminada y si se le asigna el permiso cloud-platform.

  • Elementos excluidos de los análisis: Instancias de GKE, trabajos de Dataflow
  • Análisis en tiempo real: Sí
HTTP load balancer

Nombre de categoría en la API: HTTP_LOAD_BALANCER

Descripción del resultado: Una instancia usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/TargetHttpProxy

Corrige este hallazgo

Estándares de cumplimiento:

  • PCI-DSS v3.2.1: 2.3

Determina si la propiedad selfLink del recurso targetHttpProxy coincide con el atributo target en la regla de reenvío y si la regla de reenvío contiene un campo loadBalancingScheme establecido en External.

  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee las reglas de reenvío de un proxy HTTP de destino desde Compute Engine y verifica las reglas externas
  • Análisis en tiempo real: Sí
Instance OS Login disabled

Nombre de categoría en la API: INSTANCE_OS_LOGIN_DISABLED

Descripción del resultado: El Acceso al SO está inhabilitado en esta instancia.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Comprueba si la propiedad enable-oslogin del Custom metadata de la instancia está configurada como TRUE.

  • Elementos excluidos de los análisis: Instancias de GKE, instancias relacionadas con trabajos de Dataflow, Acceso a VPC sin servidores
  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee los metadatos de Compute Engine.
  • Análisis en tiempo real: No
IP forwarding enabled

Nombre de categoría en la API: IP_FORWARDING_ENABLED

Descripción del resultado: El reenvío de IP está habilitado en las instancias.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Comprueba si la propiedad canIpForward de la instancia está configurada en true.

  • Elementos excluidos de los análisis: Instancias de GKE, Acceso a VPC sin servidores
  • Análisis en tiempo real: Sí
OS login disabled

Nombre de categoría en la API: OS_LOGIN_DISABLED

Descripción del resultado: El Acceso al SO está inhabilitado en esta instancia.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Comprueba el objeto commonInstanceMetadata.items[] en los metadatos del proyecto para el par clave-valor "key": "enable-oslogin", "value": TRUE. El detector también verifica todas las instancias en un proyecto de Compute Engine a fin de determinar si el Acceso al SO está inhabilitado para instancias individuales.

  • Elementos excluidos de los análisis: Instancias de GKE, instancias relacionadas con trabajos de Dataflow
  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee los metadatos de Compute Engine. El detector también examina las instancias de Compute Engine en el proyecto.
  • Análisis en tiempo real: No
Public IP address

Nombre de categoría en la API: PUBLIC_IP_ADDRESS

Descripción del resultado: Una instancia tiene una dirección IP pública.

Nivel de precios: Premium o Estándar

Recursos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Comprueba si la propiedad networkInterfaces contiene un campo accessConfigs, lo que indica que está configurada para usar una dirección IP pública.

  • Elementos excluidos de los análisis: Instancias de GKE, instancias relacionadas con trabajos de Dataflow
  • Análisis en tiempo real: Sí
Shielded VM disabled

Nombre de categoría en la API: SHIELDED_VM_DISABLED

Descripción del resultado: La VM protegida está inhabilitada en esta instancia.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8

Comprueba la propiedad shieldedInstanceConfig en las instancias de Compute Engine para determinar si los campos enableIntegrityMonitoring y enableVtpm están configurados en true. Los campos indican si la VM protegida está activada.

  • Elementos excluidos de los análisis: Instancias de GKE y Acceso a VPC sin servidores
  • Análisis en tiempo real: Sí
Weak SSL policy

Nombre de categoría en la API: WEAK_SSL_POLICY

Descripción del resultado: Una instancia tiene una política de SSL débil.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

Verifica si sslPolicy en los metadatos del activo está vacío o usa la política predeterminada de Google Cloud y, para el recurso sslPolicies adjunto, si profile está configurado como Restricted o Modern, minTlsVersion está configurado como TLS 1.2 y customFeatures está vacío o no contiene los siguientes algoritmos de cifrado: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA y TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee las políticas de SSL para el almacenamiento de proxies de destino y verifica las políticas débiles.
  • Análisis en tiempo real: Sí, pero solo cuando se actualiza el TargetHttpsProxy del TargetSslProxy, no cuando se actualiza la política de SSL.

Resultados de las vulnerabilidades de contenedores

Estos tipos de resultados se relacionan con los parámetros de configuración del contenedor de GKE y pertenecen al tipo de detector CONTAINER_SCANNER.

Detector Resumen Configuración de análisis de elementos
Alpha cluster enabled

Nombre de categoría en la API: ALPHA_CLUSTER_ENABLED

Descripción de los resultados: Las funciones del clúster Alfa están habilitadas para un clúster de GKE.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GKE 1.0: 6.10.2

Comprueba si la propiedad enableKubernetesAlpha de un clúster está configurada en true.

  • Análisis en tiempo real: Sí
Auto repair disabled

Nombre de categoría en la API: AUTO_REPAIR_DISABLED

Descripción del resultado: La función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado, está inhabilitada.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

Comprueba la propiedad management de un grupo de nodos para el par clave-valor, "key": "autoRepair", "value": true.

  • Análisis en tiempo real: Sí
Auto upgrade disabled

Nombre de categoría en la API: AUTO_UPGRADE_DISABLED

Descripción del resultado: La función de actualización automática de un clúster de GKE, que conserva los clústeres y grupos de nodos en la versión estable más reciente de Kubernetes, está inhabilitada.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

Comprueba la propiedad management de un grupo de nodos para el par clave-valor, "key": "autoUpgrade", "value": true.

  • Análisis en tiempo real: Sí
Binary authorization disabled

Nombre de categoría en la API: BINARY_AUTHORIZATION_DISABLED

Descripción del problema: La autorización binaria está inhabilitada en el clúster de GKE o la política de autorización binaria está configurada para permitir que se implementen todas las imágenes.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Verifica lo siguiente:

  • Verifica si la propiedad binaryAuthorization tiene uno de los siguientes pares clave-valor:
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • Comprueba si la propiedad de la política defaultAdmissionRule no contiene el par clave-valor evaluationMode: ALWAYS_ALLOW.

  • Análisis en tiempo real: Sí
Cluster logging disabled

Nombre de categoría en la API: CLUSTER_LOGGING_DISABLED

Descripción del resultado: Logging no está habilitado para un clúster de GKE.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

Comprueba si la propiedad loggingService de un clúster contiene la ubicación que Cloud Logging debe usar para escribir registros.

  • Análisis en tiempo real: Sí
Cluster monitoring disabled

Nombre de categoría en la API: CLUSTER_MONITORING_DISABLED

Descripción del resultado: Monitoring está inhabilitado en los clústeres de GKE.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

Comprueba si la propiedad monitoringService de un clúster contiene la ubicación que Cloud Monitoring debe usar para escribir métricas.

  • Análisis en tiempo real: Sí
Cluster private Google access disabled

Nombre de categoría en la API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Descripción de los hallazgos: Los hosts de clústeres no están configurados con el fin de usar solo direcciones IP internas privadas para acceder a las API de Google.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

Comprueba si la propiedad privateIpGoogleAccess de una subred se configura como false.

  • Entradas adicionales: Lee las subredes del almacenamiento y archiva los resultados solo para clústeres con subredes.
  • Análisis en tiempo real: Sí, pero solo si se actualiza el clúster, no para las actualizaciones de la subred
Cluster secrets encryption disabled

Nombre de categoría en la API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

Descripción del resultado: La encriptación de los Secrets de la capa de la aplicación está inhabilitada en un clúster de GKE.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GKE 1.0: 6.3.1

Verifica la propiedad keyName del objeto databaseEncryption para el par clave-valor "state": ENCRYPTED.

  • Análisis en tiempo real: Sí
Cluster shielded nodes disabled

Nombre de categoría en la API: CLUSTER_SHIELDED_NODES_DISABLED

Descripción de los resultados: Los nodos de GKE protegidos no están habilitados para un clúster.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GKE 1.0: 6.5.5

Verifica la propiedad shieldedNodes para el par clave-valor "enabled": true.

  • Análisis en tiempo real: Sí
COS not used

Nombre de categoría en la API: COS_NOT_USED

Resultado de la descripción: Las VM de Compute Engine no usan Container Optimized OS diseñado para ejecutar contenedores de Docker en Google Cloud de forma segura.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

Comprueba la propiedad config de un grupo de nodos para el par clave-valor, "imageType": "COS".

  • Análisis en tiempo real: Sí
Integrity monitoring disabled

Nombre de categoría en la API: INTEGRITY_MONITORING_DISABLED

Descripción de los resultados: La supervisión de integridad está inhabilitada para un clúster de GKE.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GKE 1.0: 6.5.6

Verifica la propiedad shieldedInstanceConfig del objeto nodeConfig para el par clave-valor "enableIntegrityMonitoring": true.

  • Análisis en tiempo real: Sí
Intranode visibility disabled

Nombre de categoría en la API: INTRANODE_VISIBILITY_DISABLED

Descripción de los resultados: La visibilidad dentro de los nodos está inhabilitada para un clúster de GKE.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GKE 1.0: 6.6.1

Verifica la propiedad networkConfig para el par clave-valor "enableIntraNodeVisibility": true.

  • Análisis en tiempo real: Sí
IP alias disabled

Nombre de categoría en la API: IP_ALIAS_DISABLED

Descripción del resultado: Se creó un clúster de GKE con los rangos de alias de IP inhabilitados.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

Comprueba si el campo useIPAliases de ipAllocationPolicy en un clúster está configurado como false.

  • Análisis en tiempo real: Sí
Legacy authorization enabled

Nombre de categoría en la API: LEGACY_AUTHORIZATION_ENABLED

Descripción del resultado: La autorización heredada está habilitada en los clústeres de GKE.

Nivel de precios: Premium o Estándar

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

Comprueba la propiedad legacyAbac de un clúster para el par clave-valor, "enabled": true.

  • Análisis en tiempo real: Sí
Legacy metadata enabled

Nombre de categoría en la API: LEGACY_METADATA_ENABLED

Descripción del resultado: Los metadatos heredados están habilitados en los clústeres de GKE.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GKE 1.0: 6.4.1

Comprueba la propiedad config de un grupo de nodos para el par clave-valor, "disable-legacy-endpoints": "false".

  • Análisis en tiempo real: Sí
Master authorized networks disabled

Nombre de categoría en la API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Descripción del resultado: Las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

Comprueba la propiedad masterAuthorizedNetworksConfig de un clúster para el par clave-valor, "enabled": false.

  • Análisis en tiempo real: Sí
Network policy disabled

Nombre de categoría en la API: NETWORK_POLICY_DISABLED

Descripción del resultado: La política de red está inhabilitada en los clústeres de GKE.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

Comprueba el campo networkPolicy de la propiedad addonsConfig para el par clave-valor, "disabled": true.

  • Análisis en tiempo real: Sí
Nodepool boot CMEK disabled

Nombre de categoría en la API: NODEPOOL_BOOT_CMEK_DISABLED

Descripción del resultado: Los discos de arranque de este grupo de nodos no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Comprueba la propiedad bootDiskKmsKey de los grupos de nodos para el nombre del recurso de tu CMEK.

  • Análisis en tiempo real: Sí
Nodepool secure boot disabled

Nombre de categoría en la API: NODEPOOL_SECURE_BOOT_DISABLED

Descripción del resultado: El inicio seguro está inhabilitado para un clúster de GKE.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GKE 1.0: 6.5.7

Verifica la propiedad shieldedInstanceConfig del objeto nodeConfig para el par clave-valor "enableSecureBoot": true.

  • Análisis en tiempo real: Sí
Over privileged account

Nombre de categoría en la API: OVER_PRIVILEGED_ACCOUNT

Descripción del resultado: Una cuenta de servicio tiene acceso a proyectos demasiado amplio en un clúster.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

Evalúa la propiedad config de un grupo de nodos para verificar si no se especificó ninguna cuenta de servicio o si se usa la cuenta de servicio predeterminada.

  • Análisis en tiempo real: Sí
Over privileged scopes

Nombre de categoría en la API: OVER_PRIVILEGED_SCOPES

Descripción del resultado: Una cuenta de servicio de nodo tiene permisos de acceso amplios.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
Comprueba si el permiso de acceso que aparece en la propiedad config.oauthScopes de un grupo de nodos es un permiso limitado de acceso a la cuenta de servicio: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write. o https://www.googleapis.com/auth/monitoring.
  • Análisis en tiempo real: Sí
Pod security policy disabled

Nombre de categoría en la API: POD_SECURITY_POLICY_DISABLED

Descripción del resultado: PodSecurityPolicy está inhabilitado en un clúster de GKE.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

Comprueba la propiedad podSecurityPolicyConfig de un clúster para el par clave-valor, "enabled": false.

  • Permisos de IAM adicionales: roles/container.clusterViewer
  • Entradas adicionales: Lee la información del clúster de GKE, ya que las políticas de seguridad de pods son una función Beta. Kubernetes tiene oficialmente PodSecurityPolicy obsoleto en la versión 1.21. PodSecurityPolicy se cerrará en la versión 1.25. Para obtener información sobre las alternativas, consulta Baja de PodSecurityPolicy.
  • Análisis en tiempo real: No
Private cluster disabled

Nombre de categoría en la API: PRIVATE_CLUSTER_DISABLED

Descripción del resultado: Un clúster de GKE tiene un clúster privado inhabilitado.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

Comprueba si el campo enablePrivateNodes de la propiedad privateClusterConfig está configurado como false.

  • Análisis en tiempo real: Sí
Release channel disabled

Nombre de categoría en la API: RELEASE_CHANNEL_DISABLED

Descripción del resultado: Un clúster de GKE no está suscrito a un canal de versiones.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GKE 1.0: 6.5.4

Verifica la propiedad releaseChannel para el par clave-valor "channel": UNSPECIFIED.

  • Análisis en tiempo real: Sí
Web UI enabled

Nombre de categoría en la API: WEB_UI_ENABLED

Descripción del resultado: La IU web de GKE (panel) está habilitada.

Nivel de precios: Premium o Estándar

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

Comprueba el campo kubernetesDashboard de la propiedad addonsConfig para el par clave-valor, "disabled": false.

  • Análisis en tiempo real: Sí
Workload Identity disabled

Nombre de categoría en la API: WORKLOAD_IDENTITY_DISABLED

Descripción del resultado: Workload Identity está inhabilitado en un clúster de GKE.

Nivel de precios: Premium

Recursos compatibles
container.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GKE 1.0: 6.2.2

Comprueba si la propiedad workloadIdentityConfig de un clúster está configurada. El detector también verifica si la propiedad workloadMetadataConfig de un grupo de nodos se configuró como GKE_METADATA.

  • Permisos de IAM adicionales: roles/container.clusterViewer
  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de Dataproc

Las vulnerabilidades de este tipo de detector se relacionan con Dataproc y pertenecen al tipo de detector DATAPROC_SCANNER.

Detector Resumen Configuración de análisis de elementos
Dataproc CMEK disabled

Nombre de categoría en la API: DATAPROC_CMEK_DISABLED

Descripción del hallazgo: Se creó un clúster de Dataproc sin una configuración de encriptación de CMEK. Con CMEK, las claves que creas y administras en Cloud Key Management Service envuelven las claves que usa Google Cloud para encriptar tus datos, lo que te brinda más control sobre el acceso a tus datos. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Recursos compatibles
dataproc.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Comprueba si el campo kmsKeyName en la propiedad encryptionConfiguration está vacío.

  • Análisis en tiempo real: Sí
Dataproc image outdated

Nombre de categoría en la API: DATAPROC_IMAGE_OUTDATED

Descripción de los resultados: Se creó un clúster de Dataproc con una versión de imagen de Dataproc que se ve afectada por las vulnerabilidades de seguridad en la utilidad Apache Log4j 2 (CVE-2021-44228). y CVE-2021-45046.

Nivel de precios: Premium o Estándar

Recursos compatibles
dataproc.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Comprueba si el campo softwareConfig.imageVersion en la propiedad config de un Cluster es anterior a 1.3.95 o es una versión de imagen submenor anterior a la versión 1.4.77, 1.5.53 o 2.0.27.

  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de los conjuntos de datos

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de conjuntos de datos de BigQuery y pertenecen al tipo de detector DATASET_SCANNER.

Detector Resumen Configuración de análisis de elementos
BigQuery table CMEK disabled

Nombre de categoría en la API: BIGQUERY_TABLE_CMEK_DISABLED

Descripción de los resultados: Una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Recursos admitidos
bigquery.googleapis.com/Table

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Comprueba si el campo kmsKeyName en la propiedad encryptionConfiguration está vacío.

  • Análisis en tiempo real: Sí
Dataset CMEK disabled

Nombre de categoría en la API: DATASET_CMEK_DISABLED

Descripción de los resultados: Un conjunto de datos de BigQuery no está configurado para usar una CMEK predeterminada. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Recursos admitidos
bigquery.googleapis.com/Dataset

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Comprueba si el campo kmsKeyName en la propiedad defaultEncryptionConfiguration está vacío.

  • Análisis en tiempo real: No
Public dataset

Nombre de categoría en la API: PUBLIC_DATASET

Descripción del resultado: Un conjunto de datos está configurado para estar abierto al acceso público.

Nivel de precios: Premium o Estándar

Recursos admitidos
bigquery.googleapis.com/Dataset

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica la política de permisos de IAM en metadatos de recursos para las principales allUsers o allAuthenticatedUsers, que otorgan acceso público.

  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de DNS

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Cloud DNS y pertenecen al tipo de detector DNS_SCANNER.

Detector Resumen Configuración de análisis de elementos
DNSSEC disabled

Nombre de categoría en la API: DNSSEC_DISABLED

Descripción del resultado: DNSSEC está inhabilitada para las zonas de Cloud DNS.

Nivel de precios: Premium

Recursos admitidos
dns.googleapis.com/ManagedZone

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Comprueba si el campo state de la propiedad dnssecConfig está configurado como off.

  • Elementos excluidos de los análisis: Zonas de Cloud DNS que no son públicas
  • Análisis en tiempo real: Sí
RSASHA1 for signing

Nombre de categoría en la API: RSASHA1_FOR_SIGNING

Descripción del resultado: RSASHA1 se usa para firmar claves en zonas de Cloud DNS.

Nivel de precios: Premium

Recursos admitidos
dns.googleapis.com/ManagedZone

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Comprueba si el objeto defaultKeySpecs.algorithm de la propiedad dnssecConfig está configurado como rsasha1.

  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de firewall

Las vulnerabilidades de este tipo de detector se relacionan con la configuración del firewall y pertenecen al tipo de detector FIREWALL_SCANNER.

Detector Resumen Configuración de análisis de elementos
Egress deny rule not set

Nombre de categoría en la API: EGRESS_DENY_RULE_NOT_SET

Descripción de resultados: Una regla de denegación de salida no se establece en un firewall. Las reglas de denegación de salida deben configurarse para bloquear el tráfico saliente no deseado.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • PCI-DSS v3.2.1: 7.2

Comprueba si la propiedad destinationRanges en el firewall está configurada como 0.0.0.0/0 y si la propiedad denied contiene el par clave-valor, "IPProtocol": "all".

  • Entradas adicionales: Lee los firewalls de salida de un proyecto desde el almacenamiento.
  • Análisis en tiempo real: Sí, pero solo en los cambios del proyecto, no en los cambios de las reglas de firewall
Firewall rule logging disabled

Nombre de categoría en la API: FIREWALL_RULE_LOGGING_DISABLED

Descripción del resultado: El registro de reglas de firewall está inhabilitado. El registro de las reglas de firewall debe estar habilitado para que puedas auditar el acceso a la red.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad logConfig en los metadatos de firewall para ver si está vacía o contiene el par clave-valor "enable": false.

Open Cassandra port

Nombre de categoría en la API: OPEN_CASSANDRA_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto Cassandra abierto que permita el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Análisis en tiempo real: Sí
Open ciscosecure websm port

Nombre de categoría en la API: OPEN_CISCOSECURE_WEBSM_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto abierto CISCOSECURE_WEBSM que permite el acceso genérico.

Nivel de precios: Premium o Estándar

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos del firewall para el siguiente protocolo y puerto: TCP:9090.

  • Análisis en tiempo real: Sí
Open directory services port

Nombre de categoría en la API: OPEN_DIRECTORY_SERVICES_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto DIRECTORY_SERVICES abierto que permita el acceso genérico.

Nivel de precios: Premium o Estándar

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:445 y UDP:445.

  • Análisis en tiempo real: Sí
Open DNS port

Nombre de categoría en la API: OPEN_DNS_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto DNS abierto que permita el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:53 y UDP:53.

  • Análisis en tiempo real: Sí
Open elasticsearch port

Nombre de categoría en la API: OPEN_ELASTICSEARCH_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto ELASTICSEARCH abierto que permita el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:9200, 9300.

  • Análisis en tiempo real: Sí
Open firewall

Nombre de categoría en la API: OPEN_FIREWALL

Descripción del resultado: Un firewall está configurado para estar abierto al acceso público.

Nivel de precios: Premium o Estándar

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • PCI-DSS v3.2.1: 1.2.1

Verifica las propiedades sourceRanges y allowed para una de las dos opciones de configuración:

  • La propiedad sourceRanges contiene 0.0.0.0/0, y la propiedad allowed contiene una combinación de reglas que incluyen protocol o protocol:port, excepto las siguientes:
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • La propiedad sourceRanges contiene una combinación de rangos de IP que incluye cualquier dirección IP no privada, y la propiedad allowed contiene una combinación de reglas que permiten todos los puertos TCP o udp.
Open FTP port

Nombre de categoría en la API: OPEN_FTP_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto FTP abierto que permite el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos del firewall para el siguiente protocolo y puerto: TCP:21.

  • Análisis en tiempo real: Sí
Open HTTP port

Nombre de categoría en la API: OPEN_HTTP_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto HTTP abierto que permite el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:80.

  • Análisis en tiempo real: Sí
Open LDAP port

Nombre de categoría en la API: OPEN_LDAP_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto LDAP abierto que permita el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:389, 636 y UDP:389.

  • Análisis en tiempo real: Sí
Open Memcached port

Nombre de categoría en la API: OPEN_MEMCACHED_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto MEMCACHED abierto que permite el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:11211, 11214-11215 y UDP:11211, 11214-11215.

  • Análisis en tiempo real: Sí
Open MongoDB port

Nombre de categoría en la API: OPEN_MONGODB_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto MONGODB abierto que permita el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:27017-27019.

  • Análisis en tiempo real: Sí
Open MySQL port

Nombre de categoría en la API: OPEN_MYSQL_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto MYSQL abierto que permita el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos del firewall para el siguiente protocolo y puerto: TCP:3306.

  • Análisis en tiempo real: Sí
Open NetBIOS port

Nombre de categoría en la API: OPEN_NETBIOS_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:137-139 y UDP:137-139.

  • Análisis en tiempo real: Sí
Open OracleDB port

Nombre de categoría en la API: OPEN_ORACLEDB_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto ORACLEDB abierto que permite el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:1521, 2483-2484 y UDP:2483-2484.

  • Análisis en tiempo real: Sí
Open pop3 port

Nombre de categoría en la API: OPEN_POP3_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto POP3 abierto que permita el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos del firewall para el siguiente protocolo y puerto: TCP:110.

  • Análisis en tiempo real: Sí
Open PostgreSQL port

Nombre de categoría en la API: OPEN_POSTGRESQL_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto PostgreSQL abierto que permite el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:5432 y UDP:5432.

  • Análisis en tiempo real: Sí
Open RDP port

Nombre de categoría en la API: OPEN_RDP_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto RDP abierto que permita el acceso genérico.

Nivel de precios: Premium o Estándar

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:3389 y UDP:3389.

  • Análisis en tiempo real: Sí
Open Redis port

Nombre de categoría en la API: OPEN_REDIS_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto REDIS abierto que permita el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba si la propiedad allowed en los metadatos de firewall contiene el siguiente protocolo y puerto: TCP:6379.

  • Análisis en tiempo real: Sí
Open SMTP port

Nombre de categoría en la API: OPEN_SMTP_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto SMTP abierto que permita el acceso genérico.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba si la propiedad allowed en los metadatos de firewall contiene el siguiente protocolo y puerto: TCP:25.

  • Análisis en tiempo real: Sí
Open SSH port

Nombre de categoría en la API: OPEN_SSH_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto SSH abierto que permite el acceso genérico.

Nivel de precios: Premium o Estándar

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Comprueba si la propiedad allowed en los metadatos de firewall contiene los siguientes protocolos y puertos: TCP:22 y SCTP:22.

  • Análisis en tiempo real: Sí
Open Telnet port

Nombre de categoría en la API: OPEN_TELNET_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto TELNET abierto que permita el acceso genérico.

Nivel de precios: Premium o Estándar

Recursos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Comprueba si la propiedad allowed en los metadatos de firewall contiene el siguiente protocolo y puerto: TCP:23.

  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de IAM

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de la administración de identidades y accesos (IAM) y pertenecen al tipo de detector IAM_SCANNER.

Detector Resumen Configuración de análisis de elementos
Access Transparency disabled

Nombre de categoría en la API: ACCESS_TRANSPARENCY_DISABLED

Descripción del problema: La Transparencia de acceso de Google Cloud está inhabilitada en tu organización. La Transparencia de acceso registra cuando los empleados de Google Cloud acceden a los proyectos de tu organización para brindar asistencia. Habilita la Transparencia de acceso para registrar quién de Google Cloud accede a tu información, cuándo y por qué.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14

Verifica si tu organización tiene habilitada la Transparencia de acceso.

  • Análisis en tiempo real: No
Admin service account

Nombre de categoría en la API: ADMIN_SERVICE_ACCOUNT

Descripción de hallazgos: Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estas funciones no se deben asignar a las cuentas de servicio creadas por el usuario.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

Verifica la política de permisos de IAM en los metadatos de recursos para cualquier cuenta de servicio creada por el usuario (indicada por el prefijo iam.gserviceaccount.com), que se les asigna roles/Owner o roles/Editor, o un ID de rol que contiene admin.

  • Elementos excluidos de los análisis: Cuenta de servicio de Container Registry (containerregistry.iam.gserviceaccount.com) y la cuenta de servicio de Security Command Center (security-center-api.iam.gserviceaccount.com)
  • Análisis en tiempo real: Sí, a menos que la actualización de IAM se realice en una carpeta
Essential Contacts Not Configured

Nombre de categoría en la API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

Descripción del problema: Tu organización no designó a una persona o un grupo para que reciba notificaciones de Google Cloud sobre eventos importantes, como ataques, vulnerabilidades y incidentes de datos dentro de tu organización de Google Cloud. Te recomendamos que designes como Contacto esencial a una o más personas o grupos de tu organización comercial.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

Verifica que se especifique un contacto para las siguientes categorías de contacto esenciales:

  • Legal
  • Seguridad
  • Suspensión
  • Técnico

  • Análisis en tiempo real: No
KMS role separation

Nombre de categoría en la API: KMS_ROLE_SEPARATION

Descripción del resultado: No se aplica la separación de obligaciones, y existe un usuario que tiene cualquiera de las siguientes funciones de Cloud Key Management Service (Cloud KMS) al mismo tiempo: Encriptador/desencriptador de CryptoKey, Encriptador o Desencriptador.

Este hallazgo no está disponible para las activaciones a nivel del proyecto.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Verifica las políticas de permisos de IAM en metadatos de recursos y recupera los miembros a los que se les asignó alguna de los siguientes roles al mismo tiempo: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter y roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer
    .
  • Análisis en tiempo real: Sí
Non org IAM member

Nombre de categoría en la API: NON_ORG_IAM_MEMBER

Descripción del resultado: Hay un usuario que no usa credenciales de organización. Según CIS para GCP Foundations 1.0, por el momento, solo las identidades con direcciones de correo electrónico @gmail.com activan este detector.

Nivel de precios: Premium o Estándar

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Compara las direcciones de correo electrónico @gmail.com en el campo user de los metadatos de la política de permisos de IAM con una lista de identidades aprobadas para tu organización.

  • Análisis en tiempo real: Sí
Open group IAM member

Nombre de categoría en la API: OPEN_GROUP_IAM_MEMBER

Descripción de los resultados: Se usa una cuenta de Grupos de Google que se puede unir sin aprobación como principal de la política de permisos de IAM.

Nivel de precios: Premium o Estándar

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Verifica la política de IAM en los metadatos de recursos en busca de vinculaciones que contengan un miembro (principal) con el prefijo group. Si el grupo es abierto, Security Health Analytics genera este resultado.
  • Entradas adicionales: Lee los metadatos de Grupos de Google para verificar si el grupo identificado es un grupo abierto.
  • Análisis en tiempo real: No
Over privileged service account user

Nombre de categoría en la API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Descripción del resultado: Un usuario tiene la función Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel de proyecto, en lugar de una cuenta de servicio específica.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Verifica la política de permisos de IAM en los metadatos de recursos para cualquier miembro asignado roles/iam.serviceAccountUser o roles/iam.serviceAccountTokenCreator a nivel de proyecto.
  • Elementos excluidos de los análisis: Cuentas de servicio de Cloud Build
  • Análisis en tiempo real: Sí
Primitive roles used

Nombre de categoría en la API: PRIMITIVE_ROLES_USED

Descripción del resultado: Un usuario tiene uno de los siguientes roles básicos:

  • Propietario (roles/owner)
  • Editor (roles/editor)
  • Visualizador (roles/viewer)

Estos roles son demasiado permisivos y no deben usarse.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Verifica la política de permisos de IAM en los metadatos de recursos para cualquier miembro al que se le asigne un rol roles/owner, roles/editor o roles/viewer.

  • Análisis en tiempo real: Sí
Redis role used on org

Nombre de categoría en la API: REDIS_ROLE_USED_ON_ORG

Descripción de los hallazgos: Una función de IAM de Redis se asigna a nivel de organización o carpeta.

Este hallazgo no está disponible para las activaciones a nivel del proyecto.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization

Corrige este hallazgo

Estándares de cumplimiento:

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Verifica la política de permisos de IAM en metadatos de recursos para miembros asignados roles/redis.admin, roles/redis.editor, roles/redis.viewer a nivel de organización o carpeta.

  • Análisis en tiempo real: Sí
Service account role separation

Nombre de categoría en la API: SERVICE_ACCOUNT_ROLE_SEPARATION

Descripción del resultado: Se asignaron a un usuario las funciones de administrador de cuentas de servicio y usuario de cuentas de servicio. Esto infringe el principio de “Separación de obligaciones”.

Este hallazgo no está disponible para las activaciones a nivel del proyecto.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Comprueba la política de permisos de IAM en los metadatos de recursos para cualquier miembro asignado tanto roles/iam.serviceAccountUser como roles/iam.serviceAccountAdmin.
  • Análisis en tiempo real: Sí
Service account key not rotated

Nombre de categoría en la API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Descripción de los hallazgos: La clave de una cuenta de servicio no se rotó por más de 90 días.

Nivel de precios: Premium

Recursos admitidos
iam.googleapis.com/ServiceAccountKey

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7

Evalúa la marca de tiempo de creación de claves capturada en la propiedad validAfterTime en los metadatos de las claves de las cuentas de servicio.

  • Elementos excluidos de los análisis: claves de cuentas de servicio vencidas y claves no administradas por los usuarios
  • Análisis en tiempo real: Sí
User managed service account key

Nombre de categoría en la API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Descripción del resultado: Un usuario administra una clave de cuenta de servicio.

Nivel de precios: Premium

Recursos admitidos
iam.googleapis.com/ServiceAccountKey

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4

Comprueba si la propiedad keyType en los metadatos de la clave de la cuenta de servicio está configurada en User_Managed.

  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de KMS

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud KMS y pertenecen al tipo de detector KMS_SCANNER.

Detector Resumen Configuración de análisis de elementos
KMS key not rotated

Nombre de categoría en la API: KMS_KEY_NOT_ROTATED

Descripción de los hallazgos: La rotación no se configura en una clave de encriptación de Cloud KMS. La encriptación de claves se debe rotar en un período de 90 días

Nivel de precios: Premium

Elementos admitidos
cloudkms.googleapis.com/CryptoKey

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.8
  • CIS GCP Foundation 1.1: 1.10
  • CIS GCP Foundation 1.2: 1.10
  • CIS GCP Foundation 1.3: 1.10
  • CIS GCP Foundation 2.0: 1.10
  • NIST 800-53 R4: SC-12
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2013: A.10.1.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Verifica los metadatos de los recursos para la existencia de propiedades rotationPeriod o nextRotationTime.

  • Elementos excluidos de los análisis: Claves y claves asimétricas con versiones principales inhabilitadas o destruidas
  • Análisis en tiempo real: Sí
KMS project has owner

Nombre de categoría en la API: KMS_PROJECT_HAS_OWNER

Descripción de los hallazgos: Un usuario tiene permisos de Propietario en un proyecto que tiene claves criptográficas.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 1.2: 1.11
  • CIS GCP Foundation 1.3: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-6, SC-12
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica la política de permisos de IAM en los metadatos del proyecto para los miembros asignados roles/Owner.

  • Entradas adicionales: Lee las claves criptográficas de un proyecto desde el almacenamiento y archiva los resultados solo para proyectos con claves criptográficas.
  • Análisis en tiempo real: Sí, pero solo en los cambios de la política de permisos de IAM, no en los cambios en las claves de KMS
KMS public key

Nombre de categoría en la API: KMS_PUBLIC_KEY

Descripción de los hallazgos: Una clave criptográfica de Cloud KMS es de acceso público.

Nivel de precios: Premium

Recursos admitidos
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 1.9
  • CIS GCP Foundation 1.2: 1.9
  • CIS GCP Foundation 1.3: 1.9
  • CIS GCP Foundation 2.0: 1.9
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica la política de permisos de IAM en metadatos de recursos para las principales allUsers o allAuthenticatedUsers, que otorgan acceso público.

  • Análisis en tiempo real: Sí
Too many KMS users

Nombre de categoría en la API: TOO_MANY_KMS_USERS

Descripción del resultado: Hay más de tres usuarios de claves criptográficas.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Elementos admitidos
cloudkms.googleapis.com/CryptoKey

Corrige este hallazgo

Estándares de cumplimiento:

  • PCI-DSS v3.2.1: 3.5.2
  • ISO-27001 v2013: A.9.2.3
Comprueba las políticas de permisos de IAM para llaveros de claves, proyectos y organizaciones, y recupera miembros con roles que les permiten encriptar, desencriptar o firmar datos con claves de Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer y roles/cloudkms.signerVerifier
    .
  • Entradas adicionales: Lee las versiones de claves criptográficas de una clave criptográfica desde el almacenamiento, lo que presenta resultados solo para claves con versiones activas. El detector también lee las políticas de permisos de IAM de llavero de claves, proyecto y organización desde el almacenamiento.
  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de registros

Las vulnerabilidades de este tipo de detector se relacionan con la configuración del registro y pertenecen al tipo de detector LOGGING_SCANNER.

Detector Resumen Configuración de análisis de elementos
Audit logging disabled

Nombre de categoría en la API: AUDIT_LOGGING_DISABLED

Descripción de los hallazgos: Se inhabilitó el registro de auditoría para este recurso.

Este hallazgo no está disponible para las activaciones a nivel del proyecto.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 2.1
  • CIS GCP Foundation 1.1: 2.1
  • CIS GCP Foundation 1.2: 2.1
  • CIS GCP Foundation 1.3: 2.1
  • CIS GCP Foundation 2.0: 2.1
  • NIST 800-53 R4: AC-2, AU-2
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v3.2.1: 10.1, 10.2
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2013: A.12.4.1, A.16.1.7
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2

Verifica la política de permisos de IAM en los metadatos de recursos para la existencia de un objeto auditLogConfigs.

  • Análisis en tiempo real: Sí
Bucket logging disabled

Nombre de categoría en la API: BUCKET_LOGGING_DISABLED

Descripción del resultado: Hay un bucket de almacenamiento sin el registro habilitado.

Nivel de precios: Premium

Recursos admitidos
storage.googleapis.com/Bucket

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 5.3

Comprueba si el campo logBucket en la propiedad logging del bucket está vacío.

  • Análisis en tiempo real: Sí
Locked retention policy not set

Nombre de categoría en la API: LOCKED_RETENTION_POLICY_NOT_SET

Descripción del resultado: Una política de retención bloqueada no se establece para los registros.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos admitidos
storage.googleapis.com/Bucket

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 2.3
  • CIS GCP Foundation 1.2: 2.3
  • CIS GCP Foundation 1.3: 2.3
  • CIS GCP Foundation 2.0: 2.3
  • NIST 800-53 R4: AU-11
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 10.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.12.4.2, A.18.1.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Comprueba si el campo isLocked en la propiedad retentionPolicy del bucket está configurado como true.

  • Entradas adicionales: Lee el receptor de registros (el filtro y el destino del registro) para un bucket a fin de determinar si es un bucket de registro.
  • Análisis en tiempo real: Sí
Log not exported

Nombre de categoría en la API: LOG_NOT_EXPORTED

Descripción de los hallazgos: Hay un recurso que no tiene configurado un receptor de registros adecuado.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 2.2
  • CIS GCP Foundation 1.1: 2.2
  • CIS GCP Foundation 1.2: 2.2
  • CIS GCP Foundation 1.3: 2.2
  • CIS GCP Foundation 2.0: 2.2
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2013: A.18.1.3
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.3

Recupera un objeto logSink de un proyecto y verifica que el campo includeChildren esté configurado como true, el campo destination incluye la ubicación en la que se deben escribir los registros y se propaga el campo filter.

  • Entradas adicionales: Lee el receptor de registros (el filtro y el destino del registro) para un bucket a fin de determinar si es un bucket de registro.
  • Análisis en tiempo real: Sí, pero solo en cambios de proyecto, no si la exportación de registros se configura en una organización o carpeta
Object versioning disabled

Nombre de categoría en la API: OBJECT_VERSIONING_DISABLED

Descripción del resultado: El control de versiones de objetos no está habilitado en un bucket de almacenamiento en el que están configurados los receptores.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos admitidos
storage.googleapis.com/Bucket

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 2.3
  • NIST 800-53 R4: AU-11
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3

Comprueba si el campo enabled en la propiedad versioning del bucket está configurado como true.

  • Elementos excluidos del análisis: buckets de Cloud Storage con una política de retención bloqueada
  • Entradas adicionales: Lee el receptor de registros (el filtro y el destino del registro) para un bucket a fin de determinar si es un bucket de registro.
  • Análisis en tiempo real: Sí, pero solo si cambia el control de versiones de los objetos, no si se crean buckets de registros

Resultados de las vulnerabilidades de Monitoring

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de supervisión y pertenecen al tipo MONITORING_SCANNER. Todas las propiedades del hallazgo del detector de Monitoring incluyen lo siguiente:

  • El RecommendedLogFilter que se usará para crear las métricas de registro.
  • El QualifiedLogMetricNames que cubre las condiciones que se enumeran en el filtro de registro recomendado.
  • El AlertPolicyFailureReasons que indica si el proyecto no tiene políticas de alerta creadas para cualquiera de las métricas de registro calificadas o si las políticas de alertas existentes no tienen la configuración recomendada.
Detector Resumen Configuración de análisis de elementos
Audit config not monitored

Nombre de categoría en la API: AUDIT_CONFIG_NOT_MONITORED

Descripción del resultado: Las métricas y alertas de registro no están configuradas para supervisar los cambios de la configuración de auditoría.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 2.5
  • CIS GCP Foundation 1.1: 2.5
  • CIS GCP Foundation 1.2: 2.5
  • CIS GCP Foundation 1.3: 2.5
  • CIS GCP Foundation 2.0: 2.5
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se establece en protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* y, si se especifica resource.type, el valor es global. El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud Observability de Google Cloud Observability y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis en tiempo real: No
Bucket IAM not monitored

Nombre de categoría en la API: BUCKET_IAM_NOT_MONITORED

Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 2.10
  • CIS GCP Foundation 1.1: 2.10
  • CIS GCP Foundation 1.2: 2.10
  • CIS GCP Foundation 1.3: 2.10
  • CIS GCP Foundation 2.0: 2.10
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions". El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud Observability de Google Cloud Observability y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis en tiempo real: No
Custom role not monitored

Nombre de categoría en la API: CUSTOM_ROLE_NOT_MONITORED

Descripción de los hallazgos: Las métricas y alertas de registro no están configuradas para supervisar los cambios de funciones personalizadas.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 2.6
  • CIS GCP Foundation 1.1: 2.6
  • CIS GCP Foundation 1.2: 2.6
  • CIS GCP Foundation 1.3: 2.6
  • CIS GCP Foundation 2.0: 2.6
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole"). El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud Observability de Google Cloud Observability y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis en tiempo real: No
Firewall not monitored

Nombre de categoría en la API: FIREWALL_NOT_MONITORED

Descripción de los resultados: Las métricas y alertas de registros no están configuradas para supervisar los cambios de la regla de firewall de la red de nube privada virtual (VPC).

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 2.7
  • CIS GCP Foundation 1.1: 2.7
  • CIS GCP Foundation 1.2: 2.7
  • CIS GCP Foundation 1.3: 2.7
  • CIS GCP Foundation 2.0: 2.7
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete"). El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud Observability de Google Cloud Observability y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis en tiempo real: No
Network not monitored

Nombre de categoría en la API: NETWORK_NOT_MONITORED

Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios de la red de VPC

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 2.9
  • CIS GCP Foundation 1.1: 2.9
  • CIS GCP Foundation 1.2: 2.9
  • CIS GCP Foundation 1.3: 2.9
  • CIS GCP Foundation 2.0: 2.9
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering"). El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud Observability de Google Cloud Observability y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis en tiempo real: No
Owner not monitored

Nombre de categoría en la API: OWNER_NOT_MONITORED

Descripción del resultado: Las métricas y alertas de registros no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 2.4
  • CIS GCP Foundation 1.1: 2.4
  • CIS GCP Foundation 1.2: 2.4
  • CIS GCP Foundation 1.3: 2.4
  • CIS GCP Foundation 2.0: 2.4
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se establece en (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") y, si se especifica resource.type, el valor es global. El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud Observability de Google Cloud Observability y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis en tiempo real: No
Route not monitored

Nombre de categoría en la API: ROUTE_NOT_MONITORED

Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert"). El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud Observability de Google Cloud Observability y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis en tiempo real: No
SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios en la configuración de la instancia de Cloud SQL.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se establece en protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete" y, si se especifica resource.type, el valor es global. El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud Observability de Google Cloud Observability y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis en tiempo real: No

Resultados de autenticación de varios factores

El detector MFA_SCANNER identifica vulnerabilidades relacionadas con la autenticación de varios factores para los usuarios.

Detector Resumen Configuración de análisis de elementos
MFA not enforced

Nombre de categoría en la API: MFA_NOT_ENFORCED

Hay usuarios que no usan la verificación en 2 pasos.

Google Workspace te permite especificar un período de gracia para la inscripción para los usuarios nuevos durante el cual deben inscribirse en la verificación en 2 pasos. Este detector sí crea resultados para los usuarios durante el período de gracia de inscripción.

Este hallazgo no está disponible para las activaciones a nivel del proyecto.

Nivel de precios: Premium o Estándar

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 1.2
  • CIS GCP Foundation 1.1: 1.2
  • CIS GCP Foundation 1.2: 1.2
  • CIS GCP Foundation 1.3: 1.2
  • CIS GCP Foundation 2.0: 1.2
  • NIST 800-53 R4: IA-2
  • PCI-DSS v3.2.1: 8.3
  • ISO-27001 v2013: A.9.4.2
  • ISO-27001 v2022: A.8.5

Evalúa las políticas de administración de identidades en las organizaciones y la configuración de usuarios para cuentas administradas en Cloud Identity.

  • Elementos excluidos de los análisis: Las unidades de la organización otorgadas excepciones a la política
  • Entradas adicionales: Lee datos de Google Workspace.
  • Análisis en tiempo real: No

Resultados de las vulnerabilidades de la red

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de red de una organización y pertenecen al tipo NETWORK_SCANNER.

Detector Resumen Configuración de análisis de elementos
Default network

Nombre de categoría en la API: DEFAULT_NETWORK

Descripción del resultado: La red predeterminada existe en un proyecto.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos admitidos
compute.googleapis.com/Network

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 3.1
  • CIS GCP Foundation 1.1: 3.1
  • CIS GCP Foundation 1.2: 3.1
  • CIS GCP Foundation 1.3: 3.1
  • CIS GCP Foundation 2.0: 3.1
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Comprueba si la propiedad name en los metadatos de red está configurada en default.

  • Elementos excluidos de los análisis: Proyectos en los que la API de Compute Engine está inhabilitada y los recursos de Compute Engine están inmovilizados
  • Análisis en tiempo real: Sí
DNS logging disabled

Nombre de categoría en la API: DNS_LOGGING_DISABLED

Descripción de búsqueda: El registro DNS en una red de VPC no está habilitado.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos admitidos
compute.googleapis.com/Network
dns.googleapis.com/Policy

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 2.12
  • CIS GCP Foundation 1.3: 2.12
  • CIS GCP Foundation 2.0: 2.12
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2, 8.6

Comprueba todas las policies asociadas con una red de VPC a través del campo networks[].networkUrl y busca al menos una política que tenga enableLogging establecido en true.

  • Elementos excluidos de los análisis: Proyectos en los que la API de Compute Engine está inhabilitada y los recursos de Compute Engine están inmovilizados
  • Análisis en tiempo real: Sí
Legacy network

Nombre de categoría en la API: LEGACY_NETWORK

Descripción del resultado: Existe una red heredada en un proyecto.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos admitidos
compute.googleapis.com/Network

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 3.2
  • CIS GCP Foundation 1.1: 3.2
  • CIS GCP Foundation 1.2: 3.2
  • CIS GCP Foundation 1.3: 3.2
  • CIS GCP Foundation 2.0: 3.2
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Comprueba la existencia de metadatos de red para la existencia de la propiedad IPv4Range.

  • Elementos excluidos de los análisis: Proyectos en los que la API de Compute Engine está inhabilitada y los recursos de Compute Engine están inmovilizados
  • Análisis en tiempo real: Sí
Load balancer logging disabled

Nombre de categoría en la API: LOAD_BALANCER_LOGGING_DISABLED

Descripción del resultado: El registro está inhabilitado para el balanceador de cargas.

Nivel de precios: Premium

Recursos admitidos
compute.googleapis.com/BackendServices

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 2.0: 2.16
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2

Comprueba si la propiedad enableLogging del servicio de backend en el balanceador de cargas está configurada en true.

  • Análisis en tiempo real: Sí

Hallazgos de las vulnerabilidades de las políticas de la organización

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de las restricciones de Política de la organización y pertenecen al tipo ORG_POLICY.

Detector Resumen Configuración de análisis de elementos
Org policy Confidential VM policy

Nombre de categoría en la API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Descripción del resultado: Un recurso de Compute Engine no cumple con la política de la organización constraints/compute.restrictNonConfidentialComputing. Para obtener más información sobre esta restricción de la política de la organización, consulta Aplica restricciones de políticas de la organización en Confidential VM.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Comprueba si la propiedad enableConfidentialCompute de una instancia de Compute Engine está configurada como true.

  • Elementos excluidos de los análisis: Instancias de GKE
  • Permisos de IAM adicionales: permissions/orgpolicy.policy.get
  • Entradas adicionales: Lee la política vigente de la organización del servicio de políticas de la organización.
  • Análisis en tiempo real: No
Org policy location restriction

Nombre de categoría en la API: ORG_POLICY_LOCATION_RESTRICTION

Descripción de los resultados: Un recurso de Compute Engine no cumple con la restricción constraints/gcp.resourceLocations. Para obtener más información sobre esta restricción de políticas de la organización, consulta Aplica restricciones de políticas de la organización.

En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.

Nivel de precios: Premium

Recursos admitidos
En la siguiente fila, consulta Recursos admitidos para ORG_POLICY_LOCATION_RESTRICTION

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Comprueba la propiedad listPolicy en los metadatos de recursos admitidos para obtener una lista de las ubicaciones permitidas o denegadas.

  • Permisos de IAM adicionales: permissions/orgpolicy.policy.get
  • Entradas adicionales: Lee la política vigente de la organización del servicio de políticas de la organización.
  • Análisis en tiempo real: No

Elementos admitidos para ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Registros
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Registro de artefactos
artifactregistry.googleapis.com/Repository

1 Debido a que los activos de Cloud KMS no se pueden borrar, el activo no se considera fuera de la región si se destruyeron sus datos.

2 Debido a que los trabajos de importación de Cloud KMS tienen un ciclo de vida controlado y no se pueden finalizar de forma anticipada, un ImportJob no se considera fuera de la región si el trabajo venció y ya no se puede usar para importar claves.

3 Debido a que no se puede administrar el ciclo de vida de los trabajos de Dataflow, un trabajo no se considera fuera de la región una vez que alcanza un estado terminal (detenido o desviado), en el que ya no se pueden usar para procesar datos.

Resultados de vulnerabilidades de Pub/Sub

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Pub/Sub y pertenecen al tipo PUBSUB_SCANNER.

Detector Resumen Configuración de análisis de elementos
Pubsub CMEK disabled

Nombre de categoría en la API: PUBSUB_CMEK_DISABLED

Descripción del resultado: Un tema de Pub/Sub no se encripta con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Recursos admitidos
pubsub.googleapis.com/Topic

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Comprueba el campo kmsKeyName para el nombre del recurso de tu CMEK.

  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de SQL

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud SQL y pertenecen al tipo SQL_SCANNER.

Detector Resumen Configuración de análisis de elementos
AlloyDB auto backup disabled

Nombre de categoría en la API: ALLOYDB_AUTO_BACKUP_DISABLED

Descripción del hallazgo: Un clúster de AlloyDB para PostgreSQL no tiene habilitadas las copias de seguridad automáticas.

Nivel de precios: Premium

Recursos compatibles
alloydb.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Comprueba si la propiedad automated_backup_policy.enabled en los metadatos de un clúster de AlloyDB para PostgreSQL está configurada en true.

  • Elementos excluidos de los análisis: Clústeres secundarios de AlloyDB para PostgreSQL
  • Análisis en tiempo real: Sí
AlloyDB backups disabled

Nombre de categoría en la API: ALLOYDB_BACKUPS_DISABLED

Descripción del resultado: Un clúster de AlloyDB para PostgreSQL no tiene habilitadas las copias de seguridad.

Nivel de precios: Premium

Recursos compatibles
alloydb.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Comprueba si las propiedades automated_backup_policy.enabled o continuous_backup_policy.enabled en los metadatos de un clúster de AlloyDB para PostgreSQL están configuradas en true.

  • Elementos excluidos de los análisis: Clústeres secundarios de AlloyDB para PostgreSQL
  • Análisis en tiempo real: Sí
AlloyDB CMEK disabled

Nombre de categoría en la API: ALLOYDB_CMEK_DISABLED

Descripción del resultado: Un clúster de AlloyDB no está encriptado con claves de encriptación administradas por el cliente (CMEK).

Nivel de precios: Premium

Recursos compatibles
alloydb.googleapis.com/Cluster

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Comprueba el campo encryption_type en los metadatos del clúster para determinar si la CMEK está habilitada.

  • Análisis en tiempo real: Sí
AlloyDB log min error statement severity

Nombre de categoría en la API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Descripción de los hallazgos: La marca de la base de datos log_min_error_statement para una instancia de AlloyDB para PostgreSQL no está configurada como error ni en otro valor recomendado.

Nivel de precios: Premium

Recursos compatibles
alloydb.googleapis.com/Instances

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Para garantizar una cobertura adecuada de los tipos de mensajes en los registros, emite un hallazgo si el campo log_min_error_statement de la propiedad databaseFlags no está configurado en uno de los siguientes valores: debug5, debug4, debug3, debug2, debug1, info, notice, warning o el valor predeterminado error.

  • Análisis en tiempo real: Sí
AlloyDB log min messages

Nombre de categoría en la API: ALLOYDB_LOG_MIN_MESSAGES

Descripción de los hallazgos: La marca de la base de datos log_min_messages de una instancia de AlloyDB para PostgreSQL no está configurada como warning ni en otro valor recomendado.

Nivel de precios: Premium

Recursos compatibles
alloydb.googleapis.com/Instances

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Para garantizar una cobertura adecuada de los tipos de mensajes en los registros, emite un hallazgo si el campo log_min_messages de la propiedad databaseFlags no está configurado en uno de los siguientes valores: debug5, debug4, debug3, debug2, debug1, info, notice o el valor predeterminado warning.

  • Análisis en tiempo real: Sí
AlloyDB log error verbosity

Nombre de categoría en la API: ALLOYDB_LOG_ERROR_VERBOSITY

Descripción de los hallazgos: La marca de la base de datos log_error_verbosity para una instancia de AlloyDB para PostgreSQL no está configurada como default ni en otro valor recomendado.

Nivel de precios: Premium

Recursos compatibles
alloydb.googleapis.com/Instances

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Para garantizar una cobertura adecuada de los tipos de mensajes en los registros, emite un hallazgo si el campo log_error_verbosity de la propiedad databaseFlags no está configurado en uno de los siguientes valores: verbose o el valor predeterminado default.

  • Análisis en tiempo real: Sí
AlloyDB public IP

Nombre de categoría en la API: ALLOYDB_PUBLIC_IP

Descripción del hallazgo: Una instancia de base de datos de AlloyDB para PostgreSQL tiene una dirección IP pública.

Nivel de precios: Premium

Recursos compatibles
alloydb.googleapis.com/Instances

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Comprueba si el campo enablePublicIp de la propiedad instanceNetworkConfig está configurado para permitir direcciones IP públicas.

  • Análisis en tiempo real: Sí
AlloyDB SSL not enforced

Nombre de categoría en la API: ALLOYDB_SSL_NOT_ENFORCED

Descripción del resultado: Una instancia de base de datos de AlloyDB para PostgreSQL no requiere que todas las conexiones entrantes usen SSL.

Nivel de precios: Premium

Recursos compatibles
alloydb.googleapis.com/Instances

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Comprueba si la propiedad sslMode de la instancia de AlloyDB para PostgreSQL está configurada en ENCRYPTED_ONLY.

  • Análisis en tiempo real: Sí
Auto backup disabled

Nombre de categoría en la API: AUTO_BACKUP_DISABLED

Descripción del resultado: Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 6.7
  • CIS GCP Foundation 1.2: 6.7
  • CIS GCP Foundation 1.3: 6.7
  • CIS GCP Foundation 2.0: 6.7
  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)
  • CIS Controls 8.0: 11.2

Comprueba si la propiedad backupConfiguration.enabled de un dato de Cloud SQL está configurado como true.

  • Elementos excluidos de los análisis: Réplicas de Cloud SQL
  • Entradas adicionales: Lee las políticas de permisos de IAM para los principales del almacenamiento de recursos de Security Health Analytics.
  • Análisis en tiempo real: Sí
Public SQL instance

Nombre de categoría en la API: PUBLIC_SQL_INSTANCE

Descripción de los hallazgos: Una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP.

Nivel de precios: Premium o Estándar

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 6.2
  • CIS GCP Foundation 1.1: 6.5
  • CIS GCP Foundation 1.2: 6.5
  • CIS GCP Foundation 1.3: 6.5
  • CIS GCP Foundation 2.0: 6.5
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Comprueba si la propiedad authorizedNetworks de instancias de Cloud SQL está configurada en una dirección IP única o en un rango de direcciones IP.

  • Análisis en tiempo real: Sí
SSL not enforced

Nombre de categoría en la API: SSL_NOT_ENFORCED

Descripción del resultado: Una instancia de base de datos de Cloud SQL no necesita que todas las conexiones entrantes usen SSL.

Nivel de precios: Premium o Estándar

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Comprueba si la propiedad sslMode de la instancia de Cloud SQL está configurada en un modo SSL aprobado, ya sea ENCRYPTED_ONLY o TRUSTED_CLIENT_CERTIFICATE_REQUIRED.

  • Análisis en tiempo real: Sí
SQL CMEK disabled

Nombre de categoría en la API: SQL_CMEK_DISABLED

Descripción del resultado: Una instancia de base de datos SQL no está encriptada con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Comprueba el campo kmsKeyName del objeto diskEncryptionKey, en los metadatos de la instancia, para el nombre del recurso de tu CMEK.

  • Análisis en tiempo real: Sí
SQL contained database authentication

Nombre de categoría en la API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Descripción de los hallazgos: La marca de la base de datos contained database authentication de una instancia de Cloud SQL para SQL Server no está configurada como off.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 6.3.2
  • CIS GCP Foundation 1.2: 6.3.7
  • CIS GCP Foundation 1.3: 6.3.7
  • CIS GCP Foundation 2.0: 6.3.7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Comprueba la propiedad databaseFlags de los metadatos de la instancia para el par clave-valor, "name": "contained database authentication", "value": "on" o si está habilitado de forma predeterminada.

  • Análisis en tiempo real: Sí
SQL cross DB ownership chaining

Nombre de categoría en la API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Descripción de los hallazgos: La marca de la base de datos cross_db_ownership_chaining de una instancia de Cloud SQL para SQL Server no está configurada como off.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 6.3.1
  • CIS GCP Foundation 1.2: 6.3.2
  • CIS GCP Foundation 1.3: 6.3.2
  • CIS GCP Foundation 2.0: 6.3.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "cross_db_ownership_chaining", "value": "on".

  • Análisis en tiempo real: Sí
SQL external scripts enabled

Nombre de categoría en la API: SQL_EXTERNAL_SCRIPTS_ENABLED

Descripción de los hallazgos: La marca de la base de datos external scripts enabled de una instancia de Cloud SQL para SQL Server no está configurada como off.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.3.1
  • CIS GCP Foundation 1.3: 6.3.1
  • CIS GCP Foundation 2.0: 6.3.1
  • NIST 800-53 R5: CM-7, SI-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3
  • NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3
  • SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4
  • CIS Controls 8.0: 2.7

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "external scripts enabled", "value": "off".

  • Análisis en tiempo real: Sí
SQL local infile

Nombre de categoría en la API: SQL_LOCAL_INFILE

Descripción de los hallazgos: La marca de la base de datos local_infile de una instancia de Cloud SQL para MySQL no se configuró como off.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 6.1.2
  • CIS GCP Foundation 1.2: 6.1.3
  • CIS GCP Foundation 1.3: 6.1.3
  • CIS GCP Foundation 2.0: 6.1.3
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 2.2.1
  • ISO-27001 v2022: A.8.8
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • CIS Controls 8.0: 16.7

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "local_infile", "value": "on".

  • Análisis en tiempo real: Sí
SQL log checkpoints disabled

Nombre de categoría en la API: SQL_LOG_CHECKPOINTS_DISABLED

Descripción de los hallazgos: La marca de la base de datos log_checkpoints para una instancia de Cloud SQL para PostgreSQL no está configurada como on.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 6.2.1
  • CIS GCP Foundation 1.2: 6.2.1

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_checkpoints", "value": "on".

  • Análisis en tiempo real: Sí
SQL log connections disabled

Nombre de categoría en la API: SQL_LOG_CONNECTIONS_DISABLED

Descripción de los hallazgos: La marca de la base de datos log_connections para una instancia de Cloud SQL para PostgreSQL no está configurada como on.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 6.2.2
  • CIS GCP Foundation 1.2: 6.2.3
  • CIS GCP Foundation 1.3: 6.2.2
  • CIS GCP Foundation 2.0: 6.2.2
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_connections", "value": "on".

  • Análisis en tiempo real: Sí
SQL log disconnections disabled

Nombre de categoría en la API: SQL_LOG_DISCONNECTIONS_DISABLED

Descripción de los hallazgos: La marca de la base de datos log_disconnections de una instancia de Cloud SQL para PostgreSQL no está configurada como on.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 6.2.3
  • CIS GCP Foundation 1.2: 6.2.4
  • CIS GCP Foundation 1.3: 6.2.3
  • CIS GCP Foundation 2.0: 6.2.3
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_disconnections", "value": "on".

  • Análisis en tiempo real: Sí
SQL log duration disabled

Nombre de categoría en la API: SQL_LOG_DURATION_DISABLED

Descripción de los hallazgos: La marca de la base de datos log_duration de una instancia de Cloud SQL para PostgreSQL no está configurada como on.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.2.5

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_duration", "value": "on".

  • Análisis en tiempo real: Sí
SQL log error verbosity

Nombre de categoría en la API: SQL_LOG_ERROR_VERBOSITY

Descripción de los hallazgos: La marca de la base de datos log_error_verbosity para una instancia de Cloud SQL para PostgreSQL no está configurada como default o verbose.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.2.2
  • CIS GCP Foundation 1.3: 6.2.1
  • CIS GCP Foundation 2.0: 6.2.1
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Comprueba si la propiedad databaseFlags de los metadatos de la instancia para el campo log_error_verbosity está configurada en default o verbose.

  • Análisis en tiempo real: Sí
SQL log lock waits disabled

Nombre de categoría en la API: SQL_LOG_LOCK_WAITS_DISABLED

Descripción de los hallazgos: La marca de la base de datos log_lock_waits para una instancia de Cloud SQL para PostgreSQL no está configurada como on.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 6.2.4
  • CIS GCP Foundation 1.2: 6.2.6

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_lock_waits", "value": "on".

  • Análisis en tiempo real: Sí
SQL log min duration statement enabled

Nombre de categoría en la API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Descripción de los hallazgos: La marca de la base de datos log_min_duration_statement de una instancia de Cloud SQL para PostgreSQL no está configurada como “-1”.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 6.2.7
  • CIS GCP Foundation 1.2: 6.2.16
  • CIS GCP Foundation 1.3: 6.2.8
  • CIS GCP Foundation 2.0: 6.2.7
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_min_duration_statement", "value": "-1".

  • Análisis en tiempo real: Sí
SQL log min error statement

Nombre de categoría en la API: SQL_LOG_MIN_ERROR_STATEMENT

Descripción de los hallazgos: La marca de la base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no se configuró de forma adecuada.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 6.2.5

Comprueba si el campo log_min_error_statement de la propiedad databaseFlags se configura como uno de los siguientes valores: debug5, debug4, debug3, debug2, debug1, info, notice, warning o el valor predeterminado error.

  • Análisis en tiempo real: Sí
SQL log min error statement severity

Nombre de categoría en la API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Descripción de los resultados: La marca de la base de datos log_min_error_statement de una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.2.14
  • CIS GCP Foundation 1.3: 6.2.7
  • CIS GCP Foundation 2.0: 6.2.6
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Comprueba si el campo log_min_error_statement de la propiedad databaseFlags está configurado en uno de los siguientes valores: error, log, fatal o panic.

  • Análisis en tiempo real: Sí
SQL log min messages

Nombre de categoría en la API: SQL_LOG_MIN_MESSAGES

Descripción de los hallazgos: La marca de la base de datos log_min_messages para una instancia de Cloud SQL para PostgreSQL no está configurada como warning ni en otro valor recomendado.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.2.13
  • CIS GCP Foundation 1.3: 6.2.6
  • CIS GCP Foundation 2.0: 6.2.5
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Para garantizar una cobertura adecuada de los tipos de mensajes en los registros, emite un hallazgo si el campo log_min_messages de la propiedad databaseFlags no está configurado en uno de los siguientes valores: debug5, debug4, debug3, debug2, debug1, info, notice o el valor predeterminado warning.

  • Análisis en tiempo real: Sí
SQL log executor stats enabled

Nombre de categoría en la API: SQL_LOG_EXECUTOR_STATS_ENABLED

Descripción de los hallazgos: La marca de la base de datos log_executor_stats para una instancia de Cloud SQL para PostgreSQL no está configurada como off.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.2.11

Comprueba si la propiedad databaseFlags de los metadatos de la instancia para el campo log_executor_stats está configurada como on.

  • Análisis en tiempo real: Sí
SQL log hostname enabled

Nombre de categoría en la API: SQL_LOG_HOSTNAME_ENABLED

Descripción de los hallazgos: La marca de la base de datos log_hostname para una instancia de Cloud SQL para PostgreSQL no está configurada como off.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.2.8

Comprueba si la propiedad databaseFlags de los metadatos de la instancia para el campo log_hostname está configurada como on.

  • Análisis en tiempo real: Sí
SQL log parser stats enabled

Nombre de categoría en la API: SQL_LOG_PARSER_STATS_ENABLED

Descripción de los hallazgos: La marca de la base de datos log_parser_stats para una instancia de Cloud SQL para PostgreSQL no está configurada como off.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.2.9

Comprueba si la propiedad databaseFlags de los metadatos de la instancia para el campo log_parser_stats está configurada como on.

  • Análisis en tiempo real: Sí
SQL log planner stats enabled

Nombre de categoría en la API: SQL_LOG_PLANNER_STATS_ENABLED

Descripción de los hallazgos: La marca de la base de datos log_planner_stats para una instancia de Cloud SQL para PostgreSQL no está configurada como off.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.2.10

Comprueba si la propiedad databaseFlags de los metadatos de la instancia para el campo log_planner_stats está configurada como on.

  • Análisis en tiempo real: Sí
SQL log statement

Nombre de categoría en la API: SQL_LOG_STATEMENT

Descripción de los resultados: La marca de la base de datos log_statement de una instancia de Cloud SQL para PostgreSQL no está configurada como ddl (todas las declaraciones de definición de datos).

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.2.7
  • CIS GCP Foundation 1.3: 6.2.4
  • CIS GCP Foundation 2.0: 6.2.4
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Comprueba si la propiedad databaseFlags de los metadatos de la instancia para el campo log_statement está configurada como ddl.

  • Análisis en tiempo real: Sí
SQL log statement stats enabled

Nombre de categoría en la API: SQL_LOG_STATEMENT_STATS_ENABLED

Descripción de los hallazgos: La marca de la base de datos log_statement_stats para una instancia de Cloud SQL para PostgreSQL no está configurada como off.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.2.12

Comprueba si la propiedad databaseFlags de los metadatos de la instancia para el campo log_statement_stats está configurada como on.

  • Análisis en tiempo real: Sí
SQL log temp files

Nombre de categoría en la API: SQL_LOG_TEMP_FILES

Descripción de los hallazgos: La marca de la base de datos log_temp_files de una instancia de Cloud SQL para PostgreSQL no está configurada en “0”.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 6.2.6
  • CIS GCP Foundation 1.2: 6.2.15

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_temp_files", "value": "0".

  • Análisis en tiempo real: Sí
SQL no root password

Nombre de categoría en la API: SQL_NO_ROOT_PASSWORD

Descripción del resultado: Una base de datos de Cloud SQL que tiene una dirección IP pública no tiene una contraseña configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 6.3
  • CIS GCP Foundation 1.1: 6.1.1
  • CIS GCP Foundation 1.2: 6.1.1
  • CIS GCP Foundation 1.3: 6.1.1
  • CIS GCP Foundation 2.0: 6.1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 2.1
  • ISO-27001 v2013: A.8.2.3, A.9.4.2
  • ISO-27001 v2022: A.8.5

Comprueba si la propiedad rootPassword de la cuenta raíz está vacía.

  • Permisos de IAM adicionales: roles/cloudsql.client
  • Entradas adicionales: Consultas instancias activas
  • Análisis en tiempo real: No
SQL public IP

Nombre de categoría en la API: SQL_PUBLIC_IP

Descripción de los hallazgos: Una base de datos de Cloud SQL tiene una dirección IP pública.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.1: 6.6
  • CIS GCP Foundation 1.2: 6.6
  • CIS GCP Foundation 1.3: 6.6
  • CIS GCP Foundation 2.0: 6.2.9, 6.6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Comprueba si el tipo de dirección IP de una base de datos de Cloud SQL está configurada como Primary, lo que indica que es pública.

  • Análisis en tiempo real: Sí
SQL remote access enabled

Nombre de categoría en la API: SQL_REMOTE_ACCESS_ENABLED

Descripción de los hallazgos: La marca de la base de datos remote access de una instancia de Cloud SQL para SQL Server no está configurada como off.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.3.5
  • CIS GCP Foundation 1.3: 6.3.5
  • CIS GCP Foundation 2.0: 6.3.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "remote access", "value": "off".

  • Análisis en tiempo real: Sí
SQL skip show database disabled

Nombre de categoría en la API: SQL_SKIP_SHOW_DATABASE_DISABLED

Descripción de los hallazgos: La marca de la base de datos skip_show_database de una instancia de Cloud SQL para MySQL no se configuró como on.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.1.2
  • CIS GCP Foundation 1.3: 6.1.2
  • CIS GCP Foundation 2.0: 6.1.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "skip_show_database", "value": "on".

  • Análisis en tiempo real: Sí
SQL trace flag 3625

Nombre de categoría en la API: SQL_TRACE_FLAG_3625

Descripción de los hallazgos: La marca de la base de datos 3625 (trace flag) de una instancia de Cloud SQL para SQL Server no está configurada como on.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.3.6
  • CIS GCP Foundation 2.0: 6.3.6
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "3625 (trace flag)", "value": "on".

  • Análisis en tiempo real: Sí
SQL user connections configured

Nombre de categoría en la API: SQL_USER_CONNECTIONS_CONFIGURED

Descripción de los resultados: Se configura la marca de base de datos user connections de una instancia de Cloud SQL para SQL Server.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.3.3
  • CIS GCP Foundation 1.3: 6.3.3
  • CIS GCP Foundation 2.0: 6.3.3
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "user connections", "value": "0".

  • Análisis en tiempo real: Sí
SQL user options configured

Nombre de categoría en la API: SQL_USER_OPTIONS_CONFIGURED

Descripción de los resultados: Se configura la marca de base de datos user options de una instancia de Cloud SQL para SQL Server.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 6.3.4
  • CIS GCP Foundation 1.3: 6.3.4
  • CIS GCP Foundation 2.0: 6.3.4
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "user options", "value": "" (vacío).

  • Análisis en tiempo real: Sí
SQL weak root password

Nombre de categoría en la API: SQL_WEAK_ROOT_PASSWORD

Descripción del hallazgo: Una base de datos de Cloud SQL que tiene una dirección IP pública también tiene una contraseña poco segura configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Recursos admitidos
sqladmin.googleapis.com/Instance

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Compara la contraseña de la cuenta raíz de tu base de datos de Cloud SQL con una lista de contraseñas comunes.

  • Permisos de IAM adicionales: roles/cloudsql.client
  • Entradas adicionales: Consultas instancias activas
  • Análisis en tiempo real: No

Resultados de las vulnerabilidades de Storage

Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de depósitos de Cloud Storage y pertenecen al tipo STORAGE_SCANNER.

Detector Resumen Configuración de análisis de elementos
Bucket CMEK disabled

Nombre de categoría en la API: BUCKET_CMEK_DISABLED

Descripción de los hallazgos: Un bucket no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita detectores.

Nivel de precios: Premium

Recursos admitidos
storage.googleapis.com/Bucket

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Comprueba el campo encryption en los metadatos del bucket para el nombre de recurso de tu CMEK.

  • Análisis en tiempo real: Sí
Bucket policy only disabled

Nombre de categoría en la API: BUCKET_POLICY_ONLY_DISABLED

Descripción del resultado: No se configuró el acceso uniforme a nivel de bucket, que antes se denominaba Solo política del bucket.

Nivel de precios: Premium

Recursos admitidos
storage.googleapis.com/Bucket

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Comprueba si la propiedad uniformBucketLevelAccess de un bucket está configurada en "enabled":false.

  • Análisis en tiempo real: Sí
Public bucket ACL

Nombre de categoría en la API: PUBLIC_BUCKET_ACL

Descripción del resultado:Un bucket de Cloud Storage es de acceso público.

Nivel de precios: Premium o Estándar

Recursos admitidos
storage.googleapis.com/Bucket

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica la política de permisos de IAM de un bucket para los roles públicos, allUsers o allAuthenticatedUsers.

  • Análisis en tiempo real: Sí
Public log bucket

Nombre de categoría en la API: PUBLIC_LOG_BUCKET

Descripción del resultado:: Un bucket de almacenamiento que se usa como receptor de registros es de acceso público.

Este hallazgo no está disponible para las activaciones a nivel del proyecto.

Nivel de precios: Premium o Estándar

Recursos admitidos
storage.googleapis.com/Bucket

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

Verifica la política de permisos de IAM de un bucket para las principales allUsers o allAuthenticatedUsers, que otorgan acceso público.

  • Entradas adicionales: Lee el receptor de registros (el filtro y el destino del registro) para un bucket a fin de determinar si es un bucket de registro.
  • Análisis en tiempo real: Sí, pero solo si cambia la política de IAM en el bucket, no si se cambia el receptor de registros

Resultados de las vulnerabilidades de subred

Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de la subred de una organización y pertenecen al tipo SUBNETWORK_SCANNER.

Detector Resumen Configuración de análisis de elementos
Flow logs disabled

Nombre de categoría en la API: FLOW_LOGS_DISABLED

Descripción del resultado: Hay una subred de VPC que tiene los registros de flujo inhabilitados.

Nivel de precios: Premium

Recursos admitidos
compute.googleapis.com/Subnetwork

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 3.9
  • CIS GCP Foundation 1.1: 3.8
  • CIS GCP Foundation 1.2: 3.8
  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Comprueba si falta la propiedad enableFlowLogs de las subredes de Compute Engine, o si se configura como false.

  • Elementos excluidos de los análisis: Acceso al VPC sin servidores y subredes del balanceador de cargas
  • Análisis en tiempo real: Sí

Descripción del resultado: En una subred de VPC, los registros de flujo de VPC están desactivados o no están configurados según las recomendaciones de CIS Benchmark 1.3. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Recursos admitidos
compute.googleapis.com/Subnetwork

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.3: 3.8
  • CIS GCP Foundation 2.0: 3.8
  • NIST 800-53 R5: SI-4
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS Controls 8.0: 13.6, 8.2

Comprueba si falta la propiedad enableFlowLogs de las subredes de VPC, o si se configura como false. Si los registros de flujo de VPC están habilitados, verifica que la propiedad Aggregation Interval esté establecida en 5 SEC, que Include metadata esté establecida en true y que Sample rate esté establecida en 100%.

  • Elementos excluidos de los análisis: Acceso al VPC sin servidores y subredes del balanceador de cargas
  • Análisis en tiempo real: Sí
Private Google access disabled

Nombre de categoría en la API: PRIVATE_GOOGLE_ACCESS_DISABLED

Descripción del resultado: Existen subredes privadas sin acceso a las API públicas de Google.

Nivel de precios: Premium

Recursos admitidos
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS GCP Foundation 1.0: 3.8

Comprueba si la propiedad privateIpGoogleAccess de las subredes de Compute Engine está configurada en false.

  • Análisis en tiempo real: Sí

Conclusiones de AWS

Detector Resumen Configuración de análisis de elementos

AWS Cloud Shell Full Access Restricted

Nombre de categoría en la API: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

Descripción del resultado:

AWS CloudShell es una forma conveniente de ejecutar comandos de CLI en los servicios de AWS. Una política de IAM administrada ("AWSCloudShellFullAccess") proporciona acceso completo a CloudShell, lo que permite subir y descargar archivos entre el sistema local de un usuario y el entorno de CloudShell. Dentro del entorno de CloudShell, un usuario tiene permisos de sudo y puede acceder a Internet. Por lo tanto, es posible instalar software de transferencia de archivos (por ejemplo) y mover datos de CloudShell a servidores de Internet externos.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS AWS Foundation 2.0.0: 1.22

Asegúrate de que el acceso a AWSCloudShellFullAccess esté restringido

  • Análisis en tiempo real: No

Access Keys Rotated Every 90 Days or Less

Nombre de categoría en la API: ACCESS_KEYS_ROTATED_90_DAYS_LESS

Descripción del resultado:

Las claves de acceso consisten en un ID de clave de acceso y una clave de acceso secreta, que se usan para firmar las solicitudes programáticas que realizas a AWS. Los usuarios de AWS necesitan sus propias claves de acceso para realizar llamadas programáticas a AWS desde la interfaz de línea de comandos de AWS (AWS CLI), las herramientas para Windows PowerShell, los SDK de AWS o llamadas HTTP directas con las APIs de servicios individuales de AWS. Se recomienda que todas las claves de acceso se roten con regularidad.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4
  • CIS AWS Foundation 2.0.0: 1.14
  • CIS Controls 8.0: 5

Asegúrate de que las claves de acceso se roten cada 90 días o menos

  • Análisis en tiempo real: No

All Expired Ssl Tls Certificates Stored Aws Iam Removed

Nombre de categoría en la API: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Descripción del resultado:

Para habilitar las conexiones HTTPS a tu sitio web o aplicación en AWS, necesitas un certificado de servidor SSL/TLS. Puedes usar ACM o IAM para almacenar e implementar certificados de servidor.
Usa IAM como administrador de certificados solo cuando debas admitir conexiones HTTPS en una región que ACM no admite. La IAM encripta de forma segura tus claves privadas y almacena la versión encriptada en el almacenamiento de certificados SSL de la IAM. IAM admite la implementación de certificados de servidor en todas las regiones, pero debes obtener tu certificado de un proveedor externo para usarlo con AWS. No puedes subir un certificado de ACM a IAM. Además, no puedes administrar tus certificados desde la Consola de IAM.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AU-11, CM-12, SI-12
  • PCI-DSS v4.0: 9.4.2
  • ISO-27001 v2022: A.5.10, A.5.9, A.8.1
  • Cloud Controls Matrix 4: DSP-01
  • NIST Cybersecurity Framework 1.0: PR-IP-6
  • CIS AWS Foundation 2.0.0: 1.19
  • CIS Controls 8.0: 3.1

Asegúrate de quitar todos los certificados SSL o TLS vencidos que estén almacenados en IAM de AWS

  • Análisis en tiempo real: No

Autoscaling Group Elb Healthcheck Required

Nombre de categoría en la API: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Descripción del resultado:

Esta opción verifica si tus grupos de ajuste de escala automático asociados con un balanceador de cargas usan las verificaciones de estado del balanceo de cargas elásticas.

Esto garantiza que el grupo pueda determinar el estado de una instancia en función de pruebas adicionales que proporciona el balanceador de cargas. El uso de verificaciones de estado de Elastic Load Balancing puede ayudar a admitir la disponibilidad de las aplicaciones que usan grupos de ajuste de escala automático de EC2.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-2

Verifica que todos los grupos de ajuste de escala automático asociados con un balanceador de cargas utilicen comprobaciones de estado

  • Análisis en tiempo real: No

Auto Minor Version Upgrade Feature Enabled Rds Instances

Nombre de categoría en la API: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Descripción del resultado:

Asegúrate de que las instancias de la base de datos de RDS tengan habilitada la marca de actualización automática de versión secundaria para recibir automáticamente actualizaciones menores del motor durante el período de mantenimiento especificado. Por lo tanto, las instancias de RDS pueden obtener las funciones, las correcciones de errores y los parches de seguridad nuevos para sus motores de base de datos.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: RA-5, RA-7, SI-2
  • ISO-27001 v2022: A.8.8
  • Cloud Controls Matrix 4: UEM-03
  • NIST Cybersecurity Framework 1.0: ID-RA-1
  • SOC2 v2017: CC7.1.1, CC7.1.2, CC7.1.3, CC7.1.4, CC7.1.5
  • CIS AWS Foundation 2.0.0: 2.3.2
  • CIS Controls 8.0: 7.4

Asegúrate de que la función de actualización de versión secundaria automática esté habilitada para las instancias de RDS

  • Análisis en tiempo real: No

Aws Config Enabled All Regions

Nombre de categoría en la API: AWS_CONFIG_ENABLED_ALL_REGIONS

Descripción del resultado:

AWS Config es un servicio web que realiza la administración de la configuración de los recursos de AWS admitidos en tu cuenta y te entrega archivos de registro. La información registrada incluye el elemento de configuración (recurso de AWS), las relaciones entre los elementos de configuración (recursos de AWS) y cualquier cambio de configuración entre los recursos. Se recomienda que AWS Config esté habilitado en todas las regiones.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS AWS Foundation 2.0.0: 3.5
  • CIS Controls 8.0: 1.1

Asegúrate de que AWS Config esté habilitado en todas las regiones

  • Análisis en tiempo real: No

Aws Security Hub Enabled

Nombre de categoría en la API: AWS_SECURITY_HUB_ENABLED

Descripción del resultado:

Security Hub recopila datos de seguridad de todas las cuentas, los servicios y los productos de socios externos compatibles de AWS, y te ayuda a analizar tus tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad. Cuando habilitas Security Hub, este comienza a consumir, agregar, organizar y priorizar los resultados de los servicios de AWS que habilitaste, como Amazon GuardDuty, Amazon Inspector y Amazon Macie. También puedes habilitar integraciones con productos de seguridad de socios de AWS.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: CA-7
  • PCI-DSS v3.2.1: 11.5
  • CIS AWS Foundation 2.0.0: 4.16

Asegúrate de que el Security Hub de AWS esté habilitado

  • Análisis en tiempo real: No

Cloudtrail Logs Encrypted Rest Using Kms Cmks

Nombre de categoría en la API: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

Descripción del resultado:

AWS CloudTrail es un servicio web que registra las llamadas a la API de AWS de una cuenta y pone esos registros a disposición de los usuarios y recursos de acuerdo con las políticas de IAM. AWS Key Management Service (KMS) es un servicio administrado que ayuda a crear y controlar las claves de encriptación que se usan para encriptar los datos de la cuenta y utiliza módulos de seguridad de hardware (HSM) para proteger la seguridad de las claves de encriptación. Los registros de CloudTrail se pueden configurar para aprovechar la encriptación del servidor (SSE) y las claves maestras (CMK) creadas por el cliente de KMS para proteger aún más los registros de CloudTrail. Se recomienda que CloudTrail se configure para usar SSE-KMS.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.7
  • CIS Controls 8.0: 3.11

Asegúrate de que los registros de CloudTrail estén encriptados en reposo con CMK de KMS

  • Análisis en tiempo real: No

Cloudtrail Log File Validation Enabled

Nombre de categoría en la API: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

Descripción del resultado:

La validación del archivo de registro de CloudTrail crea un archivo de resumen firmado digitalmente que contiene un hash de cada registro que CloudTrail escribe en S3. Estos archivos de resumen se pueden usar para determinar si un archivo de registro se cambió, borró o no se modificó después de que CloudTrail lo entregó. Se recomienda habilitar la validación de archivos en todos los CloudTrail.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AU-6, AU-7, SI-7(7)
  • PCI-DSS v3.2.1: 11.5
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS AWS Foundation 2.0.0: 3.2
  • CIS Controls 8.0: 8.11

Asegúrate de que la validación del archivo de registro de CloudTrail esté habilitada

  • Análisis en tiempo real: No

Cloudtrail Trails Integrated Cloudwatch Logs

Nombre de categoría en la API: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

Descripción del resultado:

AWS CloudTrail es un servicio web que registra las llamadas a la API de AWS realizadas en una cuenta de AWS determinada. La información registrada incluye la identidad del llamador de la API, la hora de la llamada a la API, la dirección IP de origen del llamador de la API, los parámetros de solicitud y los elementos de respuesta que muestra el servicio de AWS. CloudTrail usa Amazon S3 para el almacenamiento y la entrega de archivos de registro, por lo que los archivos de registro se almacenan de forma duradera. Además de capturar registros de CloudTrail en un bucket de S3 especificado para el análisis a largo plazo, se puede realizar un análisis en tiempo real configurando CloudTrail para que envíe registros a los registros de CloudWatch. En el caso de un seguimiento habilitado en todas las regiones de una cuenta, CloudTrail envía los archivos de registro de todas esas regiones a un grupo de registros de CloudWatch Logs. Se recomienda que los registros de CloudTrail se envíen a los registros de CloudWatch.

Nota: El objetivo de esta recomendación es garantizar que se capture, supervise y genere una alarma adecuada para la actividad de la cuenta de AWS. CloudWatch Logs es una forma nativa de lograr esto con los servicios de AWS, pero no excluye el uso de una solución alternativa.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS AWS Foundation 2.0.0: 3.4
  • CIS Controls 8.0: 8.5, 8.9

Asegúrate de que los registros de CloudTrail estén incluidos en los registros de CloudWatch

  • Análisis en tiempo real: No

Cloudwatch Alarm Action Check

Nombre de categoría en la API: CLOUDWATCH_ALARM_ACTION_CHECK

Descripción del resultado:

Esta función verifica si Amazon CloudWatch tiene acciones definidas cuando una alarma realiza la transición entre los estados "OK", "ALARM" e "INSUFFICIENT_DATA".

Es muy importante configurar acciones para el estado ALARM en las alarmas de Amazon CloudWatch para activar una respuesta inmediata cuando las métricas supervisadas superen los umbrales.
Garantiza una resolución rápida de problemas, reduce el tiempo de inactividad y permite la solución automática, lo que mantiene el estado del sistema y evita las interrupciones.

Las alarmas tienen al menos una acción.
Las alarmas tienen al menos una acción cuando la alarma pasa al estado "INSUFFICIENT_DATA" desde cualquier otro estado.
(Opcional) Las alarmas tienen al menos una acción cuando la alarma pasa a un estado "OK" desde cualquier otro estado.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-20

Verifica si las alarmas de CloudWatch tienen al menos una acción de alarma, una acción INSUFFICIENT_DATA o una acción OK habilitadas.

  • Análisis en tiempo real: No

Cloudwatch Log Group Encrypted

Nombre de categoría en la API: CLOUDWATCH_LOG_GROUP_ENCRYPTED

Descripción del resultado:

Esta verificación garantiza que los registros de CloudWatch estén configurados con KMS.

Los datos de los grupos de registros siempre se encriptan en los registros de CloudWatch. De forma predeterminada, CloudWatch Logs usa la encriptación del servidor para los datos de registro en reposo. Como alternativa, puedes usar el servicio de administración de claves de AWS para esta encriptación. Si lo haces, la encriptación se realiza con una clave de AWS KMS. La encriptación con AWS KMS se habilita a nivel del grupo de registros. Para ello, se asocia una clave de KMS con un grupo de registros, ya sea cuando lo creas o después de que existe.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • PCI-DSS v3.2.1: 3.4

Verifica que todos los grupos de registros en Amazon CloudWatch Logs estén encriptados con KMS

  • Análisis en tiempo real: No

CloudTrail CloudWatch Logs Enabled

Nombre de categoría en la API: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Descripción del resultado:

Este control verifica si los registros de CloudTrail están configurados para enviar registros a los registros de CloudWatch. El control falla si la propiedad CloudWatchLogsLogGroupArn del seguimiento está vacía.

CloudTrail registra las llamadas a la API de AWS que se realizan en una cuenta determinada. La información registrada incluye lo siguiente:

  • La identidad del llamador de la API
  • La hora de la llamada a la API
  • La dirección IP de origen del llamador de la API
  • Los parámetros de la solicitud
  • Los elementos de respuesta que muestra el servicio de AWS

CloudTrail usa Amazon S3 para el almacenamiento y la entrega de archivos de registro. Puedes capturar registros de CloudTrail en un bucket de S3 especificado para realizar análisis a largo plazo. Para realizar análisis en tiempo real, puedes configurar CloudTrail para que envíe registros a los registros de CloudWatch.

En el caso de un registro habilitado en todas las regiones de una cuenta, CloudTrail envía los archivos de registro de todas esas regiones a un grupo de registros de CloudWatch Logs.

Security Hub recomienda que envíes los registros de CloudTrail a los registros de CloudWatch. Ten en cuenta que esta recomendación tiene como objetivo garantizar que se capture, supervise y active correctamente la actividad de la cuenta. Puedes usar CloudWatch Logs para configurar esto con tus servicios de AWS. Esta recomendación no excluye el uso de una solución diferente.

El envío de registros de CloudTrail a los registros de CloudWatch facilita el registro de actividades históricas y en tiempo real según el usuario, la API, el recurso y la dirección IP. Puedes usar este enfoque para establecer alarmas y notificaciones para la actividad anómala o sensible de la cuenta.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-20
  • PCI-DSS v3.2.1: 10.5.3

Comprueba que todos los registros de CloudTrail estén configurados para enviar registros a CloudWatch de AWS

  • Análisis en tiempo real: No

No AWS Credentials in CodeBuild Project Environment Variables

Nombre de categoría en la API: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Descripción del resultado:

Esto verifica si el proyecto contiene las variables de entorno AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY.

Las credenciales de autenticación AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY nunca deben almacenarse en texto simple, ya que esto podría provocar una exposición de datos no deseada y un acceso no autorizado.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: IA-5, SA-3

Verifica que ningún proyecto con variables de entorno AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY esté en texto simple

  • Análisis en tiempo real: No

Codebuild Project Source Repo Url Check

Nombre de categoría en la API: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Descripción del resultado:

Esta función verifica si la URL del repositorio de origen de Bitbucket de un proyecto de AWS CodeBuild contiene tokens de acceso personal o un nombre de usuario y una contraseña. El control falla si la URL del repositorio de origen de Bitbucket contiene tokens de acceso personales o un nombre de usuario y una contraseña.

Las credenciales de acceso no deben almacenarse ni transmitirse en texto simple ni aparecer en la URL del repositorio de origen. En lugar de tokens de acceso personal o credenciales de acceso, debes acceder a tu proveedor de origen en CodeBuild y cambiar la URL del repositorio de origen para que contenga solo la ruta de acceso a la ubicación del repositorio de Bitbucket. El uso de tokens de acceso personales o credenciales de acceso podría generar una exposición de datos no deseada o un acceso no autorizado.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Verifica que todos los proyectos que usen GitHub o Bitbucket como fuente utilicen OAuth

  • Análisis en tiempo real: No

Credentials Unused 45 Days Greater Disabled

Nombre de categoría en la API: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

Descripción del resultado:

Los usuarios de IAM de AWS pueden acceder a los recursos de AWS con diferentes tipos de credenciales, como contraseñas o claves de acceso. Se recomienda que se desactiven o quiten todas las credenciales que no se hayan usado durante 45 días o más.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-2
  • PCI-DSS v4.0: 8.3.7
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • CIS AWS Foundation 2.0.0: 1.12
  • CIS Controls 8.0: 5.3

Asegúrate de que las credenciales que no se usen durante 45 días o más estén inhabilitadas

  • Análisis en tiempo real: No

Default Security Group Vpc Restricts All Traffic

Nombre de categoría en la API: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

Descripción del resultado:

Una VPC incluye un grupo de seguridad predeterminado cuya configuración inicial rechaza todo el tráfico entrante, permite todo el tráfico saliente y permite todo el tráfico entre las instancias asignadas al grupo de seguridad. Si no especificas un grupo de seguridad cuando inicias una instancia, esta se asigna automáticamente a este grupo de seguridad predeterminado. Los grupos de seguridad proporcionan un filtrado con estado del tráfico de red de entrada o salida a los recursos de AWS. Se recomienda que el grupo de seguridad predeterminado restrinja todo el tráfico.

El grupo de seguridad predeterminado de la VPC predeterminada de cada región debe estar actualizado para cumplir con la política. Todas las VPC nuevas contendrán automáticamente un grupo de seguridad predeterminado que deberá corregirse para cumplir con esta recomendación.

NOTA: Cuando se implementa esta recomendación, el registro de flujos de VPC es invaluable para determinar el acceso de puerto con privilegio mínimo que requieren los sistemas para funcionar correctamente, ya que puede registrar todas las aceptaciones y rechazos de paquetes que se producen en los grupos de seguridad actuales. Esto reduce de forma significativa la barrera principal para la ingeniería de privilegio mínimo: descubrir los puertos mínimos que requieren los sistemas en el entorno. Incluso si no se adopta la recomendación de registro de flujo de VPC en esta comparativa como una medida de seguridad permanente, se debe usar durante cualquier período de descubrimiento y de ingeniería para los grupos de seguridad con menos privilegios.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 5.4
  • CIS Controls 8.0: 3.3

Asegúrate de que el grupo de seguridad predeterminado de cada VPC restrinja todo el tráfico

  • Análisis en tiempo real: No

Dms Replication Not Public

Nombre de categoría en la API: DMS_REPLICATION_NOT_PUBLIC

Descripción del resultado:

Verifica si las instancias de replicación de AWS DMS son públicas. Para ello, examina el valor del campo PubliclyAccessible.

Una instancia de replicación privada tiene una dirección IP privada a la que no puedes acceder fuera de la red de replicación. Una instancia de replicación debe tener una dirección IP privada cuando las bases de datos de origen y de destino están en la misma red. La red también debe estar conectada a la VPC de la instancia de replicación mediante una VPN, AWS Direct Connect o el intercambio de tráfico entre VPC. Para obtener más información sobre las instancias de replicación públicas y privadas, consulta Instancias de replicación públicas y privadas en la Guía del usuario de AWS Database Migration Service.

También debes asegurarte de que el acceso a la configuración de tu instancia de AWS DMS se limite solo a los usuarios autorizados. Para ello, restringe los permisos de IAM de los usuarios para modificar la configuración y los recursos de AWS DMS.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifica si las instancias de replicación de AWS Database Migration Service son públicas

  • Análisis en tiempo real: No

Do Setup Access Keys During Initial User Setup All Iam Users Console

Nombre de categoría en la API: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Descripción del resultado:

De forma predeterminada, AWS Console no selecciona ninguna casilla de verificación cuando se crea un usuario de IAM nuevo. Cuando crees las credenciales de usuario de IAM, debes determinar qué tipo de acceso requieren.

Acceso programático: Es posible que el usuario de IAM deba realizar llamadas a la API, usar AWS CLI o usar las herramientas para Windows PowerShell. En ese caso, crea una clave de acceso (ID de clave de acceso y clave de acceso secreta) para ese usuario.

Acceso a la consola de administración de AWS: Si el usuario necesita acceder a la consola de administración de AWS, créale una contraseña.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.11
  • CIS Controls 8.0: 3.3, 5.4

No establezcas claves de acceso durante la configuración inicial de ningún usuario de IAM que tenga una contraseña de la consola

  • Análisis en tiempo real: No

Dynamodb Autoscaling Enabled

Nombre de categoría en la API: DYNAMODB_AUTOSCALING_ENABLED

Descripción del resultado:

Esto verifica si una tabla de Amazon DynamoDB puede escalar su capacidad de lectura y escritura según sea necesario. Este control se pasa si la tabla usa el modo de capacidad on demand o el modo aprovisionado con el ajuste de escala automático configurado. La escalabilidad de la capacidad con la demanda evita las excepciones de limitación, lo que ayuda a mantener la disponibilidad de tus aplicaciones.

Las tablas de DynamoDB en el modo de capacidad a pedido solo se limitan por las cuotas de tabla predeterminadas de capacidad de procesamiento de DynamoDB. Para aumentar estas cuotas, puedes enviar un ticket de asistencia a través de la Asistencia de AWS.

Las tablas de DynamoDB en el modo aprovisionado con el ajuste de escala automático ajustan la capacidad de rendimiento aprovisionada de forma dinámica en respuesta a los patrones de tráfico. Para obtener más información sobre la limitación de solicitudes de DynamoDB, consulta la sección Limitación de solicitudes y capacidad de ráfaga en la Guía para desarrolladores de Amazon DynamoDB.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-13(5)

Las tablas de DynamoDB deben ajustar la escala de la capacidad automáticamente según la demanda

  • Análisis en tiempo real: No

Dynamodb In Backup Plan

Nombre de categoría en la API: DYNAMODB_IN_BACKUP_PLAN

Descripción del resultado:

Este control evalúa si una tabla de DynamoDB está cubierta por un plan de copias de seguridad. El control falla si una tabla de DynamoDB no está cubierta por un plan de copias de seguridad. Este control solo evalúa las tablas de DynamoDB que están en el estado ACTIVE.

Las copias de seguridad te ayudan a recuperarte más rápido de un incidente de seguridad. También fortalecen la resiliencia de tus sistemas. Si incluyes tablas de DynamoDB en un plan de copia de seguridad, podrás proteger tus datos contra pérdidas o eliminaciones no deseadas.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-13(5)

Las tablas de DynamoDB deben estar protegidas por un plan de copias de seguridad

  • Análisis en tiempo real: No

Dynamodb Pitr Enabled

Nombre de categoría en la API: DYNAMODB_PITR_ENABLED

Descripción del resultado:

La recuperación de un momento determinado (PITR) es uno de los mecanismos disponibles para crear copias de seguridad de tablas de DynamoDB.

Una copia de seguridad de un momento determinado se conserva durante 35 días. Si necesitas una retención más larga, consulta Cómo configurar copias de seguridad programadas para Amazon DynamoDB con AWS Backup en la documentación de AWS.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-13(5)

Verifica que la recuperación de un momento determinado (PITR) esté habilitada para todas las tablas de AWS DynamoDB

  • Análisis en tiempo real: No

Dynamodb Table Encrypted Kms

Nombre de categoría en la API: DYNAMODB_TABLE_ENCRYPTED_KMS

Descripción del resultado:

Verifica si todas las tablas de DynamoDB están encriptadas con una clave de KMS administrada por el cliente (no predeterminada).

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-7(6)

Verifica que todas las tablas de DynamoDB estén encriptadas con el servicio de administración de claves (KMS) de AWS

  • Análisis en tiempo real: No

Ebs Optimized Instance

Nombre de categoría en la API: EBS_OPTIMIZED_INSTANCE

Descripción del resultado:

Comprueba si la optimización de EBS está habilitada para tus instancias de EC2 que pueden optimizarse para EBS

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-5(2)

Comprueba que la optimización de EBS esté habilitada para todas las instancias que admiten la optimización de EBS

  • Análisis en tiempo real: No

Ebs Snapshot Public Restorable Check

Nombre de categoría en la API: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Descripción del resultado:

Verifica si las instantáneas de Amazon Elastic Block Store no son públicas. El control falla si cualquier persona puede restablecer las instantáneas de Amazon EBS.

Las instantáneas de EBS se usan para crear copias de seguridad de los datos de tus volúmenes de EBS en Amazon S3 en un momento específico. Puedes usar las instantáneas para restablecer estados anteriores de los volúmenes de EBS. Rara vez se acepta compartir una instantánea con el público. Por lo general, la decisión de compartir una instantánea de forma pública se tomó por error o sin comprender completamente las implicaciones. Esta verificación ayuda a garantizar que todo este tipo de uso compartido se haya planificado y realizado de forma intencional.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Las instantáneas de Amazon EBS no deben poder restablecerse públicamente

  • Análisis en tiempo real: No

Ebs Volume Encryption Enabled All Regions

Nombre de categoría en la API: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

Descripción del resultado:

Elastic Compute Cloud (EC2) admite la encriptación en reposo cuando se usa el servicio Elastic Block Store (EBS). Si bien está inhabilitada de forma predeterminada, se admite la aplicación forzosa de la encriptación en la creación de volúmenes de EBS.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.2.1
  • CIS Controls 8.0: 3.11

Asegúrate de que la encriptación de volumen de EBS esté habilitada en todas las regiones

  • Análisis en tiempo real: No

Ec2 Instances In Vpc

Nombre de categoría en la API: EC2_INSTANCES_IN_VPC

Descripción del resultado:

Amazon VPC proporciona más funciones de seguridad que EC2 Classic. Se recomienda que todos los nodos pertenezcan a una VPC de Amazon.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-7

Garantiza que todas las instancias pertenezcan a una VPC

  • Análisis en tiempo real: No

Ec2 Instance No Public Ip

Nombre de categoría en la API: EC2_INSTANCE_NO_PUBLIC_IP

Descripción del resultado:

Las instancias de EC2 que tienen una dirección IP pública tienen un mayor riesgo de vulneración. Se recomienda que las instancias de EC2 no se configuren con una dirección IP pública.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Garantiza que ninguna instancia tenga una IP pública

  • Análisis en tiempo real: No

Ec2 Managedinstance Association Compliance Status Check

Nombre de categoría en la API: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

Descripción del resultado:

Una asociación de State Manager es una configuración que se asigna a tus instancias administradas. La configuración define el estado que deseas mantener en tus instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe estar instalado y en ejecución en tus instancias, o que ciertos puertos deben estar cerrados. Las instancias de EC2 que tienen una asociación con AWS Systems Manager están bajo la administración de Systems Manager, lo que facilita la aplicación de parches, la corrección de parámetros de configuración incorrectos y la respuesta a eventos de seguridad.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • PCI-DSS v3.2.1: 6.2

Verifica el estado de cumplimiento de la asociación de AWS Systems Manager

  • Análisis en tiempo real: No

Ec2 Managedinstance Patch Compliance Status Check

Nombre de categoría en la API: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

Descripción del resultado:

Este control verifica si el estado de cumplimiento de la asociación de AWS Systems Manager es COMPLIANT o NON_COMPLIANT después de que se ejecuta la asociación en una instancia. El control falla si el estado de cumplimiento de la asociación es NON_COMPLIANT.

Una asociación de State Manager es una configuración que se asigna a tus instancias administradas. La configuración define el estado que deseas mantener en tus instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe estar instalado y en ejecución en tus instancias, o que se deben cerrar ciertos puertos.

Después de crear una o más asociaciones con el Administrador de estados, la información del estado de cumplimiento estará disponible de inmediato. Puedes ver el estado de cumplimiento en la consola o en respuesta a los comandos de AWS CLI o las acciones de la API de Systems Manager correspondientes. En el caso de las asociaciones, el cumplimiento de la configuración muestra el estado de cumplimiento (Cumple o No cumple). También muestra el nivel de gravedad asignado a la asociación, como Crítico o Medio.

Para obtener más información sobre el cumplimiento de la asociación de State Manager, consulta Acerca del cumplimiento de la asociación de State Manager en la Guía del usuario de AWS Systems Manager.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-2
  • PCI-DSS v3.2.1: 6.2

Verifica el estado de cumplimiento de parches de AWS Systems Manager

  • Análisis en tiempo real: No

Ec2 Metadata Service Allows Imdsv2

Nombre de categoría en la API: EC2_METADATA_SERVICE_ALLOWS_IMDSV2

Descripción del resultado:

Cuando se habilita el servicio de metadatos en las instancias de AWS EC2, los usuarios tienen la opción de usar la versión 1 del servicio de metadatos de instancias (IMDSv1; un método de solicitud/respuesta) o la versión 2 del servicio de metadatos de instancias (IMDSv2; un método orientado a la sesión).

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-6
  • CIS AWS Foundation 2.0.0: 5.6

Garantiza que el servicio de metadatos de EC2 solo permita IMDSv2

  • Análisis en tiempo real: No

Ec2 Volume Inuse Check

Nombre de categoría en la API: EC2_VOLUME_INUSE_CHECK

Descripción del resultado:

Identificar y quitar los volúmenes de Elastic Block Store (EBS) sin conectar (sin usar) de tu cuenta de AWS para reducir el costo de tu factura mensual de AWS Si borras los volúmenes de EBS que no se usan, también se reduce el riesgo de que los datos confidenciales o sensibles salgan de tu instalación. Además, este control también verifica si las instancias de EC2 archivadas están configuradas para borrar volúmenes al finalizar.

De forma predeterminada, las instancias de EC2 están configuradas para borrar los datos de cualquier volumen de EBS asociado con la instancia y el volumen raíz de EBS de la instancia. Sin embargo, cualquier volumen de EBS que no sea raíz conectado a la instancia, en el inicio o durante la ejecución, se conserva después de la finalización de forma predeterminada.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: CM-2

Verifica si los volúmenes de EBS están adjuntos a instancias de EC2 y configurados para la eliminación en cuanto finalice la instancia

  • Análisis en tiempo real: No

Efs Encrypted Check

Nombre de categoría en la API: EFS_ENCRYPTED_CHECK

Descripción del resultado:

Amazon EFS admite dos formas de encriptación para sistemas de archivos: la encriptación de datos en tránsito y la encriptación en reposo. De esta manera, se verifica que todos los sistemas de archivos EFS estén configurados con encriptación en reposo en todas las regiones habilitadas de la cuenta.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Verifica si EFS está configurado para encriptar datos de archivos con KMS

  • Análisis en tiempo real: No

Efs In Backup Plan

Nombre de categoría en la API: EFS_IN_BACKUP_PLAN

Descripción del resultado:

Las prácticas recomendadas de Amazon recomiendan configurar copias de seguridad para tus sistemas de archivos Elastic File System (EFS). Esta acción verifica todos los EFS de todas las regiones habilitadas de tu cuenta de AWS en busca de copias de seguridad habilitadas.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-13(5)

Verifica si los sistemas de archivos EFS están incluidos en los planes de copias de seguridad de AWS

  • Análisis en tiempo real: No

Elb Acm Certificate Required

Nombre de categoría en la API: ELB_ACM_CERTIFICATE_REQUIRED

Descripción del resultado:

Verifica si el balanceador de cargas clásico usa certificados HTTPS/SSL proporcionados por AWS Certificate Manager (ACM). El control falla si el balanceador de cargas clásico configurado con el objeto de escucha HTTPS/SSL no usa un certificado proporcionado por ACM.

Para crear un certificado, puedes usar ACM o una herramienta que admita los protocolos SSL y TLS, como OpenSSL. Security Hub recomienda que uses ACM para crear o importar certificados para tu balanceador de cargas.

ACM se integra en los balanceadores de cargas clásicos para que puedas implementar el certificado en tu balanceador de cargas. También debes renovar estos certificados automáticamente.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-17, AC-4, IA-5, SC-12, SC-13, SC-23, SC-7, SC-8, SI-7, SI-7(6)

Verifica que todos los balanceadores de cargas clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager

  • Análisis en tiempo real: No

Elb Deletion Protection Enabled

Nombre de categoría en la API: ELB_DELETION_PROTECTION_ENABLED

Descripción del resultado:

Verifica si un balanceador de cargas de aplicaciones tiene habilitada la protección contra la eliminación. El control falla si no se configura la protección contra la eliminación.

Habilita la protección contra la eliminación para proteger tu balanceador de cargas de aplicaciones de la eliminación.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-5(2)

La protección contra eliminaciones del balanceador de cargas de aplicaciones debería estar habilitada

  • Análisis en tiempo real: No

Elb Logging Enabled

Nombre de categoría en la API: ELB_LOGGING_ENABLED

Descripción del resultado:

Esto verifica si el balanceador de cargas de aplicaciones y el balanceador de cargas clásico tienen habilitado el registro. El control falla si access_logs.s3.enabled es falso.

El balanceo de cargas de Elastic proporciona registros de acceso que capturan información detallada sobre las solicitudes que se envían a tu balanceador de cargas. Cada registro contiene información como la hora en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de solicitud y las respuestas del servidor. Puedes usar estos registros de acceso para analizar los patrones de tráfico y solucionar problemas.

Para obtener más información, consulta Registros de acceso de tu balanceador de cargas clásico en la Guía del usuario de los balanceadores de cargas clásicos.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Verifica si los balanceadores de cargas clásicos y de aplicaciones tienen el registro habilitado

  • Análisis en tiempo real: No

Elb Tls Https Listeners Only

Nombre de categoría en la API: ELB_TLS_HTTPS_LISTENERS_ONLY

Descripción del resultado:

Esta verificación garantiza que todos los balanceadores de cargas clásicos estén configurados para usar una comunicación segura.

Un objeto de escucha es un proceso que verifica las solicitudes de conexión. Se configura con un protocolo y un puerto para las conexiones de frontend (cliente a balanceador de cargas) y un protocolo y un puerto para las conexiones de backend (balanceador de cargas a instancia). Para obtener información sobre los puertos, los protocolos y las configuraciones de los objetos de escucha que admite Elastic Load Balancing, consulta Objetos de escucha para tu balanceador de cargas clásico.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-7(6)

Verifica que todos los balanceadores de cargas clásicos estén configurados con objetos de escucha SSL o HTTPS

  • Análisis en tiempo real: No

Encrypted Volumes

Nombre de categoría en la API: ENCRYPTED_VOLUMES

Descripción del resultado:

Verifica si los volúmenes de EBS que están en un estado adjunto están encriptados. Para que se apruebe esta verificación, los volúmenes de EBS deben estar en uso y encriptados. Si el volumen de EBS no está adjunto, no está sujeto a esta verificación.

Para obtener una capa adicional de seguridad de tus datos sensibles en los volúmenes de EBS, debes habilitar la encriptación de EBS en reposo. La encriptación de Amazon EBS ofrece una solución de encriptación sencilla para tus recursos de EBS que no requiere que crees, mantengas ni protejas tu propia infraestructura de administración de claves. Usa claves de KMS cuando crea instantáneas y volúmenes encriptados.

Para obtener más información sobre la encriptación de Amazon EBS, consulta la sección Encriptación de Amazon EBS en la Guía del usuario de Amazon EC2 para instancias de Linux.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Los volúmenes de Amazon EBS adjuntos deben estar encriptados en reposo

  • Análisis en tiempo real: No

Encryption At Rest Enabled Rds Instances

Nombre de categoría en la API: ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

Descripción del resultado:

Las instancias de bases de datos encriptadas de Amazon RDS usan el algoritmo de encriptación AES-256 estándar de la industria para encriptar tus datos en el servidor que aloja tus instancias de bases de datos de Amazon RDS. Después de que se encriptan tus datos, Amazon RDS controla la autenticación de acceso y la desencriptación de tus datos de forma transparente con un impacto mínimo en el rendimiento.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.3.1
  • CIS Controls 8.0: 3.11

Garantiza que la encriptación en reposo esté habilitada para las instancias de RDS

  • Análisis en tiempo real: No

Encryption Enabled Efs File Systems

Nombre de categoría en la API: ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

Descripción del resultado:

Los datos de EFS deben encriptarse en reposo con AWS KMS (servicio de administración de claves).

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.4.1
  • CIS Controls 8.0: 3.11

Asegúrate de que la encriptación esté habilitada para los sistemas de archivos EFS

  • Análisis en tiempo real: No

Iam Password Policy

Nombre de categoría en la API: IAM_PASSWORD_POLICY

Descripción del resultado:

AWS permite políticas de contraseñas personalizadas en tu cuenta de AWS para especificar requisitos de complejidad y períodos de rotación obligatorios para las contraseñas de tus usuarios de IAM. Si no configuras una política de contraseñas personalizada, las contraseñas de los usuarios de IAM deben cumplir con la política de contraseñas predeterminada de AWS. Las prácticas recomendadas de seguridad de AWS recomiendan los siguientes requisitos de complejidad de contraseñas:

  • Se requiere al menos un carácter en mayúscula en la contraseña.
  • Se requiere al menos un carácter en minúscula en las contraseñas.
  • Se requiere al menos un símbolo en las contraseñas.
  • Se requiere al menos un número en las contraseñas.
  • Requiere una longitud mínima de contraseña de al menos 14 caracteres.
  • Se requieren al menos 24 contraseñas antes de permitir la reutilización.
  • Requerir al menos 90 días antes del vencimiento de la contraseña

Estos controles verifican todos los requisitos de la política de contraseñas especificada.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: IA-5(1)
  • PCI-DSS v3.2.1: 8.2.5

Verifica si la política de contraseñas de la cuenta para los usuarios de IAM cumple con los requisitos especificados

  • Análisis en tiempo real: No

Iam Password Policy Prevents Password Reuse

Nombre de categoría en la API: IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

Descripción del resultado:

Las políticas de contraseñas de IAM pueden evitar que el mismo usuario vuelva a usar una contraseña determinada. Se recomienda que la política de contraseñas evite la reutilización de contraseñas.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 8.3.5, 8.3.6, 8.6.3
  • ISO-27001 v2022: A.5.17
  • Cloud Controls Matrix 4: IAM-02
  • SOC2 v2017: CC6.1.3, CC6.1.8, CC6.1.9
  • CIS AWS Foundation 2.0.0: 1.9
  • CIS Controls 8.0: 5.2

Asegúrate de que la política de contraseñas de IAM evite la reutilización de contraseñas

  • Análisis en tiempo real: No

Iam Password Policy Requires Minimum Length 14 Greater

Nombre de categoría en la API: IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

Descripción del resultado:

Las políticas de contraseñas se usan, en parte, para aplicar requisitos de complejidad de contraseñas. Las políticas de contraseñas de IAM se pueden usar para garantizar que las contraseñas tengan al menos una longitud determinada. Se recomienda que la política de contraseñas requiera una longitud mínima de 14 caracteres.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS AWS Foundation 2.0.0: 1.8
  • CIS Controls 8.0: 5, 5.2

Asegúrate de que la política de contraseñas de IAM requiera una longitud mínima de 14 caracteres

  • Análisis en tiempo real: No

Iam Policies Allow Full Administrative Privileges Attached

Nombre de categoría en la API: IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

Descripción del resultado:

Las políticas de IAM son el medio por el que se otorgan privilegios a los usuarios, los grupos o las funciones. Se recomienda y se considera un consejo de seguridad estándar otorgar privilegios mínimos, es decir, otorgar solo los permisos necesarios para realizar una tarea. Determina lo que los usuarios deben hacer y, luego, crea políticas que les permitan realizar solo esas tareas, en lugar de permitirles privilegios administrativos completos.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.16
  • CIS Controls 8.0: 3.3

Asegúrate de que no se adjunten políticas de IAM que permitan privilegios administrativos completos de "*:*"

  • Análisis en tiempo real: No

Iam Users Receive Permissions Groups

Nombre de categoría en la API: IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

Descripción del resultado:

Los usuarios de IAM obtienen acceso a los servicios, las funciones y los datos a través de las políticas de IAM. Existen cuatro maneras de definir políticas para un usuario: 1) Editar la política del usuario directamente, también conocida como política intercalada o del usuario; 2) adjuntar una política directamente a un usuario; 3) agregar al usuario a un grupo de IAM que tenga una política adjunta; 4) agregar al usuario a un grupo de IAM que tenga una política intercalada.

Solo se recomienda la tercera implementación.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-2, AC-5, AC-6, AU-9
  • PCI-DSS v4.0: 10.3.1, 7.1.1, 7.2.1, 7.2.2, 7.2.4, 7.2.6, 7.3.1, 7.3.2
  • ISO-27001 v2022: A.5.15, A.5.3, A.8.2, A.8.3
  • Cloud Controls Matrix 4: IAM-04
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.3.1, CC6.3.2, CC6.3.3
  • HIPAA: 164.308(a)(3)(ii), 164.308(a)(4)(i), 164.308(a)(4)(ii)
  • CIS AWS Foundation 2.0.0: 1.15
  • CIS Controls 8.0: 6.8

Asegúrate de que los usuarios de IAM reciban permisos solo a través de grupos

  • Análisis en tiempo real: No

Iam User Group Membership Check

Nombre de categoría en la API: IAM_USER_GROUP_MEMBERSHIP_CHECK

Descripción del resultado:

Los usuarios de IAM siempre deben ser parte de un grupo de IAM para cumplir con las prácticas recomendadas de seguridad de IAM.

Cuando se agregan usuarios a un grupo, es posible compartir políticas entre los tipos de usuarios.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-6

Verifica si los usuarios de IAM son miembros de al menos un grupo de IAM

  • Análisis en tiempo real: No

Iam User Mfa Enabled

Nombre de categoría en la API: IAM_USER_MFA_ENABLED

Descripción del resultado:

La autenticación de varios factores (MFA) es una práctica recomendada que agrega una capa extra de protección a los nombres de usuario y las contraseñas. Con la MFA, cuando un usuario accede a la Consola de administración de AWS, debe proporcionar un código de autenticación con límite de tiempo que le proporciona un dispositivo físico o virtual registrado.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • PCI-DSS v3.2.1: 8.3.2

Comprueba si los usuarios de IAM de AWS tienen habilitada la autenticación de varios factores (MFA)

  • Análisis en tiempo real: No

Iam User Unused Credentials Check

Nombre de categoría en la API: IAM_USER_UNUSED_CREDENTIALS_CHECK

Descripción del resultado:

De esta manera, se verifican las contraseñas de IAM o las claves de acceso activas que no se hayan usado en los últimos 90 días.

Se recomienda quitar, desactivar o rotar todas las credenciales que no se hayan usado durante 90 días o más. Esto reduce la ventana de oportunidad para que se usen las credenciales asociadas a una cuenta comprometida o abandonada.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-6
  • PCI-DSS v3.2.1: 8.1.4

Verifica que todos los usuarios de IAM de AWS tengan contraseñas o claves de acceso activas que no se hayan usado en maxCredentialUsageAge días (valor predeterminado: 90)

  • Análisis en tiempo real: No

Kms Cmk Not Scheduled For Deletion

Nombre de categoría en la API: KMS_CMK_NOT_SCHEDULED_FOR_DELETION

Descripción del resultado:

Este control verifica si las claves de KMS están programadas para su eliminación. El control falla si se programa la eliminación de una clave de KMS.

Las claves de KMS no se pueden recuperar una vez que se borran. Los datos encriptados con una clave de KMS tampoco se pueden recuperar de forma permanente si se borra la clave de KMS. Si se encriptaron datos significativos con una clave de KMS programada para su eliminación, considera desencriptarlos o volver a encriptarlos con una clave de KMS nueva, a menos que realices una eliminación criptográfica de forma intencional.

Cuando se programa la eliminación de una clave de KMS, se aplica un período de espera obligatorio para permitir que se revierta la eliminación, si se programó por error. El período de espera predeterminado es de 30 días, pero se puede reducir a 7 días cuando se programa la eliminación de la clave de KMS. Durante el período de espera, se puede cancelar la eliminación programada y no se borrará la clave de KMS.

Para obtener información adicional sobre la eliminación de claves de KMS, consulta Cómo borrar claves de KMS en la Guía para desarrolladores de AWS Key Management Service.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-12

Verifica que ninguna clave de CMK esté programada para su eliminación

  • Análisis en tiempo real: No

Lambda Concurrency Check

Nombre de categoría en la API: LAMBDA_CONCURRENCY_CHECK

Descripción del resultado:

Verifica si la función Lambda está configurada con un límite de ejecución simultánea a nivel de la función. La regla es NON_COMPLIANT si la función Lambda no está configurada con un límite de ejecución simultánea a nivel de la función.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Verifica si las funciones lambda están configuradas con un límite de ejecución simultáneo a nivel del rol

  • Análisis en tiempo real: No

Lambda Dlq Check

Nombre de categoría en la API: LAMBDA_DLQ_CHECK

Descripción del resultado:

Verifica si una función de Lambda está configurada con una fila de mensajes no entregados. La regla es NON_COMPLIANT si la función de Lambda no está configurada con una fila de mensajes no entregados.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-2

Comprueba si las funciones Lambda están configuradas con una fila de mensajes no entregados

  • Análisis en tiempo real: No

Lambda Function Public Access Prohibited

Nombre de categoría en la API: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Descripción del resultado:

Las prácticas recomendadas de AWS recomiendan que la función de Lambda no se exponga públicamente. Esta política verifica todas las funciones de Lambda implementadas en todas las regiones habilitadas de tu cuenta y fallará si están configuradas para permitir el acceso público.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifica si la política adjunta a la función lambda prohíbe el acceso público

  • Análisis en tiempo real: No

Lambda Inside Vpc

Nombre de categoría en la API: LAMBDA_INSIDE_VPC

Descripción del resultado:

Verifica si una función Lambda se encuentra en una VPC. Es posible que veas resultados con errores para los recursos de Lambda@Edge.

No evalúa la configuración de enrutamiento de subredes de VPC para determinar la accesibilidad pública.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Comprueba si las funciones Lambda existen en una VPC

  • Análisis en tiempo real: No

Mfa Delete Enabled S3 Buckets

Nombre de categoría en la API: MFA_DELETE_ENABLED_S3_BUCKETS

Descripción del resultado:

Una vez que se habilita la eliminación de MFA en tu bucket de S3 sensible y clasificado, el usuario debe tener dos formas de autenticación.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.2
  • CIS Controls 8.0: 3.3, 6.5

Asegúrate de que la eliminación MFA esté habilitada en los buckets de S3

  • Análisis en tiempo real: No

Mfa Enabled Root User Account

Nombre de categoría en la API: MFA_ENABLED_ROOT_USER_ACCOUNT

Descripción del resultado:

La cuenta de usuario "root" es el usuario con más privilegios en una cuenta de AWS. La autenticación de varios factores (MFA) agrega una capa adicional de protección a un nombre de usuario y una contraseña. Con la MFA habilitada, cuando un usuario acceda a un sitio web de AWS, se le solicitará su nombre de usuario y contraseña, así como un código de autenticación de su dispositivo de MFA de AWS.

Nota: Cuando se usa la MFA virtual para cuentas "root", se recomienda que el dispositivo que se use NO sea personal, sino un dispositivo móvil dedicado (tablet o teléfono) que se administre para que se mantenga cargado y protegido independientemente de cualquier dispositivo personal individual. ("MFA virtual no personal"). Esto reduce los riesgos de perder el acceso a la MFA debido a la pérdida o el intercambio del dispositivo, o si la persona propietaria del dispositivo ya no trabaja en la empresa.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.5
  • CIS Controls 8.0: 6.5

Asegúrate de que la MFA esté habilitada para la cuenta de usuario "raíz"

  • Análisis en tiempo real: No

Multi Factor Authentication Mfa Enabled All Iam Users Console

Nombre de categoría en la API: MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

Descripción del resultado:

La autenticación de varios factores (MFA) agrega una capa adicional de garantía de autenticación más allá de las credenciales tradicionales. Con la MFA habilitada, cuando un usuario acceda a la consola de AWS, se le solicitará su nombre de usuario y contraseña, así como un código de autenticación de su token de MFA físico o virtual. Se recomienda habilitar la MFA para todas las cuentas que tengan una contraseña de la consola.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.10
  • CIS Controls 8.0: 6.5

Asegúrate de que la autenticación de varios factores (MFA) esté habilitada para todos los usuarios de IAM que tengan una contraseña de la consola

  • Análisis en tiempo real: No

No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration

Nombre de categoría en la API: NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Descripción del resultado:

La función de lista de control de acceso a la red (NACL) proporciona un filtrado sin estado del tráfico de red de entrada y salida a los recursos de AWS. Se recomienda que ninguna NACL permita el acceso de entrada sin restricciones a los puertos de administración del servidor remoto, como SSH al puerto 22 y RDP al puerto 3389, con los protocolos TDP (6), UDP (17) o ALL (-1).

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS AWS Foundation 2.0.0: 5.1

Asegúrate de que ninguna LCA de red permita la entrada de 0.0.0.0/0 a los puertos de administración del servidor remoto

  • Análisis en tiempo real: No

No Root User Account Access Key Exists

Nombre de categoría en la API: NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

Descripción del resultado:

La cuenta de usuario "root" es el usuario con más privilegios en una cuenta de AWS. Las claves de acceso de AWS proporcionan acceso programático a una cuenta de AWS determinada. Se recomienda borrar todas las claves de acceso asociadas con la cuenta de usuario "root".

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 8.1.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.4
  • CIS Controls 8.0: 3.3, 5.4

Asegúrate de que no exista una clave de acceso a una cuenta de usuario "raíz"

  • Análisis en tiempo real: No

No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration

Nombre de categoría en la API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Descripción del resultado:

Los grupos de seguridad proporcionan un filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Se recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones a los puertos de administración del servidor remoto, como SSH al puerto 22 y RDP al puerto 3389, con los protocolos TDP (6), UDP (17) o TODOS (-1).

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS AWS Foundation 2.0.0: 5.2

Asegúrate de que ningún grupo de seguridad permita la entrada de 0.0.0.0/0 a los puertos de administración del servidor remoto

  • Análisis en tiempo real: No

No Security Groups Allow Ingress 0 Remote Server Administration

Nombre de categoría en la API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

Descripción del resultado:

Los grupos de seguridad proporcionan un filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Se recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones a los puertos de administración del servidor remoto, como SSH al puerto 22 y RDP al puerto 3389.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS AWS Foundation 2.0.0: 5.3

Asegúrate de que ningún grupo de seguridad permita la entrada de ::/0 a los puertos de administración del servidor remoto

  • Análisis en tiempo real: No

One Active Access Key Available Any Single Iam User

Nombre de categoría en la API: ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

Descripción del resultado:

Las claves de acceso son credenciales a largo plazo para un usuario de IAM o el usuario "root" de la cuenta de AWS. Puedes usar claves de acceso para firmar solicitudes programáticas a la CLI de AWS o a la API de AWS (directamente o con el SDK de AWS).

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • CIS AWS Foundation 2.0.0: 1.13
  • CIS Controls 8.0: 5

Asegúrate de que solo haya disponible una clave de acceso activa para cada usuario de IAM

  • Análisis en tiempo real: No

Public Access Given Rds Instance

Nombre de categoría en la API: PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

Descripción del resultado:

Asegúrate de que las instancias de bases de datos de RDS aprovisionadas en tu cuenta de AWS restrinjan el acceso no autorizado para minimizar los riesgos de seguridad. Para restringir el acceso a cualquier instancia de base de datos de RDS de acceso público, debes inhabilitar la marca de acceso público de la base de datos y actualizar el grupo de seguridad de la VPC asociado con la instancia.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v3.2.1: 2.2.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.3.3
  • CIS Controls 8.0: 3.3

Garantiza que no se otorgue acceso público a la Instancia de RDS

  • Análisis en tiempo real: No

Rds Enhanced Monitoring Enabled

Nombre de categoría en la API: RDS_ENHANCED_MONITORING_ENABLED

Descripción del resultado:

La supervisión mejorada proporciona métricas en tiempo real sobre el sistema operativo en el que se ejecuta la instancia de RDS a través de un agente instalado en la instancia.

Para obtener más detalles, consulta Supervisa las métricas del SO con la supervisión mejorada.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-2

Comprueba si la supervisión mejorada está habilitada para todas las instancias de base de datos de RDS

  • Análisis en tiempo real: No

Rds Instance Deletion Protection Enabled

Nombre de categoría en la API: RDS_INSTANCE_DELETION_PROTECTION_ENABLED

Descripción del resultado:

Habilitar la protección contra la eliminación de instancias es una capa adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada.

Mientras la protección contra la eliminación esté habilitada, no se puede borrar una instancia de la base de datos de RDS. Para que una solicitud de eliminación se realice correctamente, se debe inhabilitar la protección contra la eliminación.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-13(5)

Comprueba si todas las instancias de RDS tienen la protección contra la eliminación habilitada

  • Análisis en tiempo real: No

Rds In Backup Plan

Nombre de categoría en la API: RDS_IN_BACKUP_PLAN

Descripción del resultado:

Esta verificación evalúa si las instancias de la base de datos de Amazon RDS están cubiertas por un plan de copias de seguridad. Este control falla si una instancia de base de datos de RDS no está cubierta por un plan de copias de seguridad.

AWS Backup es un servicio de copia de seguridad completamente administrado que centraliza y automatiza la creación de copias de seguridad de los datos en los servicios de AWS. Con AWS Backup, puedes crear políticas de copia de seguridad llamadas planes de copia de seguridad. Puedes usar estos planes para definir tus requisitos de copia de seguridad, como la frecuencia con la que se deben crear copias de seguridad de tus datos y por cuánto tiempo se deben retener esas copias de seguridad. Si incluyes instancias de base de datos de RDS en un plan de copias de seguridad, podrás proteger tus datos contra la pérdida o eliminación no deseadas.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-13(5)

Las instancias de base de datos de RDS deben estar protegidas por un plan de copias de seguridad

  • Análisis en tiempo real: No

Rds Logging Enabled

Nombre de categoría en la API: RDS_LOGGING_ENABLED

Descripción del resultado:

De esta manera, se verifica si los siguientes registros de Amazon RDS están habilitados y se envían a CloudWatch.

Las bases de datos de RDS deben tener habilitados los registros relevantes. El registro de la base de datos proporciona registros detallados de las solicitudes que se realizan a RDS. Los registros de la base de datos pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-7(8)

Comprueba si los registros exportados están habilitados para todas las instancias de base de datos de RDS

  • Análisis en tiempo real: No

Rds Multi Az Support

Nombre de categoría en la API: RDS_MULTI_AZ_SUPPORT

Descripción del resultado:

Las instancias de la base de datos de RDS deben configurarse para varias zonas de disponibilidad (AZ). Esto garantiza la disponibilidad de los datos almacenados. Las implementaciones de varias zonas de disponibilidad permiten la conmutación por error automática si hay un problema con la disponibilidad de la zona de disponibilidad y durante el mantenimiento normal de RDS.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-13(5)

Comprueba si la alta disponibilidad está habilitada para todas las instancias de la base de datos de RDS

  • Análisis en tiempo real: No

Redshift Cluster Configuration Check

Nombre de categoría en la API: REDSHIFT_CLUSTER_CONFIGURATION_CHECK

Descripción del resultado:

Esta opción verifica los elementos esenciales de un clúster de Redshift: la encriptación en reposo, el registro y el tipo de nodo.

Estos elementos de configuración son importantes para mantener un clúster de Redshift seguro y observable.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Verifica que todos los clústeres de Redshift tengan la encriptación en reposo, el registro y el tipo de nodo configurados.

  • Análisis en tiempo real: No

Redshift Cluster Maintenancesettings Check

Nombre de categoría en la API: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

Descripción del resultado:

Las actualizaciones automáticas de versiones principales se realizan según el período de mantenimiento.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-2

Verifica que todos los clústeres de Redshift tengan allowVersionUpgrade habilitado, y preferredMaintenanceWindow y automatedSnapshotRetentionPeriod configurados

  • Análisis en tiempo real: No

Redshift Cluster Public Access Check

Nombre de categoría en la API: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

Descripción del resultado:

El atributo PubliclyAccessible de la configuración del clúster de Amazon Redshift indica si se puede acceder al clúster de forma pública. Cuando el clúster se configura con PubliclyAccessible establecido como verdadero, es una instancia orientada a Internet que tiene un nombre de DNS que se puede resolver públicamente, que se resuelve en una dirección IP pública.

Cuando no se puede acceder al clúster de forma pública, se trata de una instancia interna con un nombre de DNS que se resuelve en una dirección IP privada. A menos que quieras que se pueda acceder públicamente a tu clúster, no debes configurarlo con PubliclyAccessible establecido como verdadero.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifica si se puede acceder públicamente a los clústeres de Redshift

  • Análisis en tiempo real: No

Restricted Common Ports

Nombre de categoría en la API: RESTRICTED_COMMON_PORTS

Descripción del resultado:

De esta manera, se verifica si los puertos especificados que tienen el mayor riesgo pueden acceder al tráfico entrante sin restricciones de los grupos de seguridad. Este control falla si alguna de las reglas de un grupo de seguridad permite el tráfico de entrada de "0.0.0.0/0" o "::/0" para esos puertos.

El acceso sin restricciones (0.0.0.0/0) aumenta las oportunidades de actividad maliciosa, como hackeo, ataques de denegación del servicio y pérdida de datos.

Los grupos de seguridad proporcionan un filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Ningún grupo de seguridad debe permitir el acceso de entrada sin restricciones a los siguientes puertos:

  • 20 y 21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 25 (SMTP)
  • 110 (POP3)
  • 135 (RPC)
  • 143 (IMAP)
  • 445 (CIFS)
  • 1433 y 1434 (MSSQL)
  • 3, 000 (frameworks de desarrollo web de Go, Node.js y Ruby)
  • 3306 (MySQL)
  • 3389 (RDP)
  • 4333 (ahsp)
  • 5,000 (frameworks de desarrollo web de Python)
  • 5432 (postgresql)
  • 5500 (fcp-addr-srvr1)
  • 5601 (paneles de OpenSearch)
  • 8080 (proxy)
  • 8088 (puerto HTTP heredado)
  • 8888 (puerto HTTP alternativo)
  • 9200 o 9300 (OpenSearch)

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Los grupos de seguridad no deben permitir el acceso sin restricciones a puertos de alto riesgo

  • Análisis en tiempo real: No

Restricted Ssh

Nombre de categoría en la API: RESTRICTED_SSH

Descripción del resultado:

Los grupos de seguridad proporcionan un filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS.

CIS recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones al puerto 22. Quitar la conectividad sin restricciones a los servicios de consola remota, como SSH, reduce la exposición de un servidor a riesgos.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Los grupos de seguridad no deben permitir la entrada de 0.0.0.0/0 al puerto 22

  • Análisis en tiempo real: No

Rotation Customer Created Cmks Enabled

Nombre de categoría en la API: ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

Descripción del resultado:

Verifica si la rotación automática de claves está habilitada para cada clave y si coincide con el ID de clave de la clave de AWS KMS creada por el cliente. La regla es NON_COMPLIANT si el rol de registrador de AWS Config de un recurso no tiene el permiso kms:DescribeKey.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Asegúrate de que esté habilitada la rotación de los CMK creados por el cliente

  • Análisis en tiempo real: No

Rotation Customer Created Symmetric Cmks Enabled

Nombre de categoría en la API: ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

Descripción del resultado:

El Servicio de administración de claves (KMS) de AWS permite a los clientes rotar la clave de respaldo, que es el material de clave almacenado en el KMS y que está vinculado al ID de clave de la clave maestra del cliente (CMK) creada por el cliente. Es la clave de respaldo que se usa para realizar operaciones criptográficas, como la encriptación y la desencriptación. Actualmente, la rotación de claves automática retiene todas las claves de copia de seguridad anteriores para que la desencriptación de los datos encriptados pueda realizarse de forma transparente. Se recomienda habilitar la rotación de claves de CMK para las claves simétricas. No se puede habilitar la rotación de claves para ninguna CMK asimétrica.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.8
  • CIS Controls 8.0: 3.11

Asegúrate de que esté habilitada la rotación de los CMK simétricos creados por el cliente

  • Análisis en tiempo real: No

Routing Tables Vpc Peering Are Least Access

Nombre de categoría en la API: ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

Descripción del resultado:

Verifica si las tablas de enrutamiento para el intercambio de tráfico entre VPC están configuradas con el principio de menos privilegios.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Asegúrate de que las tablas de enrutamiento del intercambio de tráfico entre VPC sea de "mínimo acceso"

  • Análisis en tiempo real: No

S3 Account Level Public Access Blocks

Nombre de categoría en la API: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

Descripción del resultado:

El bloqueo de acceso público de Amazon S3 proporciona parámetros de configuración para puntos de acceso, buckets y cuentas para ayudarte a administrar el acceso público a los recursos de Amazon S3. De forma predeterminada, los buckets, los puntos de acceso y los objetos nuevos no permiten el acceso público.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

Esta categoría de hallazgo no está asignada a ningún control de estándares de cumplimiento.

Verifica si están configurados los parámetros requeridos del bloqueo de acceso público de S3 a nivel de la cuenta

  • Análisis en tiempo real: No

S3 Buckets Configured Block Public Access Bucket And Account Settings

Nombre de categoría en la API: S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

Descripción del resultado:

Amazon S3 proporciona Block public access (bucket settings) y Block public access (account settings) para ayudarte a administrar el acceso público a los recursos de Amazon S3. De forma predeterminada, los objetos y buckets de S3 se crean con el acceso público inhabilitado. Sin embargo, un principal de IAM de AWS con permisos de S3 suficientes puede habilitar el acceso público a nivel del bucket o del objeto. Cuando está habilitado, Block public access (bucket settings) evita que un bucket individual y sus objetos contenidos sean de acceso público. De manera similar, Block public access (account settings) evita que todos los buckets y los objetos contenidos sean de acceso público en toda la cuenta.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.4
  • CIS Controls 8.0: 3.3

Asegúrate de que los buckets de S3 estén configurados con Block public access (bucket settings).

  • Análisis en tiempo real: No

S3 Bucket Access Logging Enabled Cloudtrail S3 Bucket

Nombre de categoría en la API: S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

Descripción del resultado:

El registro de acceso al bucket de S3 genera un registro que contiene registros de acceso para cada solicitud que se realiza a tu bucket de S3. Un registro de acceso contiene detalles sobre la solicitud, como el tipo de solicitud, los recursos especificados en la solicitud que funcionaron y la hora y la fecha en que se procesó la solicitud. Se recomienda habilitar el registro de acceso al bucket en el bucket de S3 de CloudTrail.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-6, AU-12, AU-2
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1
  • ISO-27001 v2022: A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • SOC2 v2017: CC6.1.1, CC6.1.10, CC6.1.11, CC6.1.12, CC6.1.13, CC6.1.2, CC6.1.3, CC6.1.4, CC6.1.5, CC6.1.6, CC6.1.7, CC6.1.8, CC6.1.9
  • HIPAA: 164.312(b), 164.312(c)(1), 164.312(c)(2)
  • CIS AWS Foundation 2.0.0: 3.6
  • CIS Controls 8.0: 3.14, 8.2

Asegúrate de que el registro de acceso al bucket de S3 esté habilitado en el bucket de S3 de CloudTrail

  • Análisis en tiempo real: No

S3 Bucket Logging Enabled

Nombre de categoría en la API: S3_BUCKET_LOGGING_ENABLED

Descripción del resultado:

La función de registro de acceso al servidor de AWS S3 registra las solicitudes de acceso a los buckets de almacenamiento, lo que es útil para las auditorías de seguridad. De forma predeterminada, el registro de acceso del servidor no está habilitado para los buckets de S3.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Verifica si el registro está habilitado en todos los buckets de S3

  • Análisis en tiempo real: No

S3 Bucket Policy Set Deny Http Requests

Nombre de categoría en la API: S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

Descripción del resultado:

A nivel del bucket de Amazon S3, puedes configurar permisos a través de una política de bucket que permita el acceso a los objetos solo a través de HTTPS.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.1.1
  • CIS Controls 8.0: 3.10

Asegúrate de que la política de buckets de S3 esté configurada para rechazar solicitudes HTTP

  • Análisis en tiempo real: No

S3 Bucket Replication Enabled

Nombre de categoría en la API: S3_BUCKET_REPLICATION_ENABLED

Descripción del resultado:

Este control verifica si un bucket de Amazon S3 tiene habilitada la replicación entre regiones. El control falla si el bucket no tiene habilitada la replicación entre regiones o si también está habilitada la replicación en la misma región.

La replicación es la copia automática y asíncrona de objetos entre buckets en la misma región de AWS o en diferentes regiones. La replicación copia los objetos creados recientemente y las actualizaciones de objetos de un bucket de origen a uno o varios buckets de destino. Las prácticas recomendadas de AWS recomiendan la replicación para los buckets de origen y destino que pertenecen a la misma cuenta de AWS. Además de la disponibilidad, debes considerar otros parámetros de configuración de endurecimiento de sistemas.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-13(5)

Verifica si los buckets de S3 tienen habilitada la replicación entre regiones

  • Análisis en tiempo real: No

S3 Bucket Server Side Encryption Enabled

Nombre de categoría en la API: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

Descripción del resultado:

De esta manera, se verifica que tu bucket de S3 tenga habilitada la encriptación predeterminada de Amazon S3 o que la política de buckets de S3 rechace de forma explícita las solicitudes de colocación de objetos sin encriptación del servidor.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2

Asegúrate de que todos los buckets de S3 utilicen la encriptación en reposo

  • Análisis en tiempo real: No

S3 Bucket Versioning Enabled

Nombre de categoría en la API: S3_BUCKET_VERSIONING_ENABLED

Descripción del resultado:

Amazon S3 es una forma de mantener varias variantes de un objeto en el mismo bucket y puede ayudarte a recuperarte con mayor facilidad de las acciones no deseadas de los usuarios y las fallas de la aplicación.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-13(5)
  • PCI-DSS v3.2.1: 10.5.5

Verifica que el control de versiones esté habilitado en todos los buckets de S3

  • Análisis en tiempo real: No

S3 Default Encryption Kms

Nombre de categoría en la API: S3_DEFAULT_ENCRYPTION_KMS

Descripción del resultado:

Verifica si los buckets de Amazon S3 están encriptados con el servicio de administración de claves (KMS) de AWS

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-7(6)

Verifica que todos los buckets estén encriptados con KMS

  • Análisis en tiempo real: No

Sagemaker Notebook Instance Kms Key Configured

Nombre de categoría en la API: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

Descripción del resultado:

Verifica si se configuró una clave del servicio de administración de claves (AWS KMS) para una instancia de notebook de Amazon SageMaker. La regla es NON_COMPLIANT si no se especifica "KmsKeyId" para la instancia de notebook de SageMaker.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Verifica que todas las instancias de notebooks de SageMaker estén configuradas para usar KMS

  • Análisis en tiempo real: No

Sagemaker Notebook No Direct Internet Access

Nombre de categoría en la API: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

Descripción del resultado:

Verifica si el acceso directo a Internet está inhabilitado para una instancia de notebook de SageMaker. Para ello, verifica si el campo DirectInternetAccess está inhabilitado para la instancia del notebook.

Si configuras tu instancia de SageMaker sin una VPC, el acceso directo a Internet se habilita de forma predeterminada en tu instancia. Debes configurar tu instancia con una VPC y cambiar el parámetro de configuración predeterminado a Inhabilitar: Accede a Internet a través de una VPC.

Para entrenar o alojar modelos desde una notebook, necesitas acceso a Internet. Para habilitar el acceso a Internet, asegúrate de que tu VPC tenga una puerta de enlace NAT y de que tu grupo de seguridad permita las conexiones salientes. Para obtener más información sobre cómo conectar una instancia de notebook a recursos en una VPC, consulta Cómo conectar una instancia de notebook a recursos en una VPC en la Guía para desarrolladores de Amazon SageMaker.

También debes asegurarte de que el acceso a la configuración de SageMaker esté limitado solo a los usuarios autorizados. Restringe los permisos de IAM de los usuarios para modificar la configuración y los recursos de SageMaker.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifica si el acceso directo a Internet está inhabilitado para todas las instancias de notebook de Amazon SageMaker

  • Análisis en tiempo real: No

Secretsmanager Rotation Enabled Check

Nombre de categoría en la API: SECRETSMANAGER_ROTATION_ENABLED_CHECK

Descripción del resultado:

Verifica si un secreto almacenado en AWS Secrets Manager está configurado con rotación automática. El control falla si el secreto no está configurado con rotación automática. Si proporcionas un valor personalizado para el parámetro maximumAllowedRotationFrequency, el control se aprobará solo si el secreto se rota automáticamente dentro del período especificado.

Secret Manager te ayuda a mejorar la postura de seguridad de tu organización. Los secretos incluyen credenciales de bases de datos, contraseñas y claves de API de terceros. Puedes usar Secret Manager para almacenar secretos de forma centralizada, encriptarlos automáticamente, controlar el acceso a ellos y rotar los secretos de forma segura y automática.

Secret Manager puede rotar secretos. Puedes usar la rotación para reemplazar secretos a largo plazo por secretos a corto plazo. La rotación de secretos limita el tiempo que un usuario no autorizado puede usar un secreto comprometido. Por este motivo, debes rotar tus secretos con frecuencia. Para obtener más información sobre la rotación, consulta Rota los secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4

Verifica que todos los secretos de AWS Secrets Manager tengan la rotación habilitada

  • Análisis en tiempo real: No

Sns Encrypted Kms

Nombre de categoría en la API: SNS_ENCRYPTED_KMS

Descripción del resultado:

Verifica si un tema de SNS está encriptado en reposo con AWS KMS. Los controles fallan si un tema de SNS no usa una clave de KMS para la encriptación del servidor (SSE).

La encriptación de datos en reposo reduce el riesgo de que un usuario que no se autenticó en AWS acceda a los datos almacenados en el disco. También agrega otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para desencriptar los datos antes de que se puedan leer. Los temas de SNS deben estar encriptados en reposo para agregar una capa de seguridad.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-7(6)

Verifica que todos los temas de SNS estén encriptados con KMS

  • Análisis en tiempo real: No

Vpc Default Security Group Closed

Nombre de categoría en la API: VPC_DEFAULT_SECURITY_GROUP_CLOSED

Descripción del resultado:

Este control verifica si el grupo de seguridad predeterminado de una VPC permite el tráfico entrante o saliente. El control falla si el grupo de seguridad permite el tráfico entrante o saliente.

Las reglas del grupo de seguridad predeterminado permiten todo el tráfico entrante y saliente de las interfaces de red (y sus instancias asociadas) que se asignan al mismo grupo de seguridad. Te recomendamos que no uses el grupo de seguridad predeterminado. Como no se puede borrar el grupo de seguridad predeterminado, debes cambiar la configuración de las reglas del grupo de seguridad predeterminado para restringir el tráfico entrante y saliente. Esto evita el tráfico no deseado si el grupo de seguridad predeterminado se configura accidentalmente para recursos como instancias de EC2.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Asegúrate de que el grupo de seguridad predeterminado de cada VPC restrinja todo el tráfico

  • Análisis en tiempo real: No

Vpc Flow Logging Enabled All Vpcs

Nombre de categoría en la API: VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

Descripción del resultado:

Los registros de flujo de VPC son una función que te permite captar información sobre el tráfico de IP desde y hacia las interfaces de red de tu VPC. Después de crear un registro de flujo, puedes ver y recuperar sus datos en los registros de Amazon CloudWatch. Se recomienda habilitar los registros de flujo de VPC para los “rechazos” de paquetes de las VPC.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-4, SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS AWS Foundation 2.0.0: 3.9
  • CIS Controls 8.0: 13.6, 8.2

Asegúrate de que el registro de flujo de VPC esté habilitado en todas las VPC

  • Análisis en tiempo real: No

Vpc Sg Open Only To Authorized Ports

Nombre de categoría en la API: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

Descripción del resultado:

Este control verifica si un grupo de seguridad de Amazon EC2 permite tráfico entrante sin restricciones desde puertos no autorizados. El estado del control se determina de la siguiente manera:

Si usas el valor predeterminado de authorizedTcpPorts, el control falla si el grupo de seguridad permite tráfico entrante sin restricciones desde cualquier puerto que no sea el 80 ni el 443.

Si proporcionas valores personalizados para authorizedTcpPorts o authorizedUdpPorts, el control fallará si el grupo de seguridad permite tráfico entrante sin restricciones desde cualquier puerto que no esté en la lista.

Si no se usa ningún parámetro, el control falla para cualquier grupo de seguridad que tenga una regla de tráfico entrante sin restricciones.

Los grupos de seguridad proporcionan un filtrado con estado del tráfico de red de entrada y salida a AWS. Las reglas de los grupos de seguridad deben seguir el principio de acceso de privilegio mínimo. El acceso sin restricciones (dirección IP con un sufijo /0) aumenta las oportunidades de actividades maliciosas, como hackeos, ataques de denegación del servicio y pérdida de datos. A menos que se permita un puerto de forma específica, este debe denegar el acceso sin restricciones.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifica que los grupos de seguridad con 0.0.0.0/0 de todas las VPC solo permitan tráfico de TCP/UDP entrante específico

  • Análisis en tiempo real: No

Both VPC VPN Tunnels Up

Nombre de categoría en la API: VPC_VPN_2_TUNNELS_UP

Descripción del resultado:

Un túnel VPN es un vínculo encriptado por el que los datos pueden pasar de la red del cliente a AWS o desde AWS dentro de una conexión de VPN de sitio a sitio de AWS. Cada conexión de VPN incluye dos túneles VPN que puedes usar de forma simultánea para obtener alta disponibilidad. Es importante asegurarse de que ambos túneles de VPN estén activos para una conexión de VPN para confirmar una conexión segura y con alta disponibilidad entre una VPC de AWS y tu red remota.

Este control verifica que ambos túneles VPN proporcionados por la VPN de sitio a sitio de AWS estén en estado ACTIVADO. El control falla si uno o ambos túneles están en estado DOWN.

Nivel de precios: Empresarial

Corrige este hallazgo

Estándares de cumplimiento:

  • NIST 800-53 R5: SI-13(5)

Verifica que estén configurados los túneles VPN de AWS proporcionados por AWS entre sitios

  • Análisis en tiempo real: No

Resultados de Web Security Scanner

Los análisis personalizados y administrados de Web Security Scanner identifican los siguientes tipos de resultados. En el nivel Standard, Web Security Scanner admite análisis personalizados de aplicaciones implementadas con URLs e IP públicas que no están detrás de un firewall.

Categoría Descripción del resultado Los 10 mejores de OWASP de 2017 Los 10 mejores de OWASP de 2021

Accessible Git repository

Nombre de categoría en la API: ACCESSIBLE_GIT_REPOSITORY

Un repositorio de Git se expone públicamente. Para resolver este problema, quita el acceso público no intencional al repositorio de GIT.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A5 A01

Accessible SVN repository

Nombre de categoría en la API: ACCESSIBLE_SVN_REPOSITORY

Un repositorio de SVN se expone públicamente. Para solucionar este problema, quita el acceso no intencional al público en el repositorio de SVN.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A5 A01

Cacheable password input

Nombre de categoría en la API: CACHEABLE_PASSWORD_INPUT

Las contraseñas ingresadas en la aplicación web se pueden almacenar en la caché de un navegador normal, en lugar de un almacenamiento de contraseña seguro.

Nivel de precios: Premium

Corregir este hallazgo

A3 A04

Clear text password

Nombre de categoría en la API: CLEAR_TEXT_PASSWORD

Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver esto, encripta la contraseña que se transmite a través de la red.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A3 A02

Insecure allow origin ends with validation

Nombre de categoría en la API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Un extremo HTTP o HTTPS entre sitios solo valida un sufijo del encabezado de solicitud Origin antes de reflejarlo dentro del encabezado de respuesta Access-Control-Allow-Origin. Para resolver este resultado, valida que el dominio raíz esperado sea parte del valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. Para los comodines de subdominio, antepón el punto al dominio raíz, por ejemplo, .endsWith(".google.com").

Nivel de precios: Premium

Corregir este hallazgo

A5 A01

Insecure allow origin starts with validation

Nombre de categoría en la API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Un extremo HTTP o HTTPS entre sitios valida solo un prefijo del encabezado de solicitud Origin antes de reflejarlo dentro del encabezado de respuesta Access-Control-Allow-Origin. Para resolver este resultado, verifica que el dominio esperado coincida por completo con el valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta de Access-Control-Allow-Origin, por ejemplo, .equals(".google.com").

Nivel de precios: Premium

Corregir este hallazgo

A5 A01

Invalid content type

Nombre de categoría en la API: INVALID_CONTENT_TYPE

Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver este problema, configura el encabezado HTTP X-Content-Type-Options con el valor correcto.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A6 A05

Invalid header

Nombre de categoría en la API: INVALID_HEADER

Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A6 A05

Mismatching security header values

Nombre de categoría en la API: MISMATCHING_SECURITY_HEADER_VALUES

Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A6 A05

Misspelled security header name

Nombre de categoría en la API: MISSPELLED_SECURITY_HEADER_NAME

Un encabezado de seguridad está mal escrito y se ignora. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A6 A05

Mixed content

Nombre de categoría en la API: MIXED_CONTENT

Los recursos se envían a través de HTTP en una página HTTPS. Para resolver esto, asegúrate de que todos los recursos se entreguen a través de HTTPS.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A6 A05

Outdated library

Nombre de categoría en la API: OUTDATED_LIBRARY

Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver esto, actualiza las bibliotecas a una versión más reciente.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A9 A06

Server side request forgery

Nombre de categoría en la API: SERVER_SIDE_REQUEST_FORGERY

Se detectó una vulnerabilidad de falsificación de solicitudes del servidor (SSRF). Para resolver este resultado, usa una lista de entidades permitidas a fin de limitar los dominios y las direcciones IP a las que la aplicación web puede realizar solicitudes.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

No aplicable A10

Session ID leak

Nombre de categoría en la API: SESSION_ID_LEAK

Cuando se realiza una solicitud de dominio cruzado, la aplicación web incluye el identificador de sesión del usuario en el encabezado de su solicitud Referer. Esta vulnerabilidad le otorga al dominio receptor acceso al identificador de sesión, que se puede usar para actuar como el usuario o identificarlo de forma única.

Nivel de precios: Premium

Corregir este hallazgo

A2 A07

SQL injection

Nombre de categoría en la API: SQL_INJECTION

Se detectó una posible vulnerabilidad de inyección de SQL. Para resolver este resultado, usa consultas con parámetros para evitar que las entradas del usuario influyan en la estructura de la consulta de SQL.

Nivel de precios: Premium

Corregir este hallazgo

A1 A03

Struts insecure deserialization

Nombre de categoría en la API: STRUTS_INSECURE_DESERIALIZATION

Se detectó el uso de una versión vulnerable de Apache Struts. Para resolver este resultado, actualiza Apache Stuuts a la versión más reciente.

Nivel de precios: Premium

Corregir este hallazgo

A8 A08

XSS

Nombre de categoría en la API: XSS

Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y escapa los datos no confiables del usuario.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A7 A03

XSS angular callback

Nombre de categoría en la API: XSS_ANGULAR_CALLBACK

La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para resolver esto, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A7 A03

XSS error

Nombre de categoría en la API: XSS_ERROR

Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver esto, valida y escapa los datos no confiables del usuario.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A7 A03

XXE reflected file leakage

Nombre de categoría en la API: XXE_REFLECTED_FILE_LEAKAGE

Se detectó una vulnerabilidad XML External Entity (XXE). Esta vulnerabilidad puede hacer que la aplicación web filtre un archivo en el host. Para resolver este resultado, configura tus analizadores de XML a fin de inhabilitar las entidades externas.

Nivel de precios: Premium

Corregir este hallazgo

A4 A05

Prototype pollution

Nombre de categoría en la API: PROTOTYPE_POLLUTION

La aplicación es vulnerable a la contaminación del prototipo. Esta vulnerabilidad surge cuando se pueden asignar valores controlables por el atacante a las propiedades del objeto Object.prototype. Los valores que se colocan en estos prototipos se supone que universalmente se traducen en secuencia de comandos entre sitios o vulnerabilidades del cliente similares, al igual que errores de lógica.

Nivel de precios: Premium o Estándar

Corregir este hallazgo

A1 A03

Resultados del recomendador de IAM

En la siguiente tabla, se enumeran los hallazgos de Security Command Center que genera el recomendador de IAM.

Cada hallazgo del recomendador de IAM contiene recomendaciones específicas para quitar o reemplazar un rol que incluye permisos excesivos de una principal en tu entorno de Google Cloud.

Los resultados que genera el recomendador de IAM corresponden a las recomendaciones que aparecen en la consola de Google Cloud en la página de IAM del proyecto, la carpeta o la organización afectados.

Para obtener más información sobre la integración del recomendador de IAM con Security Command Center, consulta Fuentes de seguridad.

Detector Resumen

IAM role has excessive permissions

Nombre de categoría en la API: IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

Descripción del problema: El recomendador de IAM detectó una cuenta de servicio que tiene uno o más roles de IAM que otorgan permisos excesivos a la cuenta de usuario.

Nivel de precios: Premium

Recursos admitidos:

Corrige este hallazgo :

Usa el recomendador de IAM para aplicar la corrección recomendada para este hallazgo. Para ello, sigue estos pasos:

  1. En la sección Próximos pasos de los detalles del hallazgo en la consola de Google Cloud, copia y pega la URL de la página IAM en la barra de direcciones del navegador y presiona Intro. Se cargará la página IAM.
  2. Cerca de la parte superior de la página IAM, en el lado derecho, haz clic en Ver recomendaciones en la tabla. Las recomendaciones se muestran en una tabla.
  3. En la columna Estadísticas de seguridad, haz clic en cualquier recomendación que se relacione con permisos excesivos. Se abrirá el panel de detalles de la recomendación.
  4. Revisa la recomendación sobre las acciones que puedes realizar para resolver el problema.
  5. Haz clic en Aplicar.

Una vez que se solucione el problema, el recomendador de IAM actualizará el estado del hallazgo a INACTIVE en un plazo de 10 días.

Service agent role replaced with basic role

Nombre de categoría en la API: SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

Descripción del problema: El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio se reemplazó por uno de los roles de IAM básicos: Propietario, Editor o Visualizador. Los roles básicos son roles heredados demasiado permisivos y no se deben otorgar a los agentes de servicio.

Nivel de precios: Premium

Recursos admitidos:

Corrige este hallazgo :

Usa el recomendador de IAM para aplicar la corrección recomendada para este hallazgo. Para ello, sigue estos pasos:

  1. En la sección Próximos pasos de los detalles de la búsqueda en la consola de Google Cloud, copia y pega la URL de la página IAM en la barra de direcciones del navegador y presiona Intro. Se cargará la página IAM.
  2. Cerca de la parte superior de la página IAM, en el lado derecho, haz clic en Ver recomendaciones en la tabla. Las recomendaciones se muestran en una tabla.
  3. En la columna Estadísticas de seguridad, haz clic en cualquier permiso que se relacione con permisos excesivos. Se abrirá el panel de detalles de la recomendación.
  4. Revisa los permisos excesivos.
  5. Haz clic en Aplicar.

Una vez que se solucione el problema, el recomendador de IAM actualizará el estado del hallazgo a INACTIVE en un plazo de 10 días.

Service agent granted basic role

Nombre de categoría en la API: SERVICE_AGENT_GRANTED_BASIC_ROLE

Descripción del hallazgo: El recomendador de IAM detectó que a un agente de servicio se le otorgó uno de los roles básicos de IAM: propietario, editor o visualizador. Los roles básicos son roles heredados demasiado permisivos y no se deben otorgar a los agentes de servicio.

Nivel de precios: Premium

Recursos admitidos:

Corrige este hallazgo :

Usa el recomendador de IAM para aplicar la corrección recomendada para este hallazgo. Para ello, sigue estos pasos:

  1. En la sección Próximos pasos de los detalles de la búsqueda en la consola de Google Cloud, copia y pega la URL de la página IAM en la barra de direcciones del navegador y presiona Intro. Se cargará la página IAM.
  2. Cerca de la parte superior de la página IAM, en el lado derecho, haz clic en Ver recomendaciones en la tabla. Las recomendaciones se muestran en una tabla.
  3. En la columna Estadísticas de seguridad, haz clic en cualquier permiso que se relacione con permisos excesivos. Se abrirá el panel de detalles de la recomendación.
  4. Revisa los permisos excesivos.
  5. Haz clic en Aplicar.

Una vez que se solucione el problema, el recomendador de IAM actualizará el estado del hallazgo a INACTIVE en un plazo de 10 días.

Unused IAM role

Nombre de categoría en la API: UNUSED_IAM_ROLE

Descripción del hallazgo: El recomendador de IAM detectó una cuenta de usuario que tiene un rol de IAM que no se usó en los últimos 90 días.

Nivel de precios: Premium

Recursos admitidos:

Corrige este hallazgo :

Usa el recomendador de IAM para aplicar la corrección recomendada para este hallazgo. Para ello, sigue estos pasos:

  1. En la sección Próximos pasos de los detalles de la búsqueda en la consola de Google Cloud, copia y pega la URL de la página IAM en la barra de direcciones del navegador y presiona Intro. Se cargará la página IAM.
  2. Cerca de la parte superior de la página IAM, en el lado derecho, haz clic en Ver recomendaciones en la tabla. Las recomendaciones se muestran en una tabla.
  3. En la columna Estadísticas de seguridad, haz clic en cualquier permiso que se relacione con permisos excesivos. Se abrirá el panel de detalles de la recomendación.
  4. Revisa los permisos excesivos.
  5. Haz clic en Aplicar.

Una vez que se solucione el problema, el recomendador de IAM actualizará el estado del hallazgo a INACTIVE en un plazo de 10 días.

Hallazgos de CIEM

En la siguiente tabla, se enumeran los resultados de identidad y acceso de Security Command Center para AWS que genera la administración de derechos de infraestructura de nube (CIEM).

Los hallazgos de CIEM contienen recomendaciones específicas para quitar o reemplazar las políticas de IAM de AWS altamente permisivas asociadas con identidades, usuarios o grupos asumidos en tu entorno de AWS.

Para obtener más información sobre la CIEM, consulta la descripción general de la Administración de derechos de la infraestructura de nube.

Detector Resumen

Assumed identity has excessive permissions

Nombre de categoría en la API: ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS

Descripción del hallazgo: En tu entorno de AWS, CIEM detectó un rol de IAM asumido que tiene una o más políticas altamente permisivas que infringen el principio de privilegio mínimo y aumentan los riesgos de seguridad.

Nivel de precios: Empresarial

Corrige este hallazgo :

Según el hallazgo, usa la consola de administración de AWS para realizar una de las siguientes tareas de remediación:

  • Quita la política altamente permisiva.
  • Crea una política nueva que tenga los permisos mínimos necesarios para el usuario, el grupo o el rol. Luego, adjunta la nueva política al usuario, al grupo o al rol, y quita la política altamente permisiva.

Consulta los detalles del hallazgo para conocer los pasos específicos de solución.

Group has excessive permissions

Nombre de categoría en la API: GROUP_HAS_EXCESSIVE_PERMISSIONS

Descripción del problema: En tu entorno de AWS, CIEM detectó un grupo de IAM que tiene una o más políticas altamente permisivas que infringen el principio de privilegio mínimo y aumentan los riesgos de seguridad.

Nivel de precios: Empresarial

Corrige este hallazgo :

Según el hallazgo, usa la consola de administración de AWS para realizar una de las siguientes tareas de remediación:

  • Quita la política altamente permisiva.
  • Crea una política nueva que tenga los permisos mínimos necesarios para el usuario, el grupo o el rol. Luego, adjunta la nueva política al usuario, al grupo o al rol, y quita la política altamente permisiva.

Consulta los detalles del hallazgo para conocer los pasos específicos de solución.

User has excessive permissions

Nombre de categoría en la API: USER_HAS_EXCESSIVE_PERMISSIONS

Descripción del problema: En tu entorno de AWS, CIEM detectó un usuario de IAM que tiene una o más políticas altamente permisivas que infringen el principio de privilegio mínimo y aumentan los riesgos de seguridad.

Nivel de precios: Empresarial

Corrige este hallazgo :

Según el hallazgo, usa la consola de administración de AWS para realizar una de las siguientes tareas de remediación:

  • Quita la política altamente permisiva.
  • Crea una política nueva que tenga los permisos mínimos necesarios para el usuario, el grupo o el rol. Luego, adjunta la nueva política al usuario, al grupo o al rol, y quita la política altamente permisiva.

Consulta los detalles del hallazgo para conocer los pasos específicos de solución.

User is inactive

Nombre de categoría en la API: INACTIVE_USER

Descripción del problema: En tu entorno de AWS, CIEM detectó un usuario de IAM que está inactivo y tiene uno o más permisos. Esto infringe el principio de privilegio mínimo y aumenta los riesgos de seguridad.

Nivel de precios: Empresarial

Corrige este hallazgo :

Según el hallazgo, usa la consola de administración de AWS para realizar una de las siguientes tareas de solución:

  • Quita las políticas adjuntas al usuario de IAM de AWS.
  • Borra el usuario de AWS IAM si tienes la certeza de que ya no se requiere la identidad.

Consulta los detalles del hallazgo para conocer los pasos específicos de solución.

Group is inactive

Nombre de categoría en la API: INACTIVE_GROUP

Descripción del problema: En tu entorno de AWS, CIEM detectó un grupo de IAM que está inactivo y tiene uno o más permisos. Esto infringe el principio de privilegio mínimo y aumenta los riesgos de seguridad.

Nivel de precios: Empresarial

Corrige este hallazgo :

Según el hallazgo, usa la consola de administración de AWS para realizar una de las siguientes tareas de solución:

  • Quita la política o las políticas adjuntas al grupo de IAM de AWS.
  • Si crees que ya no se requieren estas identidades, borra algunos o todos los usuarios de IAM de AWS que conforman el grupo.

Consulta los detalles del hallazgo para conocer los pasos específicos de solución.

Assumed identity is inactive

Nombre de categoría en la API: INACTIVE_ASSUMED_IDENTITY

Descripción del problema: En tu entorno de AWS, CIEM detectó un rol de IAM asumido que está inactivo y tiene uno o más permisos. Esto infringe el principio de privilegio mínimo y aumenta los riesgos de seguridad.

Nivel de precios: Empresarial

Corrige este hallazgo :

Según el hallazgo, usa la consola de administración de AWS para realizar una de las siguientes tareas de solución:

  • Quita la política o las políticas adjuntas al rol de IAM de AWS.
  • Borra la identidad asumida si crees que ya no es necesaria.

Consulta los detalles del hallazgo para conocer los pasos específicos de solución.

Overly permissive trust policy enforced on assumed identity

Nombre de categoría en la API: OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY

Descripción del problema: En tu entorno de AWS, CIEM detectó una política de confianza demasiado permisiva aplicada a un rol de IAM de AWS que incumple el principio de privilegio mínimo y aumenta los riesgos de seguridad.

Nivel de precios: Empresarial

Corrige este hallazgo :

Usa la consola de administración de AWS para editar los permisos de la política de confianza aplicada al rol de IAM de AWS para cumplir con el principio de privilegio mínimo.

Consulta los detalles del hallazgo para conocer los pasos específicos de solución.

Assumed identity has lateral movement risk

Nombre de categoría en la API: ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK

Descripción del hallazgo: En tu entorno de AWS, CIEM detectó una o más identidades que pueden moverse lateralmente a través de la suplantación de identidad.

Nivel de precios: Empresarial

Corrige este hallazgo :

Usa la Consola de administración de AWS para quitar las políticas adjuntas a las identidades que permiten el movimiento lateral.

Consulta los detalles del hallazgo para conocer los pasos específicos de solución.

Hallazgos del servicio de postura de seguridad

En la siguiente tabla, se enumeran los resultados de Security Command Center que genera el servicio de estado de seguridad.

Cada hallazgo del servicio de postura de seguridad identifica una instancia de desvío de la postura de seguridad definida.

Buscando Resumen

SHA Canned Module Drifted

Nombre de categoría en la API: SECURITY_POSTURE_DETECTOR_DRIFT

Descripción del resultado: El servicio de estado de seguridad detectó un cambio en un detector de Security Health Analytics que se produjo fuera de una actualización de estado.

Nivel de precios: Premium

Corrige este hallazgo :

Este hallazgo requiere que aceptes o reviertas el cambio para que la configuración del detector en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este problema: puedes actualizar el detector de Security Health Analytics o puedes actualizar la postura y la implementación de la postura.

Para revertir el cambio, actualiza el detector de Security Health Analytics en la consola de Google Cloud. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Para aceptar el cambio, completa lo siguiente:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

SHA Custom Module Drifted

Nombre de categoría en la API: SECURITY_POSTURE_DETECTOR_DRIFT

Descripción del hallazgo: El servicio de estado de seguridad detectó un cambio en un módulo personalizado de las estadísticas del estado de la seguridad que se produjo fuera de una actualización de estado.

Nivel de precios: Premium

Corrige este hallazgo :

Este hallazgo requiere que aceptes el cambio o lo reviertas para que la configuración del módulo personalizado en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este problema: puedes actualizar el módulo personalizado de Security Health Analytics o puedes actualizar la postura y la implementación de la postura.

Para revertir el cambio, actualiza el módulo personalizado de Security Health Analytics en la consola de Google Cloud. Para obtener instrucciones, consulta Cómo actualizar un módulo personalizado.

Para aceptar el cambio, completa lo siguiente:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

SHA Custom Module Deleted

Nombre de categoría en la API: SECURITY_POSTURE_DETECTOR_DELETE

Descripción del hallazgo: El servicio de estado de seguridad detectó que se borró un módulo personalizado de las estadísticas del estado de la seguridad. Esta eliminación se produjo fuera de una actualización de postura.

Nivel de precios: Premium

Corrige este hallazgo :

Este hallazgo requiere que aceptes el cambio o lo reviertas para que la configuración del módulo personalizado en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este problema: puedes actualizar el módulo personalizado de Security Health Analytics o puedes actualizar la postura y la implementación de la postura.

Para revertir el cambio, actualiza el módulo personalizado de Security Health Analytics en la consola de Google Cloud. Para obtener instrucciones, consulta Cómo actualizar un módulo personalizado.

Para aceptar el cambio, completa lo siguiente:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Org Policy Canned Constraint Drifted

Nombre de categoría en la API: SECURITY_POSTURE_POLICY_DRIFT

Descripción del problema: El servicio de postura de seguridad detectó un cambio en una política de la organización que se produjo fuera de una actualización de la postura.

Nivel de precios: Premium

Corrige este hallazgo :

Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones de la política de la organización en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar la política de la organización o actualizar la postura y la implementación de la postura.

Para revertir el cambio, actualiza la política de la organización en la consola de Google Cloud. Para obtener instrucciones, consulta Cómo crear y editar políticas.

Para aceptar el cambio, completa lo siguiente:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Org Policy Canned Constraint Deleted

Nombre de categoría en la API: SECURITY_POSTURE_POLICY_DELETE

Descripción del problema: El servicio de postura de seguridad detectó que se borró una política de la organización. Esta eliminación se produjo fuera de una actualización de postura.

Nivel de precios: Premium

Corrige este hallazgo :

Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones de la política de la organización en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar la política de la organización o actualizar la postura y la implementación de la postura.

Para revertir el cambio, actualiza la política de la organización en la consola de Google Cloud. Para obtener instrucciones, consulta Crea y edita políticas.

Para aceptar el cambio, completa lo siguiente:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Org Policy Custom Constraint Drifted

Nombre de categoría en la API: SECURITY_POSTURE_POLICY_DRIFT

Descripción del hallazgo: El servicio de postura de seguridad detectó un cambio en una política de la organización personalizada que se produjo fuera de una actualización de postura.

Nivel de precios: Premium

Corrige este hallazgo :

Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones personalizadas de la política de la organización en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar la política de la organización personalizada o actualizar la postura y la implementación de la postura.

Para revertir el cambio, actualiza la política de la organización personalizada en la consola de Google Cloud. Para obtener instrucciones, consulta Actualiza una restricción personalizada.

Para aceptar el cambio, completa lo siguiente:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Org Policy Custom Constraint Deleted

Nombre de categoría en la API: SECURITY_POSTURE_POLICY_DELETE

Descripción del problema: El servicio de postura de seguridad detectó que se borró una política de la organización personalizada. Esta eliminación se produjo fuera de una actualización de postura.

Nivel de precios: Premium

Corrige este hallazgo :

Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones personalizadas de la política de la organización en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar la política de la organización personalizada o actualizar la postura y la implementación de la postura.

Para revertir el cambio, actualiza la política de la organización personalizada en la consola de Google Cloud. Para obtener instrucciones, consulta Actualiza una restricción personalizada.

Para aceptar el cambio, completa lo siguiente:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

En la siguiente tabla, se enumeran los resultados de la postura de seguridad que identifican casos de recursos que incumplen tu postura de seguridad definida.

Buscando Resumen

Disable VPC External IPv6

Nombre de categoría en la API: DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

Descripción del problema: El servicio de estado de seguridad detectó que una subred tiene habilitada una dirección IPv6 externa.

Nivel de precios: Premium

Corrige este hallazgo :

Tienes dos opciones para resolver este hallazgo: puedes borrar el recurso que incumple la política o actualizar y volver a implementar la postura.

Para borrar el recurso, completa los siguientes pasos:

  1. Abre el resumen de los resultados.
  2. Revisa la sección de recursos afectados y busca el nombre completo del recurso que incumple la política de postura.
  3. Haz clic en el nombre completo del recurso para abrir sus detalles.
  4. Borra el recurso.

Si deseas mantener el recurso en la misma configuración, debes actualizar la orientación. Para actualizar la postura, sigue estos pasos:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Disable VPC Internal IPv6

Nombre de categoría en la API: DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

Descripción del problema: El servicio de estado de seguridad detectó que una subred tiene habilitada una dirección IPv6 interna.

Nivel de precios: Premium

Corrige este hallazgo :

Tienes dos opciones para resolver este hallazgo: puedes borrar el recurso que incumple la política o actualizar y volver a implementar la postura.

Para borrar el recurso, completa los siguientes pasos:

  1. Abre el resumen de los resultados.
  2. Revisa la sección de recursos afectados y busca el nombre completo del recurso que incumple la política de postura.
  3. Haz clic en el nombre completo del recurso para abrir sus detalles.
  4. Borra el recurso.

Si deseas mantener el recurso en la misma configuración, debes actualizar la orientación. Para actualizar la postura, sigue estos pasos:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Require OS Login

Nombre de categoría en la API: REQUIRE_OS_LOGIN_ORG_POLICY

Descripción del resultado: El servicio de estado de seguridad detectó que el Acceso al SO está inhabilitado en una instancia de VM.

Nivel de precios: Premium

Corrige este hallazgo :

Tienes dos opciones para resolver este hallazgo: puedes actualizar el recurso que incumple la política o actualizar la postura y volver a implementarla.

Para actualizar el recurso, sigue estos pasos:

  1. Abre el resumen de los resultados.
  2. Revisa la sección de recursos afectados y busca el nombre completo del recurso que incumple la política de postura.
  3. Haz clic en el nombre completo del recurso para abrir sus detalles.
  4. Edita el recurso. Busca la sección de metadatos y cambia la entrada con la clave enable-oslogin a TRUE.
  5. Guarda el recurso.

Si deseas mantener el recurso en la misma configuración, debes actualizar la orientación. Para actualizar la postura, sigue estos pasos:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Restrict Authorized Networks

Nombre de categoría en la API: RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

Descripción del hallazgo: El servicio de estado de seguridad detectó que se agregó una red autorizada a una instancia de SQL.

Nivel de precios: Premium

Corrige este hallazgo :

Este hallazgo requiere que corrijas el incumplimiento o actualices la postura. Tienes dos opciones para resolver este hallazgo: puedes actualizar el recurso que incumple la política o actualizar la postura y volver a implementarla.

Para actualizar el recurso, sigue estos pasos:

  1. Abre el resumen de los resultados.
  2. Revisa la sección de recursos afectados y busca el nombre completo del recurso que incumple la política de postura.
  3. Haz clic en el nombre completo del recurso para abrir sus detalles.
  4. Edita el recurso. Busca la sección de red autorizada en la sección de conexiones y borra todas sus entradas.
  5. Guarda el recurso.

Si deseas mantener el recurso en la misma configuración, debes actualizar la orientación. Para actualizar la postura, sigue estos pasos:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Require VPC Connector

Nombre de categoría en la API: REQUIRE_VPC_CONNECTOR_ORG_POLICY

Descripción del problema: El servicio de estado de seguridad detectó que un conector de VPC no está habilitado para una instancia de función de Cloud Run.

Nivel de precios: Premium

Corrige este hallazgo :

Tienes dos opciones para resolver este hallazgo: puedes actualizar el recurso que incumple la política o actualizar la postura y volver a implementarla.

Para actualizar el recurso, sigue estos pasos:

  1. Abre el resumen de los resultados.
  2. Revisa la sección de recursos afectados y busca el nombre completo del recurso que incumple la política de postura.
  3. Haz clic en el nombre completo del recurso para abrir sus detalles.
  4. Haz clic en Edit.
  5. Haz clic en la pestaña Conexiones.
  6. Busca la sección Configuración de salida. En el menú Red, selecciona un conector de VPC adecuado.
  7. Haz clic en Siguiente.
  8. Haz clic en Implementar.

Si deseas mantener el recurso en la misma configuración, debes actualizar la orientación. Para actualizar la postura, sigue estos pasos:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Disabled Serial Port Access

Nombre de categoría en la API: DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

Descripción del resultado: El servicio de estado de seguridad detectó que el acceso al puerto en serie a una instancia de VM está habilitado.

Nivel de precios: Premium

Corrige este hallazgo :

Tienes dos opciones para resolver este hallazgo: puedes actualizar el recurso que incumple la política o actualizar la postura y volver a implementarla.

Para actualizar el recurso, sigue estos pasos:

  1. Abre el resumen de los resultados.
  2. Revisa la sección de recursos afectados y busca el nombre completo del recurso que incumple la política de postura.
  3. Haz clic en el nombre completo del recurso para abrir sus detalles.
  4. Edita el recurso. Busca la sección de acceso remoto y desmarca la casilla de verificación Habilitar la conexión a los puertos en serie.
  5. Guarda el recurso.

Si deseas mantener el recurso en la misma configuración, debes actualizar la orientación. Para actualizar la postura, sigue estos pasos:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Skip Default Network Creation

Nombre de categoría en la API: SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

Descripción del problema: El servicio de estado de seguridad detectó que se creó una red predeterminada.

Nivel de precios: Premium

Corrige este hallazgo :

Tienes dos opciones para resolver este hallazgo: puedes borrar el recurso que incumple la política o actualizar y volver a implementar la postura.

Para borrar el recurso, completa los siguientes pasos:

  1. Abre el resumen de los resultados.
  2. Revisa la sección de recursos afectados y busca el nombre completo del recurso que incumple la política de postura.
  3. Haz clic en el nombre completo del recurso para abrir sus detalles.
  4. Borra el recurso.

Si deseas mantener el recurso en la misma configuración, debes actualizar la orientación. Para actualizar la postura, sigue estos pasos:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Allowed Ingress

Nombre de categoría en la API: ALLOWED_INGRESS_ORG_POLICY

Descripción del hallazgo: El servicio de estado de seguridad detectó que un servicio de Cloud Run no cumple con la configuración de entrada especificada.

Nivel de precios: Premium

Corrige este hallazgo :

Tienes dos opciones para resolver este hallazgo: puedes actualizar el recurso que incumple la política o actualizar la postura y volver a implementarla.

Para actualizar el recurso, sigue estos pasos:

  1. Abre el resumen de los resultados.
  2. Revisa la sección de recursos afectados y busca el nombre completo del recurso que incumple la política de postura.
  3. Haz clic en el nombre completo del recurso para abrir sus detalles.
  4. Haz clic en la pestaña Herramientas de redes. Cambia la configuración para que coincida con la política de entrada permitida.
  5. Guarda el recurso.

Si deseas mantener el recurso en la misma configuración, debes actualizar la orientación. Para actualizar la postura, sigue estos pasos:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Uniform Bucket Level Access

Nombre de categoría en la API: UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

Descripción del problema: El servicio de estado de seguridad detectó que un acceso a nivel del bucket es detallado en lugar de uniforme.

Nivel de precios: Premium

Corrige este hallazgo :

Tienes dos opciones para resolver este hallazgo: puedes actualizar el recurso que incumple la política o actualizar la postura y volver a implementarla.

Para actualizar el recurso, sigue estos pasos:

  1. Abre el resumen de los resultados.
  2. Revisa la sección de recursos afectados y busca el nombre completo del recurso que incumple la política de postura.
  3. Haz clic en el nombre completo del recurso para abrir sus detalles.
  4. Haz clic en la pestaña Permisos. En la tarjeta Control de acceso, haz clic en Cambiar a permisos uniformes.
  5. Selecciona uniforme y guarda.

Si deseas mantener el recurso en la misma configuración, debes actualizar la orientación. Para actualizar la postura, sigue estos pasos:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Allowed VPC Egress

Nombre de categoría en la API: ALLOWED_VPC_EGRESS_ORG_POLICY

Descripción del hallazgo: El servicio de estado de seguridad detectó que un servicio de Cloud Run no cumple con la configuración de salida especificada.

Nivel de precios: Premium

Corrige este hallazgo :

Tienes dos opciones para resolver este hallazgo: puedes actualizar el recurso que incumple la política o actualizar la postura y volver a implementarla.

Para actualizar el recurso, sigue estos pasos:

  1. Abre el resumen de los resultados.
  2. Revisa la sección de recursos afectados y busca el nombre completo del recurso que incumple la política de postura.
  3. Haz clic en el nombre completo del recurso para abrir sus detalles.
  4. Haz clic en Editar e implementar nueva revisión y, luego, en la pestaña Herramientas de redes. Cambia el parámetro de configuración Enrutamiento de tráfico en la sección Conéctate a una VPC para el tráfico saliente para que coincida con la política de salida permitida.
  5. Implementa el recurso.

Si deseas mantener el recurso en la misma configuración, debes actualizar la orientación. Para actualizar la postura, sigue estos pasos:

  1. Actualiza el archivo posture.yaml con el cambio.
  2. Ejecuta el comando gcloud scc postures update. Para obtener instrucciones, consulta Actualiza las definiciones de políticas en una postura.
  3. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

VM Manager

VM Manager es un conjunto de herramientas que se pueden usar en la administración de sistemas operativos para flotas de máquinas virtuales (VM) grandes que ejecutan Windows y Linux en Compute Engine.

Si habilitas VM Manager con Security Command Center Premium a nivel de la organización, VM Manager escribe los resultados de sus informes de vulnerabilidades, que se encuentran en versión preliminar, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos instalados en las VMs, incluidas las vulnerabilidades y exposiciones comunes (CVE).

Para usar VM Manager con activaciones a nivel del proyecto de Security Command Center Premium, activa Security Command Center Estándar en la organización superior.

Los informes de vulnerabilidad no están disponibles para la versión estándar de Security Command Center.

Los resultados simplifican el proceso de usar la función de cumplimiento de parches de VM Manager, que está en vista previa. Esta función te permite realizar la administración de parches a nivel de organización en todos los proyectos.

La gravedad de los resultados de vulnerabilidades que se reciben de VM Manager siempre es CRITICAL o HIGH.

Resultados de VM Manager

Las vulnerabilidades de este tipo se relacionan con paquetes instalados de sistema operativo en las VM de Compute Engine compatibles.

Detector Resumen Configuración de análisis de elementos

OS vulnerability

Nombre de categoría en la API: OS_VULNERABILITY

Descripción del hallazgo: VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado de una VM de Compute Engine.

Nivel de precios: Premium

Recursos admitidos

compute.googleapis.com/Instance

Corrige este hallazgo

Los informes de vulnerabilidad de VM Manager detallan las vulnerabilidades en los paquetes del sistema operativo instalados para las VMs de Compute Engine, incluidas las vulnerabilidades y exposiciones comunes (CVE).

Para obtener una lista completa de los sistemas operativos compatibles, consulta Detalles de los sistemas operativos.

Los hallazgos aparecen en Security Command Center poco después de que se detectan vulnerabilidades. Los informes de vulnerabilidad en VM Manager se generan de la siguiente manera:

  • Cuando se instala o actualiza un paquete en el sistema operativo de una VM, es posible que veas información de vulnerabilidades y riesgos comunes (CVE) para la VM en Security Command Center en un plazo de dos horas después del cambio.
  • Cuando se publican nuevos avisos de seguridad para un sistema operativo, las CVE actualizadas suelen estar disponibles en un plazo de 24 horas después de que el proveedor del sistema operativo publica el aviso.

Revisa los resultados en la consola

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Resultados de Security Command Center.

    Ir a hallazgos

  2. Selecciona tu organización o proyecto de Google Cloud.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de origen, selecciona VM Manager. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
  6. Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).

Consola de operaciones de seguridad

  1. En la consola de Security Operations, ve a la página Resultados.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
  3. Selecciona VM Manager. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
  6. Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).

Solución de los resultados de VM Manager

Un hallazgo de OS_VULNERABILITY indica que VM Manager encontró una vulnerabilidad en los paquetes del sistema operativo instalados en una VM de Compute Engine.

Para solucionar el problema, haz lo siguiente:

  1. Abre un hallazgo de OS vulnerability y consulta su definición de JSON.

  2. Copia el valor del campo externalUri. Este valor es el URI de la página Información del SO de la instancia de VM de Compute Engine en la que está instalado el sistema operativo vulnerable.

  3. Aplica todos los parches adecuados para el SO que se muestra en la sección Información básica. Para obtener instrucciones sobre la implementación de parches, consulta Crea trabajos de aplicación de parches.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

Cómo silenciar los resultados de VM Manager

Es posible que desees ocultar algunos o todos los resultados de VM Manager en Security Command Center si no son relevantes para tus requisitos de seguridad.

Para ocultar los resultados de VM Manager, puedes crear una regla de silenciamiento y agregar atributos de consulta específicos a los resultados de VM Manager que deseas ocultar.

Para crear una regla de silenciamiento para VM Manager con la console de Google Cloud, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

    Ir a hallazgos

  2. Si es necesario, selecciona tu organización o proyecto de Google Cloud.

  3. Haz clic en Opciones para silenciar y, luego, selecciona Crear regla de silenciamiento.

  4. Ingresa un ID de regla de silenciamiento. Es obligatorio ingresar este valor.

  5. Ingresa una descripción de la regla de silenciamiento que proporcione contexto de los motivos por los que se silencian los resultados. Este valor es opcional, pero se recomienda.

  6. Para confirmar el alcance de la regla de silenciamiento, verifica el valor de Recurso superior.

  7. En el campo Búsqueda de resultados, haz clic en Agregar filtro para compilar tus sentencias de consulta. Como alternativa, puedes escribir las sentencias de consulta manualmente.

    1. En el diálogo Seleccionar filtro, selecciona Búsqueda > Nombre visible de origen > Administrador de VMs.

    2. Haz clic en Aplicar.

    3. Repite hasta que la consulta de silenciamiento contenga todos los atributos que deseas ocultar.

    Por ejemplo, si quieres ocultar IDs de CVE específicos en los resultados de vulnerabilidades de VM Manager, selecciona Vulnerabilidad > ID de CVE y, luego, selecciona los IDs de CVE que deseas ocultar.

    La consulta de búsqueda se ve de la siguiente manera:

    Cómo silenciar los resultados de VM Manager

  8. Haz clic en Obtener una vista previa de los resultados de coincidencias.

    En una tabla, se muestran los resultados que coinciden con tu consulta.

  9. Haz clic en Guardar.

Protección de datos sensibles

En esta sección, se describen los resultados de vulnerabilidades que genera la Protección de datos sensibles, los estándares de cumplimiento que admiten y cómo corregirlos.

La protección de datos sensibles también envía hallazgos de observación a Security Command Center. Para obtener más información sobre los resultados de la observación y la Protección de datos sensibles, consulta Protección de datos sensibles.

Para obtener información sobre cómo ver los resultados, consulta Cómo revisar los resultados de Sensitive Data Protection en la consola de Google Cloud.

El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si estás almacenando datos altamente sensibles que no están protegidos.

Categoría Resumen

Public sensitive data

Nombre de categoría en la API:

PUBLIC_SENSITIVE_DATA

Descripción del hallazgo: El recurso especificado tiene datos de alta sensibilidad a los que cualquier persona puede acceder desde Internet.

Recursos admitidos:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket de Amazon S3

Remedio:

Para los datos de Google Cloud, quita allUsers y allAuthenticatedUsers de la política de IAM del activo de datos.

Para los datos de Amazon S3, configura la opción de bloquear el acceso público o actualiza la LCA del objeto para denegar el acceso de lectura público.

Estándares de cumplimiento: No asignados

Secrets in environment variables

Nombre de categoría en la API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descripción del hallazgo: Hay secretos, como contraseñas, tokens de autenticación y credenciales de Google Cloud, en las variables de entorno.

Para habilitar este detector, consulta Informa secretos en variables de entorno a Security Command Center en la documentación de Sensitive Data Protection.

Recursos admitidos:

Remedio:

En el caso de las variables de entorno de Cloud Run Functions, quita el secreto de la variable de entorno y almacenalo en Secret Manager.

Para las variables de entorno de la revisión del servicio de Cloud Run, quita todo el tráfico de la revisión y, luego, bórrala.

Estándares de cumplimiento:

  • CIS para GCP Foundation 1.3: 1.18
  • CIS para GCP Foundation 2.0: 1.18

Secrets in storage

Nombre de categoría en la API:

SECRETS_IN_STORAGE

Descripción del hallazgo: Hay secretos, como contraseñas, tokens de autenticación y credenciales de la nube, en el recurso especificado.

Recursos admitidos:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket de Amazon S3

Remedio:

  1. En el caso de los datos de Google Cloud, usa Sensitive Data Protection para ejecutar un análisis de inspección profunda del recurso especificado y así identificar todos los recursos afectados. En el caso de los datos de Cloud SQL, exporta esos datos a un archivo CSV o AVRO en un bucket de Cloud Storage y ejecuta un análisis de inspección profunda del bucket.

    Para los datos de Amazon S3, inspecciona manualmente el bucket especificado.

  2. Quita los secretos detectados.
  3. Considera restablecer las credenciales.
  4. En el caso de los datos de Google Cloud, considera almacenar los secretos detectados en Secret Manager.

Estándares de cumplimiento: No asignados

Policy Controller

Policy Controller permite la aplicación de políticas programables para tus clústeres de Kubernetes registrados como membresías de flota. Estas políticas actúan como barreras y pueden ayudarte con las prácticas recomendadas, la seguridad y la administración del cumplimiento de los clústeres y la flota.

En esta página, no se enumeran todos los hallazgos individuales de Policy Controller, pero la información sobre los hallazgos de la clase Misconfiguration que Policy Controller escribe en Security Command Center es la misma que los incumplimientos de clúster documentados para cada paquete de Policy Controller. La documentación de los tipos de resultados individuales de Policy Controller se encuentra en los siguientes paquetes de Policy Controller:

Esta función no es compatible con los perímetros de servicio de los Controles del servicio de VPC en torno a la API de Stackdriver.

Cómo encontrar y solucionar los problemas de Policy Controller

Las categorías de Policy Controller corresponden a los nombres de las restricciones que se enumeran en la documentación de los paquetes de Policy Controller. Por ejemplo, un resultado require-namespace-network-policies indica que un espacio de nombres incumple la política que establece que cada espacio de nombres de un clúster debe tener un NetworkPolicy.

Para solucionar un problema, haz lo siguiente:

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Resultados de Security Command Center.

    Ir a hallazgos

  2. Selecciona tu organización o proyecto de Google Cloud.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Policy Controller On-Cluster. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
  6. Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).

Consola de operaciones de seguridad

  1. En la consola de Security Operations, ve a la página Resultados.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
  3. Selecciona Policy Controller On-Cluster. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
  6. Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).

¿Qué sigue?