Descobertas de vulnerabilidades

Os detectores do Security Health Analytics e do Web Security Scanner geram descobertas de vulnerabilidades que ficam disponíveis no Security Command Center. Quando são ativados no Security Command Center, os serviços integrados, como o VM Manager, também geram descobertas de vulnerabilidades.

Sua capacidade de visualizar e editar descobertas é determinada pelos papéis e permissões do Identity and Access Management (IAM) atribuídos a você. Para mais informações sobre os papéis do IAM no Security Command Center, consulte Controle de acesso.

Detectores e compliance

O Security Command Center monitora a conformidade com detectores mapeados para os controles de uma ampla variedade de padrões de segurança.

Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto dos controles. Para os controles marcados, o Security Command Center mostra quantos estão sendo aprovados. Para os controles que não estão sendo aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.

A CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do comparativo de mercado CIS do Google Cloud Foundations. Outros mapeamentos de conformidade são incluídos apenas para fins de referência.

O Security Command Center adiciona suporte a novos padrões e versões de comparativo de mercado periodicamente. As versões mais antigas continuam compatíveis, mas estão obsoletas. Recomendamos que você use o comparativo de mercado ou o padrão mais recente disponível.

Com o serviço de postura de segurança, é possível mapear políticas da organização e detectores da Análise de integridade da segurança para os padrões e controles aplicáveis à sua empresa. Depois de criar uma postura de segurança, é possível monitorar qualquer mudança no ambiente que possa afetar a conformidade da sua empresa.

Para mais informações sobre como gerenciar a conformidade, consulte Avaliar e informar a conformidade com os padrões de segurança.

Padrões de segurança compatíveis

Google Cloud

O Security Command Center mapeia detectores do Google Cloud para um ou mais dos seguintes padrões de compliance:

AWS

O Security Command Center mapeia detectores do Amazon Web Services (AWS) para um ou mais dos seguintes padrões de compliance:

Para instruções sobre como visualizar e exportar relatórios de conformidade, consulte a seção Compliance em Como usar o Security Command Center no console do Google Cloud.

Como encontrar a desativação após a correção

Depois de corrigir uma descoberta de vulnerabilidade ou configuração incorreta, o serviço do Security Command Center que detectou a descoberta define automaticamente o estado dela como INACTIVE na próxima vez que o serviço de detecção verificar a descoberta. O tempo que o Security Command Center leva para definir uma descoberta corrigida como INACTIVE depende da programação da verificação que detecta a descoberta.

Os serviços do Security Command Center também definem o estado de uma descoberta de vulnerabilidade ou configuração incorreta como INACTIVE quando uma verificação detecta que o recurso afetado pela descoberta foi excluído.

Para mais informações sobre intervalos de verificação, consulte os seguintes tópicos:

Descobertas da análise de integridade de segurança

Os detectores do Security Health Analytics monitoram um subconjunto de recursos do Cloud Asset Inventory (CAI), recebendo notificações de alterações na política de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Alguns detectores recuperam dados chamando diretamente as APIs do Google Cloud, conforme indicado em tabelas mais adiante nesta página.

Para mais informações sobre a Análise de integridade da segurança, programações de verificação e o suporte da Análise de integridade da segurança para detectores de módulo integrados e personalizados, consulte Visão geral da Análise de integridade da segurança.

As tabelas a seguir descrevem os detectores do Security Health Analytics, os recursos e os padrões de compliance compatíveis, as configurações usadas para verificações e os tipos de descobertas gerados. É possível filtrar as descobertas por vários atributos usando a página Vulnerabilidades do Security Command Center no console do Google Cloud.

Para instruções sobre como corrigir problemas e proteger seus recursos, consulte Como corrigir descobertas do Security Health Analytics.

Descobertas de vulnerabilidade da chave de API

O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às chaves de API usadas na implantação na nuvem.

Detector Resumo Configurações da verificação de recursos
API key APIs unrestricted

Nome da categoria na API: API_KEY_APIS_UNRESTRICTED

Como encontrar a descrição: há chaves de API sendo usadas muito amplamente. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Recupera a propriedade restrictions de todas as chaves de API em um projeto, verificando se alguma está definida como cloudapis.googleapis.com.

  • Verificações em tempo real: não
API key apps unrestricted

Nome da categoria na API: API_KEY_APPS_UNRESTRICTED

Como encontrar a descrição: há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer aplicativo não confiável.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13

Recupera arestrictions de todas as chaves de API em um projeto, verificando se browserKeyRestrictions ,serverKeyRestrictions ,androidKeyRestrictions ouiosKeyRestrictions está definido.

  • Verificações em tempo real: não
API key exists

Nome da categoria na API: API_KEY_EXISTS

Descrição da descoberta: um projeto está usando chaves de API em vez da autenticação padrão.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Recupera todas as chaves de API de um projeto.

  • Verificações em tempo real: não
API key not rotated

Nome da categoria na API: API_KEY_NOT_ROTATED

Como encontrar a descrição: a chave de API não é rotacionada há mais de 90 dias.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Recupera o carimbo de data/hora contido na propriedade createTime de todas as chaves de API, verificando se 90 dias se passaram.

  • Verificações em tempo real: não

Descobertas de vulnerabilidades do Inventário de recursos do Cloud

Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações do Inventário de recursos do Cloud e pertencem ao tipo CLOUD_ASSET_SCANNER.

Detector Resumo Configurações da verificação de recursos
Cloud Asset API disabled

Nome da categoria na API: CLOUD_ASSET_API_DISABLED

Descrição da descoberta: a captura de recursos do Google Cloud e políticas do IAM pelo Inventário de recursos do Cloud permite análise de segurança, rastreamento de alterações de recursos e auditoria de compliance. Recomendamos que o serviço do Inventário de recursos do Cloud seja ativado para todos os projetos. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
pubsub.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

Verifica se o serviço do Inventário de recursos do Cloud está ativado.

  • Verificações em tempo real: sim

Calcular descobertas de vulnerabilidade de imagem

O detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas às configurações de imagem do Google Cloud.

Detector Resumo Configurações da verificação de recursos
Public Compute image

Nome da categoria na API: PUBLIC_COMPUTE_IMAGE

Como encontrar a descrição: uma imagem do Compute Engine pode ser acessada publicamente.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Image

Corrigir essa descoberta

Padrões de compliance:

Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance.

Verifica a política de permissão de IAM nos metadados de recursos para os membros allUsers ou allAuthenticatedUsers, que concedem acesso público.

  • Verificações em tempo real: sim

Descobertas de vulnerabilidade da instância do Compute

O detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas às configurações da instância do Compute Engine.

Os detectores COMPUTE_INSTANCE_SCANNER não informam as descobertas nas instâncias do Compute Engine criadas pelo GKE. Esses instâncias têm nomes que começam com "gke-", que os usuários não podem editar. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades do contêiner.

Detector Resumo Configurações da verificação de recursos
Confidential Computing disabled

Nome da categoria na API: CONFIDENTIAL_COMPUTING_DISABLED

Como encontrar a descrição: a Computação confidencial está desativada em uma instância do Compute Engine.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Verifica a propriedade confidentialInstanceConfig dos metadados da instância para o par de chave-valor "enableConfidentialCompute":true.

  • Recursos excluídos das verificações:
    • Instâncias do GKE
    • Acesso VPC sem servidor
    • Instâncias relacionadas a jobs do Dataflow
    • Instâncias do Compute Engine que não são do tipo N2D
  • Verificações em tempo real: sim
Compute project wide SSH keys allowed

Nome da categoria na API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Como encontrar a descrição: chaves SSH do projeto inteiro são usadas, permitindo o login em todas as instâncias do projeto.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

Verifica o objeto metadata.items[] nos metadados da instância para o par de chave-valor "key": "block-project-ssh-keys", "value": TRUE.

  • Recursos excluídos das verificações: instâncias do GKE, job do Dataflow, instância do Windows
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine
  • Verificações em tempo real: não
Compute Secure Boot disabled

Nome da categoria na API: COMPUTE_SECURE_BOOT_DISABLED

Como encontrar a descrição: esta VM protegida não tem a inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

Esta categoria de descoberta não está associada a nenhum controle de padrão de compliance.

Verifica a propriedade shieldedInstanceConfig nas instâncias do Compute Engine para determinar se enableSecureBoot está definido como true. Esse detector verifica se os discos anexados são compatíveis com a Inicialização segura e se ela está ativada.

  • Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS, acesso VPC sem servidor
  • Verificações em tempo real: sim
Compute serial ports enabled

Nome da categoria na API: COMPUTE_SERIAL_PORTS_ENABLED

Como encontrar a descrição: as portas seriais de uma instância são ativadas, permitindo conexões com o console serial da instância.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Verifica o objeto metadata.items[] nos metadados da instância para o par de chave-valor "key": "serial-port-enable", "value": TRUE.

  • Recursos excluídos das verificações: instâncias do GKE
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine
  • Verificações em tempo real: sim
Default service account used

Nome da categoria na API: DEFAULT_SERVICE_ACCOUNT_USED

Como encontrar a descrição: uma instância é configurada para usar a conta de serviço padrão.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Verifica a propriedade serviceAccounts nos metadados da instância em busca de endereços de e-mail da conta de serviço com o prefixo PROJECT_NUMBER-compute@developer.gserviceaccount.com, indicando a conta de serviço padrão criada pelo Google.

  • Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow
  • Verificações em tempo real: sim
Disk CMEK disabled

Nome da categoria na API: DISK_CMEK_DISABLED

Como encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Disk

Corrigir essa descoberta

Padrões de compliance:

Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance.

Verifica o campo kmsKeyName no objeto diskEncryptionKey, nos metadados do disco, para o nome do recurso do seu CMEK.

  • Recursos excluídos das verificações: discos relacionados a ambientes do Cloud Composer, jobs do Dataflow e instâncias do GKE
  • Verificações em tempo real: sim
Disk CSEK disabled

Nome da categoria na API: DISK_CSEK_DISABLED

Descrição da descoberta: os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK). Esse detector requer configuração adicional para ativar Para mais instruções, consulte Detector de casos especiais.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Disk

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Verifica o campo kmsKeyName no objeto diskEncryptionKey do nome do recurso da sua CSEK.

  • Recursos excluídos das verificações:
    discos do Compute Engine sem a marca de segurança enforce_customer_supplied_disk_encryption_keys definida como true
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine
  • Verificações em tempo real: sim
Full API access

Nome da categoria na API: FULL_API_ACCESS

Descrição da descoberta: uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Recupera o campo scopes na propriedade serviceAccounts para verificar se uma conta de serviço padrão é usada e se foi atribuído o escopo cloud-platform.

  • Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow
  • Verificações em tempo real: sim
HTTP load balancer

Nome da categoria na API: HTTP_LOAD_BALANCER

Como encontrar a descrição: uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/TargetHttpProxy

Corrigir essa descoberta

Padrões de compliance:

  • PCI-DSS v3.2.1: 2.3

Determina se a propriedade selfLink do recurso targetHttpProxy corresponde ao atributo target na regra de encaminhamento e se a regra de encaminhamento contém um campo loadBalancingScheme definido como External.

  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê regras de encaminhamento para um proxy HTTP de destino do Compute Engine, verificando regras externas
  • Verificações em tempo real: sim
Instance OS Login disabled

Nome da categoria na API: INSTANCE_OS_LOGIN_DISABLED

Encontrar descrição: o Login do SO está desativado nesta instância.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Verifica se a propriedade enable-oslogin do Custom metadata da instância está definida como TRUE.

  • Recursos excluídos das verificações: instâncias do GKE, instâncias relacionadas a jobs do Dataflow, acesso VPC sem servidor
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine.
  • Verificações em tempo real: não
IP forwarding enabled

Nome da categoria na API: IP_FORWARDING_ENABLED

Descrição da descoberta: o encaminhamento de IP está ativado nas instâncias.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Verifica se a propriedade canIpForward da instância está definida como true.

  • Recursos excluídos das verificações: instâncias do GKE, acesso VPC sem servidor
  • Verificações em tempo real: sim
OS login disabled

Nome da categoria na API: OS_LOGIN_DISABLED

Encontrar descrição: o Login do SO está desativado nesta instância.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Verifica o objeto commonInstanceMetadata.items[] nos metadados do projeto para o par de chave-valor, "key": "enable-oslogin", "value": TRUE. O detector também verifica todas as instâncias em um projeto do Compute Engine para determinar se o login do SO está desativado para instâncias individuais.

  • Recursos excluídos das verificações: instâncias do GKE e instâncias relacionadas a jobs do Dataflow
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine O detector também examina instâncias do Compute Engine no projeto
  • Verificações em tempo real: não
Public IP address

Nome da categoria na API: PUBLIC_IP_ADDRESS

Como encontrar a descrição: uma instância tem um endereço IP público.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica se a propriedade networkInterfaces contém um campo accessConfigs, indicando que ele está configurado para usar um endereço IP público.

  • Recursos excluídos das verificações: instâncias do GKE e instâncias relacionadas a jobs do Dataflow
  • Verificações em tempo real: sim
Shielded VM disabled

Nome da categoria na API: SHIELDED_VM_DISABLED

Encontrando descrição: a VM protegida está desativada nesta instância.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8

Verifica a propriedade shieldedInstanceConfig nas instâncias do Compute Engine para determinar se os campos enableIntegrityMonitoring e enableVtpm estão definidos como true. Os campos indicam se a VM protegida está ativada.

  • Recursos excluídos das verificações: instâncias do GKE e acesso VPC sem servidor
  • Verificações em tempo real: sim
Weak SSL policy

Nome da categoria na API: WEAK_SSL_POLICY

Como encontrar a descrição: uma instância tem uma política de SSL fraca.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

Verifica se sslPolicy nos metadados do recurso está vazio ou está usando a política padrão do Google Cloud e, para o recurso sslPolicies anexado, se profile está definido como Restricted ou Modern, minTlsVersion está definido como TLS 1.2 e customFeatures está vazio ou não contém as seguintes criptografias: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê políticas de SSL para armazenamento de proxies de destino, verificando se há políticas fracas
  • Verificações em tempo real: sim, mas somente quando o TargetHttpsProxy do TargetSslProxy é atualizado, não quando a política de SSL é atualizada.

Descobertas da vulnerabilidade do contêiner

Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE e pertencem ao tipo de detector CONTAINER_SCANNER.

Detector Resumo Configurações da verificação de recursos
Alpha cluster enabled

Nome da categoria na API: ALPHA_CLUSTER_ENABLED

Como encontrar a descrição: os recursos do cluster Alfa estão ativados para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GKE 1.0: 6.10.2

Verifica se a propriedade enableKubernetesAlpha de um cluster está definida como true.

  • Verificações em tempo real: sim
Auto repair disabled

Nome da categoria na API: AUTO_REPAIR_DISABLED

Como encontrar a descrição: o recurso de reparo automático de um cluster do GKE, que mantém os nós em estado íntegro e em execução, está desativado.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

Verifica a propriedade management de um pool de nós para o par de chave-valor, "key": "autoRepair", "value": true.

  • Verificações em tempo real: sim
Auto upgrade disabled

Nome da categoria na API: AUTO_UPGRADE_DISABLED

Como encontrar a descrição: o recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

Verifica a propriedade management de um pool de nós para o par de chave-valor, "key": "autoUpgrade", "value": true.

  • Verificações em tempo real: sim
Binary authorization disabled

Nome da categoria na API: BINARY_AUTHORIZATION_DISABLED

Descrição da descoberta: a autorização binária está desativada no cluster do GKE ou a política correspondente está configurada para permitir a implantação de todas as imagens.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

Esta categoria de descoberta não está associada a nenhum controle de compliance padrão.

Verifica o seguinte:

  • Verifica se a propriedade binaryAuthorization tem um dos seguintes pares de chave-valor:
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • Verifica se a propriedade da política defaultAdmissionRule não contém o par de chave-valor evaluationMode: ALWAYS_ALLOW.

  • Verificações em tempo real: sim
Cluster logging disabled

Nome da categoria na API: CLUSTER_LOGGING_DISABLED

Como encontrar a descrição: o Logging não está ativado para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

Verifica se a propriedade loggingService de um cluster contém o local que o Cloud Logging deve usar para gravar registros.

  • Verificações em tempo real: sim
Cluster monitoring disabled

Nome da categoria na API: CLUSTER_MONITORING_DISABLED

Como encontrar a descrição: o Monitoring está desativado nos clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

Verifica se a propriedade monitoringService de um cluster contém o local que o Cloud Monitoring deve usar para gravar métricas.

  • Verificações em tempo real: sim
Cluster private Google access disabled

Nome da categoria na API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Como encontrar a descrição: hosts de cluster não estão configurados para usar apenas endereços IP internos privados para acessar as APIs do Google.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

Verifica se a propriedade privateIpGoogleAccess de uma sub-rede está definida como false.

  • Entradas adicionais: lê sub-redes do armazenamento, registrando descobertas apenas para clusters com sub-redes.
  • Verificações em tempo real: sim, mas somente se o cluster for atualizado, não para atualizações de sub-rede
Cluster secrets encryption disabled

Nome da categoria na API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

Como encontrar a descrição: a criptografia de secrets da camada de aplicativos está desativada em um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GKE 1.0: 6.3.1

Verifica a propriedade keyName do objeto databaseEncryption para o par de chave-valor "state": ENCRYPTED.

  • Verificações em tempo real: sim
Cluster shielded nodes disabled

Nome da categoria na API: CLUSTER_SHIELDED_NODES_DISABLED

Como encontrar a descrição:: os nós protegidos do GKE não estão ativados para um cluster.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GKE 1.0: 6.5.5

Verifica a propriedade shieldedNodes do par de chave-valor "enabled": true.

  • Verificações em tempo real: sim
COS not used

Nome da categoria na API: COS_NOT_USED

Como encontrar a descrição: as VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

Verifica a propriedade config de um pool de nós para o par de chave-valor, "imageType": "COS".

  • Verificações em tempo real: sim
Integrity monitoring disabled

Nome da categoria na API: INTEGRITY_MONITORING_DISABLED

Como encontrar a descrição: o monitoramento de integridade está desativado para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GKE 1.0: 6.5.6

Verifica a propriedade shieldedInstanceConfig do objeto nodeConfig para o par de chave-valor "enableIntegrityMonitoring": true.

  • Verificações em tempo real: sim
Intranode visibility disabled

Nome da categoria na API: INTRANODE_VISIBILITY_DISABLED

Como encontrar a descrição: a visibilidade intranós é desativada para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GKE 1.0: 6.6.1

Verifica a propriedade networkConfig do par de chave-valor "enableIntraNodeVisibility": true.

  • Verificações em tempo real: sim
IP alias disabled

Nome da categoria na API: IP_ALIAS_DISABLED

Descrição da descoberta: um cluster do GKE foi criado com intervalos de IP de alias desativados.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

Verifica se o campo useIPAliases de ipAllocationPolicy em um cluster está definido como false.

  • Verificações em tempo real: sim
Legacy authorization enabled

Nome da categoria na API: LEGACY_AUTHORIZATION_ENABLED

Descrição da descoberta: a autorização legada está ativada em clusters do GKE.

Nível de preços: Premium ou Standard

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

Verifica a propriedade legacyAbac de um cluster para o par de chave-valor, "enabled": true.

  • Verificações em tempo real: sim
Legacy metadata enabled

Nome da categoria na API: LEGACY_METADATA_ENABLED

Como encontrar a descrição: metadados legados são ativados em clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GKE 1.0: 6.4.1

Verifica a propriedade config de um pool de nós para o par de chave-valor, "disable-legacy-endpoints": "false".

  • Verificações em tempo real: sim
Master authorized networks disabled

Nome da categoria na API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Descrição da descrição: redes autorizadas do plano de controle não está ativado em clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

Verifica a propriedade masterAuthorizedNetworksConfig de um cluster para o par de chave-valor, "enabled": false.

  • Verificações em tempo real: sim
Network policy disabled

Nome da categoria na API: NETWORK_POLICY_DISABLED

Como encontrar a descrição: a política de rede está desativada nos clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

Verifica o campo networkPolicy da propriedade addonsConfig do par de chave-valor "disabled": true.

  • Verificações em tempo real: sim
Nodepool boot CMEK disabled

Nome da categoria na API: NODEPOOL_BOOT_CMEK_DISABLED

Descrição da descoberta: os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance.

Verifica a propriedade bootDiskKmsKey dos pools de nós para o nome do recurso da sua CMEK.

  • Verificações em tempo real: sim
Nodepool secure boot disabled

Nome da categoria na API: NODEPOOL_SECURE_BOOT_DISABLED

Como encontrar a descrição: a Inicialização segura está desativada para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GKE 1.0: 6.5.7

Verifica a propriedade shieldedInstanceConfig do objeto nodeConfig para o par de chave-valor "enableSecureBoot": true.

  • Verificações em tempo real: sim
Over privileged account

Nome da categoria na API: OVER_PRIVILEGED_ACCOUNT

Descrição da descoberta: uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

Avalia a propriedade config de um pool de nós para verificar se nenhuma conta de serviço foi especificada ou se a conta de serviço padrão é usada.

  • Verificações em tempo real: sim
Over privileged scopes

Nome da categoria na API: OVER_PRIVILEGED_SCOPES

Descrição da localização: uma conta de serviço de nó tem escopos de acesso amplo.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
Verifica se o escopo de acesso listado na propriedade config.oauthScopes de um pool de nós é limitado por uma conta de serviço: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, ou https://www.googleapis.com/auth/monitoring.
  • Verificações em tempo real: sim
Pod security policy disabled

Nome da categoria na API: POD_SECURITY_POLICY_DISABLED

Como encontrar a descrição: PodSecurityPolicy está desativada em um cluster do GKE.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

Verifica a propriedade podSecurityPolicyConfig de um cluster para o par de chave-valor, "enabled": false.

  • Permissões adicionais do IAM: roles/container.clusterViewer
  • Entradas adicionais: lê informações de cluster do GKE, porque as políticas de segurança de pods são um recurso Beta. Aviso: o Kubernetes oficialmente suspendeu o PodSecurityPolicy na versão 1.21. O PodSecurityPolicy será encerrado na versão 1.25. Para informações sobre alternativas, consulte Suspensão de uso de PodSecurityPolicy.
  • Verificações em tempo real: não
Private cluster disabled

Nome da categoria na API: PRIVATE_CLUSTER_DISABLED

Descrição da descoberta: um cluster privado do GKE está desativado.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

Verifica se o campo enablePrivateNodes da propriedade privateClusterConfig está definido como false.

  • Verificações em tempo real: sim
Release channel disabled

Nome da categoria na API: RELEASE_CHANNEL_DISABLED

Como encontrar a descrição: um cluster do GKE não está inscrito em um canal de lançamento.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GKE 1.0: 6.5.4

Verifica a propriedade releaseChannel do par de chave-valor "channel": UNSPECIFIED.

  • Verificações em tempo real: sim
Web UI enabled

Nome da categoria na API: WEB_UI_ENABLED

Como encontrar a descrição: a IU da Web do GKE (painel) está ativada.

Nível de preços: Premium or Standard

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

Checks the kubernetesDashboard field of the addonsConfig property for the key-value pair, "disabled": false.

  • Verificações em tempo real: sim
Workload Identity disabled

Nome da categoria na API: WORKLOAD_IDENTITY_DISABLED

Como encontrar a descrição: a identidade da carga de trabalho está desativada em um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GKE 1.0: 6.2.2

Verifica se a propriedade workloadIdentityConfig de um cluster está definida. O detector também verifica se a propriedade workloadMetadataConfig de um pool de nós está definida como GKE_METADATA.

  • Permissões adicionais do IAM: roles/container.clusterViewer
  • Verificações em tempo real: sim

Descobertas de vulnerabilidades do Dataproc

As vulnerabilidades desse tipo de detector estão todas relacionadas ao Dataproc e pertencem ao tipo de detector DATAPROC_SCANNER.

Detector Resumo Configurações da verificação de recursos
Dataproc CMEK disabled

Nome da categoria na API: DATAPROC_CMEK_DISABLED

Descrição da descoberta: um cluster do Dataproc foi criado sem uma CMEK de configuração de criptografia. Com a CMEK, as chaves que você cria e gerencia no Cloud Key Management Service encapsulam as chaves que o Google Cloud usa para criptografar seus dados, oferecendo mais controle sobre o acesso a eles. Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
dataproc.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Verifica se o campo kmsKeyName na propriedade encryptionConfiguration está vazio.

  • Verificações em tempo real: sim
Dataproc image outdated

Nome da categoria na API: DATAPROC_IMAGE_OUTDATED

Como encontrar a descrição: um cluster do Dataproc foi criado com uma versão de imagem do Dataproc que é afetada por vulnerabilidades de segurança no utilitário Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046).

Nível de preços: Premium ou Standard

Recursos compatíveis
dataproc.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance.

Verifica se o campo softwareConfig.imageVersion na propriedade config de um Cluster é anterior a 1.3.95 ou é uma versão de imagem menor anterior que 1.4.77, 1.5.53 ou 2.0.27.

  • Verificações em tempo real: sim

Descobertas de vulnerabilidade do conjunto de dados

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER.

Detector Resumo Configurações da verificação de recursos
BigQuery table CMEK disabled

Nome da categoria na API: BIGQUERY_TABLE_CMEK_DISABLED

Como encontrar a descrição: uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
bigquery.googleapis.com/Table

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Verifica se o campo kmsKeyName na propriedade encryptionConfiguration está vazio.

  • Verificações em tempo real: sim
Dataset CMEK disabled

Nome da categoria na API: DATASET_CMEK_DISABLED

Como encontrar a descrição: um conjunto de dados do BigQuery não está configurado para usar uma CMEK padrão. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
bigquery.googleapis.com/Dataset

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Verifica se o campo kmsKeyName na propriedade defaultEncryptionConfiguration está vazio.

  • Verificações em tempo real: não
Public dataset

Nome da categoria na API: PUBLIC_DATASET

Como encontrar a descrição: um conjunto de dados está configurado para ser aberto ao acesso público.

Nível de preços: Premium ou Standard

Recursos compatíveis
bigquery.googleapis.com/Dataset

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica a política de permissão de IAM nos metadados de recursos para os membros allUsers ou allAuthenticatedUsers, que concedem acesso público.

  • Verificações em tempo real: sim

Descobertas de vulnerabilidade de DNS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS e pertencem ao tipo de detector DNS_SCANNER.

Detector Resumo Configurações da verificação de recursos
DNSSEC disabled

Nome da categoria na API: DNSSEC_DISABLED

Encontrando descrição: o DNSSEC está desativado para zonas do Cloud DNS.

Nível de preços: Premium

Recursos compatíveis
dns.googleapis.com/ManagedZone

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Verifica se o campo state da propriedade dnssecConfig está definido como off.

  • Recursos excluídos das verificações: zonas do Cloud DNS que não são públicas
  • Verificações em tempo real: sim
RSASHA1 for signing

Nome da categoria na API: RSASHA1_FOR_SIGNING

Encontrando descrição: o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS.

Nível de preços: Premium

Recursos compatíveis
dns.googleapis.com/ManagedZone

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Verifica se o objeto defaultKeySpecs.algorithm da propriedade dnssecConfig está definido como rsasha1.

  • Verificações em tempo real: sim

Descobertas de vulnerabilidades de firewall

As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e pertencem ao tipo de detector FIREWALL_SCANNER.

Detector Resumo Configurações da verificação de recursos
Egress deny rule not set

Nome da categoria na API: EGRESS_DENY_RULE_NOT_SET

Como encontrar a descrição: uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • PCI-DSS v3.2.1: 7.2

Verifica se a propriedade destinationRanges no firewall está definida como 0.0.0.0/0 e se a propriedade denied contém o par de chave-valor, "IPProtocol": "all".

  • Entradas adicionais: lê firewalls de saída de um projeto do armazenamento.
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não de regra de firewall
Firewall rule logging disabled

Nome da categoria na API: FIREWALL_RULE_LOGGING_DISABLED

Encontrando descrição: o registro de regras de firewall está desativado. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade logConfig nos metadados do firewall para ver se ela está vazia ou contém o par de chave-valor "enable": false.

Open Cassandra port

Nome da categoria na API: OPEN_CASSANDRA_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta Cassandra aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Verificações em tempo real: sim
Open ciscosecure websm port

Nome da categoria na API: OPEN_CISCOSECURE_WEBSM_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta CISCOSECURE_WEBSM aberta que permita acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e porta: TCP:9090.

  • Verificações em tempo real: sim
Open directory services port

Nome da categoria na API: OPEN_DIRECTORY_SERVICES_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:445 e UDP:445.

  • Verificações em tempo real: sim
Open DNS port

Nome da categoria na API: OPEN_DNS_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta DNS aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:53 e UDP:53.

  • Verificações em tempo real: sim
Open elasticsearch port

Nome da categoria na API: OPEN_ELASTICSEARCH_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:9200, 9300.

  • Verificações em tempo real: sim
Open firewall

Nome da categoria na API: OPEN_FIREWALL

Como encontrar a descrição: um firewall está configurado para ser aberto ao acesso público.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • PCI-DSS v3.2.1: 1.2.1

Verifica as propriedades sourceRanges e allowed para uma das duas configurações:

  • A propriedade sourceRanges contém 0.0.0.0/0, e a propriedade allowed contém uma combinação de regras que inclui qualquer protocol ou protocol:port, exceto:
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • A propriedade sourceRanges contém uma combinação de intervalos de IP que inclui qualquer endereço IP não particular, e a propriedade allowed contém uma combinação de regras que permitem todas as portas tcp ou todas as portas udp.
Open FTP port

Nome da categoria na API: OPEN_FTP_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta FTP aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e porta: TCP:21.

  • Verificações em tempo real: sim
Open HTTP port

Nome da categoria na API: OPEN_HTTP_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta HTTP aberta que permite acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:80.

  • Verificações em tempo real: sim
Open LDAP port

Nome da categoria na API: OPEN_LDAP_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta LDAP aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:389, 636 e UDP:389.

  • Verificações em tempo real: sim
Open Memcached port

Nome da categoria na API: OPEN_MEMCACHED_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:11211, 11214-11215 e UDP:11211, 11214-11215.

  • Verificações em tempo real: sim
Open MongoDB port

Nome da categoria na API: OPEN_MONGODB_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta MONGODB aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:27017-27019.

  • Verificações em tempo real: sim
Open MySQL port

Nome da categoria na API: OPEN_MYSQL_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta MYSQL que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e porta: TCP:3306.

  • Verificações em tempo real: sim
Open NetBIOS port

Nome da categoria na API: OPEN_NETBIOS_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta NETBIOS aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:137-139 e UDP:137-139.

  • Verificações em tempo real: sim
Open OracleDB port

Nome da categoria na API: OPEN_ORACLEDB_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta ORACLEDB aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:1521, 2483-2484 e UDP:2483-2484.

  • Verificações em tempo real: sim
Open pop3 port

Nome da categoria na API: OPEN_POP3_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta POP3 aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e porta: TCP:110.

  • Verificações em tempo real: sim
Open PostgreSQL port

Nome da categoria na API: OPEN_POSTGRESQL_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta PostgreSQL aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:5432 e UDP:5432.

  • Verificações em tempo real: sim
Open RDP port

Nome da categoria na API: OPEN_RDP_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta RDP aberta que permita o acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:3389 e UDP:3389.

  • Verificações em tempo real: sim
Open Redis port

Nome da categoria na API: OPEN_REDIS_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica se a propriedade allowed nos metadados de firewall contém o seguinte protocolo e porta: TCP:6379.

  • Verificações em tempo real: sim
Open SMTP port

Nome da categoria na API: OPEN_SMTP_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta SMTP aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica se a propriedade allowed nos metadados de firewall contém o seguinte protocolo e porta: TCP:25.

  • Verificações em tempo real: sim
Open SSH port

Nome da categoria na API: OPEN_SSH_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta SSH aberta que permita o acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Verifica se a propriedade allowed nos metadados de firewall contém os seguintes protocolos e portas: TCP:22 e SCTP:22.

  • Verificações em tempo real: sim
Open Telnet port

Nome da categoria na API: OPEN_TELNET_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta TELNET aberta que permita o acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica se a propriedade allowed nos metadados de firewall contém o seguinte protocolo e porta: TCP:23.

  • Verificações em tempo real: sim

Descobertas da vulnerabilidade do IAM

As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês) e pertencem ao tipo de detector IAM_SCANNER.

Detector Resumo Configurações da verificação de recursos
Access Transparency disabled

Nome da categoria na API: ACCESS_TRANSPARENCY_DISABLED

Descrição da descoberta: a Transparência no acesso do Google Cloud está desativada para sua organização. Registros de Transparência no acesso quando funcionários do Google Cloud acessam os projetos da sua organização para fornecer suporte. Ative a Transparência no acesso para registrar quem do Google Cloud está acessando suas informações, quando e por quê.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14

Verifica se sua organização tem a Transparência no acesso ativada.

  • Verificações em tempo real: não
Admin service account

Nome da categoria na API: ADMIN_SERVICE_ACCOUNT

Como encontrar a descrição: uma conta de serviço tem os privilégios de Administrador, Proprietário ou Editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

Verifica a política de permissão de IAM nos metadados do recurso em busca de qualquer conta de serviço criada pelo usuário (indicada pelo prefixo iam.gserviceaccount.com), que recebe roles/Owner ou roles/Editor, ou um ID de função que contém admin.

  • Recursos excluídos das verificações: conta de serviço do Container Registry (containerregistry.iam.gserviceaccount.com). e conta de serviço do Security Command Center (security-center-api.iam.gserviceaccount.com)
  • Verificações em tempo real: sim, a menos que a atualização do IAM seja feita em uma pasta
Essential Contacts Not Configured

Nome da categoria na API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

Descrição da descoberta: sua organização não designou uma pessoa ou um grupo para receber notificações do Google Cloud sobre eventos importantes, como ataques, vulnerabilidades e incidentes de dados na organização do Google Cloud. Recomendamos designar como contato essencial uma ou mais pessoas ou grupos na sua organização de negócios.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

Verifica se um contato foi especificado para as categorias de contato essencial a seguir:

  • Ofício
  • Segurança
  • Suspensão
  • Benefícios técnicos

  • Verificações em tempo real: não
KMS role separation

Nome da categoria na API: KMS_ROLE_SEPARATION

Como encontrar a descrição: a separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: Criptografador/Descriptografador de CryptoKey, Criptografador ou Descriptografador.

Essa descoberta não está disponível para ativações no nível do projeto.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Verifica as políticas de permissão de IAM nos metadados de recursos e recupera os membros atribuídos a qualquer um dos papéis a seguir ao mesmo tempo: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter e roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Verificações em tempo real: sim
Non org IAM member

Nome da categoria na API: NON_ORG_IAM_MEMBER

Encontrando descrição: há um usuário que não está usando credenciais organizacionais. De acordo com o CIS GCP Foundations 1.0, atualmente apenas identidades com endereços de e-mail @gmail.com acionam esse detector.

Nível de preços: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Compara os endereços de e-mail @gmail.com no campo user nos metadados da política de permissão do IAM com uma lista de identidades aprovadas para sua organização.

  • Verificações em tempo real: sim
Open group IAM member

Nome da categoria na API: OPEN_GROUP_IAM_MEMBER

Descrição da descoberta: uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como principal da política de permissão do IAM.

Nível de preços: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance.

Verifica a política de IAM nos metadados de recursos para verificar se há vinculações contendo um membro (principal) que tenha o prefixo group. Se o grupo for aberto, o Security Health Analytics gerará essa descoberta.
  • Entradas adicionais: lê os metadados do Grupos do Google para verificar se o grupo identificado é aberto.
  • Verificações em tempo real: não
Over privileged service account user

Nome da categoria na API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Como encontrar a descrição: um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço para envolvidos no projeto, em vez de para uma conta de serviço específica.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Verifica a política de permissão do IAM nos metadados de recursos para qualquer membro atribuído roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator no nível do projeto.
  • Recursos excluídos das verificações: contas de serviço do Cloud Build
  • Verificações em tempo real: sim
Primitive roles used

Nome da categoria na API: PRIMITIVE_ROLES_USED

Descrição da descoberta:um usuário tem um dos seguintes papéis básicos:

  • Proprietário (roles/owner)
  • Editor (roles/editor)
  • Leitor (roles/viewer)

Esses papéis são muito permissivos e não devem ser usados.

Nível de preços:Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Verifica a política de permissão do IAM nos metadados de recursos para qualquer membro atribuído a um papel roles/owner, roles/editor ou roles/viewer.

  • Verificações em tempo real: sim
Redis role used on org

Nome da categoria na API: REDIS_ROLE_USED_ON_ORG

Descrição da descoberta: um papel do IAM do Redis é atribuído ao nível da organização ou da pasta.

Essa descoberta não está disponível para ativações no nível do projeto.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization

Corrigir essa descoberta

Padrões de compliance:

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Verifica a política de permissão do IAM nos metadados de recursos para membros atribuídos a roles/redis.admin, roles/redis.editor, roles/redis.viewer na organização ou no nível da pasta.

  • Verificações em tempo real: sim
Service account role separation

Nome da categoria na API: SERVICE_ACCOUNT_ROLE_SEPARATION

Como encontrar a descrição: um usuário recebeu os papéis Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas".

Essa descoberta não está disponível para ativações no nível do projeto.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Verifica a política de permissão do IAM nos metadados de recursos para qualquer membro com roles/iam.serviceAccountUser e roles/iam.serviceAccountAdmin atribuídos.
  • Verificações em tempo real: sim
Service account key not rotated

Nome da categoria na API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Como encontrar a descrição: uma chave da conta de serviço não foi alternada por mais de 90 dias.

Nível de preços: Premium

Recursos compatíveis
iam.googleapis.com/ServiceAccountKey

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7

Avalia o carimbo de data/hora de criação da chave capturado na propriedade validAfterTime nos metadados de chave das contas de serviço.

  • Recursos excluídos das verificações: chaves de contas de serviço expiradas e chaves não gerenciadas pelos usuários
  • Verificações em tempo real: sim
User managed service account key

Nome da categoria na API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Como encontrar a descrição: um usuário gerencia uma chave de conta de serviço.

Nível de preços: Premium

Recursos compatíveis
iam.googleapis.com/ServiceAccountKey

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4

Verifica se a propriedade keyType nos metadados da chave da conta de serviço está definida como User_Managed.

  • Verificações em tempo real: sim

Descobertas de vulnerabilidade do KMS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS e pertencem ao tipo de detector KMS_SCANNER.

Detector Resumo Configurações da verificação de recursos
KMS key not rotated

Nome da categoria na API: KMS_KEY_NOT_ROTATED

Como encontrar a descrição: a rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves de criptografia precisam ser trocadas dentro de um período de 90 dias

Nível de preços: Premium

Recursos compatíveis
cloudkms.googleapis.com/CryptoKey

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.8
  • CIS GCP Foundation 1.1: 1.10
  • CIS GCP Foundation 1.2: 1.10
  • CIS GCP Foundation 1.3: 1.10
  • CIS GCP Foundation 2.0: 1.10
  • NIST 800-53 R4: SC-12
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2013: A.10.1.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Verifica os metadados do recurso para a existência de propriedades rotationPeriod ou nextRotationTime.

  • Recursos excluídos das verificações: chaves e chaves assimétricas com versões primárias desativadas ou destruídas
  • Verificações em tempo real: sim
KMS project has owner

Nome da categoria na API: KMS_PROJECT_HAS_OWNER

Como encontrar a descrição: um usuário tem permissões de Proprietário em um projeto que tem chaves criptográficas.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 1.2: 1.11
  • CIS GCP Foundation 1.3: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-6, SC-12
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica a política de permissão do IAM nos metadados do projeto para os membros atribuídos roles/Owner.

  • Entradas adicionais: lê criptochaves para um projeto do armazenamento, registrando descobertas apenas para projetos com criptochaves
  • Verificações em tempo real: sim, mas somente em alterações na política de permissão do IAM, não em alterações nas chaves do KMS
KMS public key

Nome da categoria na API: KMS_PUBLIC_KEY

Como encontrar a descrição: uma chave criptográfica do Cloud KMS é acessível publicamente.

Nível de preços: Premium

Recursos compatíveis
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 1.9
  • CIS GCP Foundation 1.2: 1.9
  • CIS GCP Foundation 1.3: 1.9
  • CIS GCP Foundation 2.0: 1.9
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica a política de permissão de IAM nos metadados de recursos para os membros allUsers ou allAuthenticatedUsers, que concedem acesso público.

  • Verificações em tempo real: sim
Too many KMS users

Nome da categoria na API: TOO_MANY_KMS_USERS

Como encontrar a descrição: há mais de três usuários de chaves criptográficas.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
cloudkms.googleapis.com/CryptoKey

Corrigir essa descoberta

Padrões de compliance:

  • PCI-DSS v3.2.1: 3.5.2
  • ISO-27001 v2013: A.9.2.3
Verifica as políticas de permissão do IAM quanto a keyrings, projetos e organizações e recupera membros com papéis que permitem criptografar, descriptografar ou assinar dados usando as chaves do Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer e roles/cloudkms.signerVerifier.
  • Entradas adicionais: lê versões de criptografia para uma chave de criptografia do armazenamento, preenchendo descobertas apenas para chaves com versões ativas. O detector também lê as políticas de permissão de IAM do conjunto de chaves, projetos e organizações do armazenamento
  • Verificações em tempo real: sim

Descobertas de vulnerabilidade de geração de registros

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e pertencem ao tipo de detector LOGGING_SCANNER.

Detector Resumo Configurações da verificação de recursos
Audit logging disabled

Nome da categoria na API: AUDIT_LOGGING_DISABLED

Descrição da descoberta: a geração de registros de auditoria foi desativada para este recurso.

Essa descoberta não está disponível para ativações no nível do projeto.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 2.1
  • CIS GCP Foundation 1.1: 2.1
  • CIS GCP Foundation 1.2: 2.1
  • CIS GCP Foundation 1.3: 2.1
  • CIS GCP Foundation 2.0: 2.1
  • NIST 800-53 R4: AC-2, AU-2
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v3.2.1: 10.1, 10.2
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2013: A.12.4.1, A.16.1.7
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2

Verifica a política de permissão do IAM nos metadados do recurso para a existência de um objeto auditLogConfigs.

  • Verificações em tempo real: sim
Bucket logging disabled

Nome da categoria na API: BUCKET_LOGGING_DISABLED

Como encontrar a descrição: há um bucket de armazenamento sem o registro ativado.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 5.3

Verifica se o campo logBucket, na propriedade logging do bucket, está vazio.

  • Verificações em tempo real: sim
Locked retention policy not set

Nome da categoria na API: LOCKED_RETENTION_POLICY_NOT_SET

Como encontrar a descrição: uma política de retenção bloqueada não está definida para os registros.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 2.3
  • CIS GCP Foundation 1.2: 2.3
  • CIS GCP Foundation 1.3: 2.3
  • CIS GCP Foundation 2.0: 2.3
  • NIST 800-53 R4: AU-11
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 10.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.12.4.2, A.18.1.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica se o campo isLocked, na propriedade retentionPolicy do bucket, está definido como true.

  • Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
  • Verificações em tempo real: sim
Log not exported

Nome da categoria na API: LOG_NOT_EXPORTED

Como encontrar a descrição: há um recurso que não tem um coletor de registros apropriado configurado.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 2.2
  • CIS GCP Foundation 1.1: 2.2
  • CIS GCP Foundation 1.2: 2.2
  • CIS GCP Foundation 1.3: 2.2
  • CIS GCP Foundation 2.0: 2.2
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2013: A.18.1.3
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.3

Recupera um objeto logSink em um projeto, verificando se o campo includeChildren está definido como true, o campo destination inclui o local para gravar registros, e o campo filter é preenchido.

  • Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não se a exportação de registros estiver configurada na pasta ou na organização
Object versioning disabled

Nome da categoria na API: OBJECT_VERSIONING_DISABLED

Como encontrar a descrição: o controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 2.3
  • NIST 800-53 R4: AU-11
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3

Verifica se o campo enabled, na propriedade versioning do bucket, está definido como true.

  • Recursos excluídos das verificações: intervalos do Cloud Storage com uma política de retenção bloqueada
  • Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
  • Verificações em tempo real: sim, mas somente se o controle de versões de objetos for alterado, não se os intervalos de registros forem criados

Como monitorar descobertas de vulnerabilidade

Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento e pertencem ao tipo MONITORING_SCANNER. Todas as propriedades de descoberta do detector do Monitoring incluem:

  • O RecommendedLogFilter a ser usado na criação das métricas de registro.
  • O QualifiedLogMetricNames que abrange as condições listadas no filtro de registro recomendado.
  • OAlertPolicyFailureReasonsque indica se o projeto não tem políticas de alerta criadas para nenhuma das métricas de registro qualificadas ou se as políticas de alerta atuais não têm as configurações recomendadas.
Detector Resumo Configurações da verificação de recursos
Audit config not monitored

Nome da categoria na API: AUDIT_CONFIG_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na configuração de auditoria.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 2.5
  • CIS GCP Foundation 1.1: 2.5
  • CIS GCP Foundation 1.2: 2.5
  • CIS GCP Foundation 1.3: 2.5
  • CIS GCP Foundation 2.0: 2.5
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* e, se resource.type for especificado, se o valor é global , O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em tempo real: não
Bucket IAM not monitored

Nome da categoria na API: BUCKET_IAM_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar alterações de permissão do IAM do Cloud Storage.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 2.10
  • CIS GCP Foundation 1.1: 2.10
  • CIS GCP Foundation 1.2: 2.10
  • CIS GCP Foundation 1.3: 2.10
  • CIS GCP Foundation 2.0: 2.10
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions". O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em tempo real: não
Custom role not monitored

Nome da categoria na API: CUSTOM_ROLE_NOT_MONITORED

Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações de Papéis personalizados.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 2.6
  • CIS GCP Foundation 1.1: 2.6
  • CIS GCP Foundation 1.2: 2.6
  • CIS GCP Foundation 1.3: 2.6
  • CIS GCP Foundation 2.0: 2.6
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole"). O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em tempo real: não
Firewall not monitored

Nome da categoria na API: FIREWALL_NOT_MONITORED

Como encontrar a descrição: as métricas e os alertas de registro não estão configurados para monitorar alterações na regra de firewall da rede de nuvem privada virtual (VPC).

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 2.7
  • CIS GCP Foundation 1.1: 2.7
  • CIS GCP Foundation 1.2: 2.7
  • CIS GCP Foundation 1.3: 2.7
  • CIS GCP Foundation 2.0: 2.7
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete"). O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em tempo real: não
Network not monitored

Nome da categoria na API: NETWORK_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças da rede VPC.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 2.9
  • CIS GCP Foundation 1.1: 2.9
  • CIS GCP Foundation 1.2: 2.9
  • CIS GCP Foundation 1.3: 2.9
  • CIS GCP Foundation 2.0: 2.9
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering"). O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em tempo real: não
Owner not monitored

Nome da categoria na API: OWNER_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 2.4
  • CIS GCP Foundation 1.1: 2.4
  • CIS GCP Foundation 1.2: 2.4
  • CIS GCP Foundation 1.3: 2.4
  • CIS GCP Foundation 2.0: 2.4
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") e, se resource.type for especificado, se o valor é global. O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em tempo real: não
Route not monitored

Nome da categoria na API: ROUTE_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na rota de rede VPC.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert"). O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em tempo real: não
SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete" e, se resource.type for especificado, se o valor é global. O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do Google Cloud Observability, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em tempo real: não

Descobertas da autenticação multifator

O detector MFA_SCANNER identifica vulnerabilidades relacionadas à autenticação multifator para usuários.

Detector Resumo Configurações da verificação de recursos
MFA not enforced

Nome da categoria na API: MFA_NOT_ENFORCED

Há usuários que não estão usando a verificação em duas etapas.

O Google Workspace permite especificar um período de carência de inscrição para novos usuários em que eles precisam se inscrever na verificação em duas etapas. Esse detector cria descobertas para os usuários durante o período de carência da inscrição.

Essa descoberta não está disponível para ativações no nível do projeto.

Nível de preços: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 1.2
  • CIS GCP Foundation 1.1: 1.2
  • CIS GCP Foundation 1.2: 1.2
  • CIS GCP Foundation 1.3: 1.2
  • CIS GCP Foundation 2.0: 1.2
  • NIST 800-53 R4: IA-2
  • PCI-DSS v3.2.1: 8.3
  • ISO-27001 v2013: A.9.4.2
  • ISO-27001 v2022: A.8.5

Avalia políticas de gerenciamento de identidade em organizações e configurações de usuários para contas gerenciadas no Cloud Identity.

  • Recursos excluídos das verificações: as unidades organizacionais receberam exceções à política
  • Entradas adicionais: lê dados do Google Workspace.
  • Verificações em tempo real: não

Descobertas de vulnerabilidades de rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede de uma organização e pertencem ao tipo NETWORK_SCANNER.

Detector Resumo Configurações da verificação de recursos
Default network

Nome da categoria na API: DEFAULT_NETWORK

Como encontrar a descrição: a rede padrão existe em um projeto.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Network

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 3.1
  • CIS GCP Foundation 1.1: 3.1
  • CIS GCP Foundation 1.2: 3.1
  • CIS GCP Foundation 1.3: 3.1
  • CIS GCP Foundation 2.0: 3.1
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Verifica se a propriedade name nos metadados da rede está definida como default

  • Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado
  • Verificações em tempo real: sim
DNS logging disabled

Nome da categoria na API: DNS_LOGGING_DISABLED

Encontrar a descrição: a geração de registros DNS em uma rede VPC não está ativada.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Network
dns.googleapis.com/Policy

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 2.12
  • CIS GCP Foundation 1.3: 2.12
  • CIS GCP Foundation 2.0: 2.12
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2, 8.6

Verifica todos os policies associados a uma rede VPC pelo campo networks[].networkUrl e procura pelo menos uma política que tenha enableLogging definido como true.

  • Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado
  • Verificações em tempo real: sim
Legacy network

Nome da categoria na API: LEGACY_NETWORK

Como encontrar a descrição: há uma rede legada em um projeto.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Network

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 3.2
  • CIS GCP Foundation 1.1: 3.2
  • CIS GCP Foundation 1.2: 3.2
  • CIS GCP Foundation 1.3: 3.2
  • CIS GCP Foundation 2.0: 3.2
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Verifica a existência de metadados de rede na propriedade IPv4Range.

  • Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado
  • Verificações em tempo real: sim
Load balancer logging disabled

Nome da categoria na API: LOAD_BALANCER_LOGGING_DISABLED

Descrição da descoberta: a geração de registros está desativada no balanceador de carga.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/BackendServices

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 2.0: 2.16
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2

Verifica se a propriedade enableLogging do serviço de back-end no balanceador de carga está definida como true.

  • Verificações em tempo real: sim

Descobertas da vulnerabilidade da política da organização

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de política da organização e pertencem ao tipo ORG_POLICY.

Detector Resumo Configurações da verificação de recursos
Org policy Confidential VM policy

Nome da categoria na API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Como encontrar a descrição: um recurso do Compute Engine não está em conformidade com a política da organização constraints/compute.restrictNonConfidentialComputing. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições de políticas da organização na documentação da VM confidencial.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance.

Verifica se a propriedade enableConfidentialCompute de uma instância do Compute Engine está definida como true.

  • Recursos excluídos das verificações: instâncias do GKE
  • Permissões adicionais do IAM: permissions/orgpolicy.policy.get
  • Entradas adicionais: lê a política da organização efetiva do serviço de política da organização
  • Verificações em tempo real: não
Org policy location restriction

Nome da categoria na API: ORG_POLICY_LOCATION_RESTRICTION

Como encontrar a descrição: um recurso do Compute Engine está fora da conformidade com a restrição constraints/gcp.resourceLocations. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições da política da organização.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Nível de preços: Premium

Recursos compatíveis
Na linha a seguir, consulte Recursos compatíveis para ORG_POLICY_LOCATION_RESTRICTION

Corrigir essa descoberta

Padrões de compliance:

Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance.

Verifica a propriedade listPolicy nos metadados dos recursos compatíveis para ver uma lista de locais permitidos ou negados.

  • Permissões adicionais do IAM: permissions/orgpolicy.policy.get
  • Entradas adicionais: lê a política da organização efetiva do serviço de política da organização
  • Verificações em tempo real: não

Recursos compatíveis para ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Logging
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 Como não é possível excluir os recursos do Cloud KMS, eles não serão considerados fora da região se os dados deles tiverem sido destruídos.

2 Como os jobs de importação do Cloud KMS têm um ciclo de vida controlado e não podem ser encerrados antecipadamente, um ImportJob não é considerado fora da região se o job expirar e não puder mais ser usado para importar chaves.

3 Como o ciclo de vida dos jobs do Dataflow não pode ser gerenciado, um job não é considerado fora da região depois de atingir um estado terminal (interrompido ou drenado), em que pode não serão mais usados para processar dados.

Descobertas de vulnerabilidades do Pub/Sub

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Pub/Sub e pertencem ao tipo PUBSUB_SCANNER.

Detector Resumo Configurações da verificação de recursos
Pubsub CMEK disabled

Nome da categoria na API: PUBSUB_CMEK_DISABLED

Como encontrar a descrição: um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
pubsub.googleapis.com/Topic

Corrigir essa descoberta

Padrões de compliance:

Esta categoria de descoberta não está associada a nenhum controle de padrão de compliance.

Verifica o campo kmsKeyName para o nome do recurso do CMEK.

  • Verificações em tempo real: sim

Descobertas de vulnerabilidade SQL

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud SQL e pertencem ao tipo SQL_SCANNER.

Detector Resumo Configurações da verificação de recursos
AlloyDB auto backup disabled

Nome da categoria na API: ALLOYDB_AUTO_BACKUP_DISABLED

Descrição da descoberta:Um cluster do AlloyDB para PostgreSQL não tem backups automáticos ativados.

Nível de preços: Premium

Recursos compatíveis
alloydb.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Verifica se a propriedade automated_backup_policy.enabled nos metadados de um cluster do AlloyDB para PostgreSQL está definida como true.

  • Recursos excluídos das verificações: clusters secundários do AlloyDB para PostgreSQL
  • Verificações em tempo real: sim
AlloyDB backups disabled

Nome da categoria na API: ALLOYDB_BACKUPS_DISABLED

Descrição da descoberta:um cluster do AlloyDB para PostgreSQL não tem backups ativados.

Nível de preços: Premium

Recursos compatíveis
alloydb.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Verifica se as propriedades automated_backup_policy.enabled ou continuous_backup_policy.enabled nos metadados de um cluster do AlloyDB para PostgreSQL estão definidas como true.

  • Recursos excluídos das verificações: clusters secundários do AlloyDB para PostgreSQL
  • Verificações em tempo real: sim
AlloyDB CMEK disabled

Nome da categoria na API: ALLOYDB_CMEK_DISABLED

Descrição da descoberta:um cluster do AlloyDB não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK).

Nível de preços: Premium

Recursos compatíveis
alloydb.googleapis.com/Cluster

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Verifica o campo encryption_type nos metadados do cluster para determinar se a CMEK está ativada.

  • Verificações em tempo real: sim
AlloyDB log min error statement severity

Nome da categoria na API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Descrição da descoberta:a flag do banco de dados log_min_error_statement de uma instância do AlloyDB para PostgreSQL não está definida como error ou outro valor recomendado.

Nível de preços: Premium

Recursos compatíveis
alloydb.googleapis.com/Instances

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Para garantir a cobertura adequada dos tipos de mensagem nos registros, emite uma descoberta se o campo log_min_error_statement da propriedade databaseFlags não estiver definido como um dos seguintes valores: debug5, debug4, debug3, debug2, debug1, info, notice, warning ou o valor padrão error.

  • Verificações em tempo real: sim
AlloyDB log min messages

Nome da categoria na API: ALLOYDB_LOG_MIN_MESSAGES

Descrição da descoberta:a flag do banco de dados log_min_messages de uma instância do AlloyDB para PostgreSQL não está definida como warning ou outro valor recomendado.

Nível de preços: Premium

Recursos compatíveis
alloydb.googleapis.com/Instances

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Para garantir a cobertura adequada dos tipos de mensagem nos registros, emite uma descoberta se o campo log_min_messages da propriedade databaseFlags não estiver definido como um dos seguintes valores: debug5, debug4, debug3, debug2, debug1, info, notice ou o valor padrãowarning.

  • Verificações em tempo real: sim
AlloyDB log error verbosity

Nome da categoria na API: ALLOYDB_LOG_ERROR_VERBOSITY

Descrição da descoberta:a flag do banco de dados log_error_verbosity de uma instância do AlloyDB para PostgreSQL não está definida como default ou outro valor recomendado.

Nível de preços: Premium

Recursos compatíveis
alloydb.googleapis.com/Instances

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Para garantir a cobertura adequada dos tipos de mensagem nos registros, emite uma descoberta se o campo log_error_verbosity da propriedade databaseFlags não estiver definido como um dos seguintes valores: verbose ou o valor padrão default.

  • Verificações em tempo real: sim
AlloyDB public IP

Nome da categoria na API: ALLOYDB_PUBLIC_IP

Descrição da descoberta:uma instância de banco de dados do AlloyDB para PostgreSQL tem um endereço IP público.

Nível de preços: Premium

Recursos compatíveis
alloydb.googleapis.com/Instances

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Verifica se o campo enablePublicIp da propriedade instanceNetworkConfig está configurado para permitir endereços IP públicos.

  • Verificações em tempo real: sim
AlloyDB SSL not enforced

Nome da categoria na API: ALLOYDB_SSL_NOT_ENFORCED

Descrição da descoberta:uma instância de banco de dados do AlloyDB para PostgreSQL não exige que todas as conexões de entrada usem SSL.

Nível de preços: Premium

Recursos compatíveis
alloydb.googleapis.com/Instances

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Verifica se a propriedade sslMode da instância do AlloyDB para PostgreSQL está definida como ENCRYPTED_ONLY.

  • Verificações em tempo real: sim
Auto backup disabled

Nome da categoria na API: AUTO_BACKUP_DISABLED

Descrição da descoberta: um banco de dados do Cloud SQL não tem backups automáticos ativados.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 6.7
  • CIS GCP Foundation 1.2: 6.7
  • CIS GCP Foundation 1.3: 6.7
  • CIS GCP Foundation 2.0: 6.7
  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)
  • CIS Controls 8.0: 11.2

Verifica se a propriedade backupConfiguration.enabled de um dado do Cloud SQL está definida como true.

  • Recursos excluídos das verificações: réplicas do Cloud SQL
  • Entradas adicionais: lê políticas de permissão do IAM para ancestrais do armazenamento de recursos do Security Health Analytics
  • Verificações em tempo real: sim
Public SQL instance

Nome da categoria na API: PUBLIC_SQL_INSTANCE

Como encontrar a descrição: uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP.

Nível de preços: Premium ou Standard

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 6.2
  • CIS GCP Foundation 1.1: 6.5
  • CIS GCP Foundation 1.2: 6.5
  • CIS GCP Foundation 1.3: 6.5
  • CIS GCP Foundation 2.0: 6.5
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica se a propriedade authorizedNetworks das instâncias do Cloud SQL está definida como um único endereço IP ou intervalo de endereços IP.

  • Verificações em tempo real: sim
SSL not enforced

Nome da categoria na API: SSL_NOT_ENFORCED

Descrição da descoberta: uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL.

Nível de preços: Premium ou Standard

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Verifica se a propriedade sslMode da instância do Cloud SQL está definida como um modo SSL aprovado, ENCRYPTED_ONLY ou TRUSTED_CLIENT_CERTIFICATE_REQUIRED.

  • Verificações em tempo real: sim
SQL CMEK disabled

Nome da categoria na API: SQL_CMEK_DISABLED

Descrição da descoberta: uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

Esta categoria de descoberta não está associada a nenhum controle de compliance padrão.

Verifica o campo kmsKeyName no objeto diskEncryptionKey, nos metadados da instância, para o nome do recurso da CMEK.

  • Verificações em tempo real: sim
SQL contained database authentication

Nome da categoria na API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Como encontrar a descrição: a sinalização do banco de dados contained database authentication para uma instância do Cloud SQL para SQL Server não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 6.3.2
  • CIS GCP Foundation 1.2: 6.3.7
  • CIS GCP Foundation 1.3: 6.3.7
  • CIS GCP Foundation 2.0: 6.3.7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor, "name": "contained database authentication", "value": "on" ou se está ativado por padrão.

  • Verificações em tempo real: sim
SQL cross DB ownership chaining

Nome da categoria na API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Descoberta de localização: a sinalização do banco de dados cross_db_ownership_chaining para uma instância do Cloud SQL para SQL Server não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 6.3.1
  • CIS GCP Foundation 1.2: 6.3.2
  • CIS GCP Foundation 1.3: 6.3.2
  • CIS GCP Foundation 2.0: 6.3.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "cross_db_ownership_chaining", "value": "on".

  • Verificações em tempo real: sim
SQL external scripts enabled

Nome da categoria na API: SQL_EXTERNAL_SCRIPTS_ENABLED

Descoberta de localização: a sinalização do banco de dados external scripts enabled para uma instância do Cloud SQL para SQL Server não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.3.1
  • CIS GCP Foundation 1.3: 6.3.1
  • CIS GCP Foundation 2.0: 6.3.1
  • NIST 800-53 R5: CM-7, SI-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3
  • NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3
  • SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4
  • CIS Controls 8.0: 2.7

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "external scripts enabled", "value": "off".

  • Verificações em tempo real: sim
SQL local infile

Nome da categoria na API: SQL_LOCAL_INFILE

Encontrando descrição: a sinalização do banco de dados local_infile para uma instância do Cloud SQL para MySQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 6.1.2
  • CIS GCP Foundation 1.2: 6.1.3
  • CIS GCP Foundation 1.3: 6.1.3
  • CIS GCP Foundation 2.0: 6.1.3
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 2.2.1
  • ISO-27001 v2022: A.8.8
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • CIS Controls 8.0: 16.7

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "local_infile", "value": "on".

  • Verificações em tempo real: sim
SQL log checkpoints disabled

Nome da categoria na API: SQL_LOG_CHECKPOINTS_DISABLED

Como encontrar a descrição: a sinalização de banco de dados log_checkpoints para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 6.2.1
  • CIS GCP Foundation 1.2: 6.2.1

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_checkpoints", "value": "on".

  • Verificações em tempo real: sim
SQL log connections disabled

Nome da categoria na API: SQL_LOG_CONNECTIONS_DISABLED

Como encontrar a descrição: a sinalização de banco de dados log_connections para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 6.2.2
  • CIS GCP Foundation 1.2: 6.2.3
  • CIS GCP Foundation 1.3: 6.2.2
  • CIS GCP Foundation 2.0: 6.2.2
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_connections", "value": "on".

  • Verificações em tempo real: sim
SQL log disconnections disabled

Nome da categoria na API: SQL_LOG_DISCONNECTIONS_DISABLED

Descoberta de localização: a sinalização do banco de dados log_disconnections para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 6.2.3
  • CIS GCP Foundation 1.2: 6.2.4
  • CIS GCP Foundation 1.3: 6.2.3
  • CIS GCP Foundation 2.0: 6.2.3
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_disconnections", "value": "on".

  • Verificações em tempo real: sim
SQL log duration disabled

Nome da categoria na API: SQL_LOG_DURATION_DISABLED

Descoberta de localização: a sinalização do banco de dados log_duration para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.2.5

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_duration", "value": "on".

  • Verificações em tempo real: sim
SQL log error verbosity

Nome da categoria na API: SQL_LOG_ERROR_VERBOSITY

Descrição da descoberta:a sinalização do banco de dados log_error_verbosity para uma instância do Cloud SQL para PostgreSQL não está definida como default ou verbose.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.2.2
  • CIS GCP Foundation 1.3: 6.2.1
  • CIS GCP Foundation 2.0: 6.2.1
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_error_verbosity está definida como default ou verbose.

  • Verificações em tempo real: sim
SQL log lock waits disabled

Nome da categoria na API: SQL_LOG_LOCK_WAITS_DISABLED

Como encontrar a descrição: a sinalização de banco de dados log_lock_waits para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 6.2.4
  • CIS GCP Foundation 1.2: 6.2.6

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_lock_waits", "value": "on".

  • Verificações em tempo real: sim
SQL log min duration statement enabled

Nome da categoria na API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Como encontrar a descrição: a sinalização do banco de dados log_min_duration_statement para uma instância do Cloud SQL para PostgreSQL não está definida como "-1".

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 6.2.7
  • CIS GCP Foundation 1.2: 6.2.16
  • CIS GCP Foundation 1.3: 6.2.8
  • CIS GCP Foundation 2.0: 6.2.7
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_min_duration_statement", "value": "-1".

  • Verificações em tempo real: sim
SQL log min error statement

Nome da categoria na API: SQL_LOG_MIN_ERROR_STATEMENT

Encontrando descrição a sinalização do banco de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não está definida corretamente.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 6.2.5

Verifica se o campo log_min_error_statement da propriedade databaseFlags está definido como um dos seguintes valores: debug5, debug4, debug3, debug2, debug1, info, notice, warning ou o valor padrão error.

  • Verificações em tempo real: sim
SQL log min error statement severity

Nome da categoria na API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Descrição da descoberta: a sinalização do banco de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade apropriado.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.2.14
  • CIS GCP Foundation 1.3: 6.2.7
  • CIS GCP Foundation 2.0: 6.2.6
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Verifica se o campo log_min_error_statement da propriedade databaseFlags está definido com um dos seguintes valores: error, log, fatal ou panic.

  • Verificações em tempo real: sim
SQL log min messages

Nome da categoria na API: SQL_LOG_MIN_MESSAGES

Descrição da descoberta: a sinalização de banco de dados log_min_messages de uma instância do Cloud SQL para PostgreSQL não está definida como warning ou outro valor recomendado.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.2.13
  • CIS GCP Foundation 1.3: 6.2.6
  • CIS GCP Foundation 2.0: 6.2.5
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Para garantir a cobertura adequada dos tipos de mensagem nos registros, emite uma descoberta se o campo log_min_messages da propriedade databaseFlags não estiver definido como um dos seguintes valores: debug5, debug4, debug3, debug2, debug1, info, notice ou o valor padrãowarning.

  • Verificações em tempo real: sim
SQL log executor stats enabled

Nome da categoria na API: SQL_LOG_EXECUTOR_STATS_ENABLED

Como encontrar a descrição: a sinalização de banco de dados log_executor_stats para uma instância do Cloud SQL para PostgreSQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.2.11

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_executor_stats está definida como on.

  • Verificações em tempo real: sim
SQL log hostname enabled

Nome da categoria na API: SQL_LOG_HOSTNAME_ENABLED

Como encontrar a descrição: a sinalização de banco de dados log_hostname para uma instância do Cloud SQL para PostgreSQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.2.8

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_hostname está definida como on.

  • Verificações em tempo real: sim
SQL log parser stats enabled

Nome da categoria na API: SQL_LOG_PARSER_STATS_ENABLED

Como encontrar a descrição: a sinalização de banco de dados log_parser_stats para uma instância do Cloud SQL para PostgreSQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.2.9

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_parser_stats está definida como on.

  • Verificações em tempo real: sim
SQL log planner stats enabled

Nome da categoria na API: SQL_LOG_PLANNER_STATS_ENABLED

Como encontrar a descrição: a sinalização de banco de dados log_planner_stats para uma instância do Cloud SQL para PostgreSQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.2.10

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_planner_stats está definida como on.

  • Verificações em tempo real: sim
SQL log statement

Nome da categoria na API: SQL_LOG_STATEMENT

Como encontrar a descrição: a sinalização do banco de dados log_statement para uma instância do Cloud SQL para PostgreSQL não está definida como ddl (todas as instruções de definição de dados).

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.2.7
  • CIS GCP Foundation 1.3: 6.2.4
  • CIS GCP Foundation 2.0: 6.2.4
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_statement está definida como ddl.

  • Verificações em tempo real: sim
SQL log statement stats enabled

Nome da categoria na API: SQL_LOG_STATEMENT_STATS_ENABLED

Como encontrar a descrição: a sinalização de banco de dados log_statement_stats para uma instância do Cloud SQL para PostgreSQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.2.12

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_statement_stats está definida como on.

  • Verificações em tempo real: sim
SQL log temp files

Nome da categoria na API: SQL_LOG_TEMP_FILES

Descoberta de localização: a sinalização do banco de dados log_temp_files para uma instância do Cloud SQL para PostgreSQL não está definida como "0".

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 6.2.6
  • CIS GCP Foundation 1.2: 6.2.15

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_temp_files", "value": "0".

  • Verificações em tempo real: sim
SQL no root password

Nome da categoria na API: SQL_NO_ROOT_PASSWORD

Descrição da descoberta: um banco de dados do Cloud SQL que tem um endereço IP público não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 6.3
  • CIS GCP Foundation 1.1: 6.1.1
  • CIS GCP Foundation 1.2: 6.1.1
  • CIS GCP Foundation 1.3: 6.1.1
  • CIS GCP Foundation 2.0: 6.1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 2.1
  • ISO-27001 v2013: A.8.2.3, A.9.4.2
  • ISO-27001 v2022: A.8.5

Verifica se a propriedade rootPassword da conta raiz está vazia.

  • Permissões adicionais do IAM: roles/cloudsql.client
  • Entradas adicionais: consulta instâncias ativas
  • Verificações em tempo real: não
SQL public IP

Nome da categoria na API: SQL_PUBLIC_IP

Como encontrar a descrição: um banco de dados do Cloud SQL tem um endereço IP público.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.1: 6.6
  • CIS GCP Foundation 1.2: 6.6
  • CIS GCP Foundation 1.3: 6.6
  • CIS GCP Foundation 2.0: 6.2.9, 6.6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Verifica se o tipo de endereço IP de um banco de dados do Cloud SQL está definido como Primary, indicando que ele é público.

  • Verificações em tempo real: sim
SQL remote access enabled

Nome da categoria na API: SQL_REMOTE_ACCESS_ENABLED

Como encontrar a descrição: a sinalização do banco de dados remote access para uma instância do Cloud SQL para SQL Server não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.3.5
  • CIS GCP Foundation 1.3: 6.3.5
  • CIS GCP Foundation 2.0: 6.3.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "remote access", "value": "off".

  • Verificações em tempo real: sim
SQL skip show database disabled

Nome da categoria na API: SQL_SKIP_SHOW_DATABASE_DISABLED

Encontrando descrição: a sinalização do banco de dados skip_show_database para uma instância do Cloud SQL para MySQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.1.2
  • CIS GCP Foundation 1.3: 6.1.2
  • CIS GCP Foundation 2.0: 6.1.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "skip_show_database", "value": "on".

  • Verificações em tempo real: sim
SQL trace flag 3625

Nome da categoria na API: SQL_TRACE_FLAG_3625

Como encontrar a descrição: a sinalização do banco de dados 3625 (trace flag) para uma instância do Cloud SQL para SQL Server não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.3.6
  • CIS GCP Foundation 2.0: 6.3.6
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "3625 (trace flag)", "value": "on".

  • Verificações em tempo real: sim
SQL user connections configured

Nome da categoria na API: SQL_USER_CONNECTIONS_CONFIGURED

Como encontrar a descrição: a sinalização do banco de dados user connections para uma instância do Cloud SQL para SQL Server está configurada.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.3.3
  • CIS GCP Foundation 1.3: 6.3.3
  • CIS GCP Foundation 2.0: 6.3.3
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "user connections", "value": "0".

  • Verificações em tempo real: sim
SQL user options configured

Nome da categoria na API: SQL_USER_OPTIONS_CONFIGURED

Como encontrar a descrição: a sinalização do banco de dados user options para uma instância do Cloud SQL para SQL Server está configurada.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 6.3.4
  • CIS GCP Foundation 1.3: 6.3.4
  • CIS GCP Foundation 2.0: 6.3.4
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "user options", "value": "" (vazio).

  • Verificações em tempo real: sim
SQL weak root password

Nome da categoria na API: SQL_WEAK_ROOT_PASSWORD

Descrição da descoberta: um banco de dados do Cloud SQL que tem um endereço IP público também tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Padrões de compliance:

Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance.

Compara a senha da conta raiz do banco de dados do Cloud SQL com uma lista de senhas comuns.

  • Permissões adicionais do IAM: roles/cloudsql.client
  • Entradas adicionais: consulta instâncias ativas
  • Verificações em tempo real: não

Descobertas de vulnerabilidade do armazenamento

As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage e pertencem ao tipo STORAGE_SCANNER.

Detector Resumo Configurações da verificação de recursos
Bucket CMEK disabled

Nome da categoria na API: BUCKET_CMEK_DISABLED

Descrição da descoberta: um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Padrões de compliance:

Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance.

Verifica o campo encryption nos metadados do bucket para o nome do recurso de sua CMEK.

  • Verificações em tempo real: sim
Bucket policy only disabled

Nome da categoria na API: BUCKET_POLICY_ONLY_DISABLED

Como encontrar a descrição: o acesso uniforme no nível do bucket, anteriormente chamado de Somente política do bucket, não está configurado.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica se a propriedade uniformBucketLevelAccess em um bucket está definida como "enabled":false

  • Verificações em tempo real: sim
Public bucket ACL

Nome da categoria na API: PUBLIC_BUCKET_ACL

Como encontrar a descrição: um bucket do Cloud Storage é acessível publicamente.

Nível de preços: Premium ou Standard

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica a política de permissão do IAM de um bucket para papéis públicos, allUsers ou allAuthenticatedUsers.

  • Verificações em tempo real: sim
Public log bucket

Nome da categoria na API: PUBLIC_LOG_BUCKET

Como encontrar a descrição: um bucket de armazenamento usado como coletor de registros é acessível publicamente.

Essa descoberta não está disponível para ativações no nível do projeto.

Nível de preços: Premium ou Standard

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

Verifica a política de permissão do IAM de um bucket para os membros allUsers ou allAuthenticatedUsers, que concedem acesso público.

  • Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
  • Verificações em tempo real: sim, mas somente se a política do IAM em intervalos for alterada, não se o coletor de registros for alterado

Descobertas de vulnerabilidades de sub-rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER.

Detector Resumo Configurações da verificação de recursos
Flow logs disabled

Nome da categoria na API: FLOW_LOGS_DISABLED

Como encontrar a descrição: há uma sub-rede VPC com registros de fluxo desativados.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Subnetwork

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 3.9
  • CIS GCP Foundation 1.1: 3.8
  • CIS GCP Foundation 1.2: 3.8
  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Verifica se a propriedade enableFlowLogs das sub-redes do Compute Engine está ausente ou definida como false.

  • Recursos excluídos das verificações: acesso VPC sem servidor, sub-redes do balanceador de carga
  • Verificações em tempo real: sim

Descrição da descoberta: em uma sub-rede VPC, os registros de fluxo de VPC estão desativados ou não estão configurados de acordo com as recomendações do comparativo de mercado CIS 1.3. Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Subnetwork

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.3: 3.8
  • CIS GCP Foundation 2.0: 3.8
  • NIST 800-53 R5: SI-4
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS Controls 8.0: 13.6, 8.2

Verifica se a propriedade enableFlowLogs das sub-redes VPC está ausente ou definida como false. Quando os registros de fluxo de VPC estão ativados, verifica a propriedade Aggregation Interval definida como 5 SEC, o Include metadata definido como true, o Sample rate como 100%.

  • Recursos excluídos das verificações: acesso VPC sem servidor, sub-redes do balanceador de carga
  • Verificações em tempo real: sim
Private Google access disabled

Nome da categoria na API: PRIVATE_GOOGLE_ACCESS_DISABLED

Descrição da descoberta: há sub-redes particulares sem acesso às APIs públicas do Google.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Corrigir essa descoberta

Padrões de compliance:

  • CIS GCP Foundation 1.0: 3.8

Verifica se a propriedade privateIpGoogleAccess das sub-redes do Compute Engine está definida como false.

  • Verificações em tempo real: sim

Resultados da AWS

Detector Resumo Configurações da verificação de recursos

AWS Cloud Shell Full Access Restricted

Nome da categoria na API: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

Descrição da descoberta:

O AWS CloudShell é uma maneira conveniente de executar comandos da CLI nos serviços da AWS. Uma política gerenciada do IAM ("AWSCloudShellFullAccess") oferece acesso total ao CloudShell, o que permite fazer upload e download de arquivos entre o sistema local de um usuário e o ambiente do CloudShell. No ambiente do CloudShell, um usuário tem permissões sudo e pode acessar a Internet. Portanto, é possível instalar um software de transferência de arquivos (por exemplo) e mover dados do CloudShell para servidores externos da Internet.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • CIS AWS Foundation 2.0.0: 1.22

Verifique se o acesso ao AWSCloudShellFullAccess está restrito

  • Verificações em tempo real: não

Access Keys Rotated Every 90 Days or Less

Nome da categoria na API: ACCESS_KEYS_ROTATED_90_DAYS_LESS

Descrição da descoberta:

As chaves de acesso consistem em um ID e uma chave secreta, que são usadas para assinar solicitações programáticas feitas à AWS. Os usuários da AWS precisam de chaves de acesso próprias para fazer chamadas programáticas para a AWS na interface de linha de comando da AWS (AWS CLI), nas ferramentas para Windows PowerShell, nos SDKs da AWS ou em chamadas HTTP diretas usando as APIs de serviços individuais da AWS. É recomendável que todas as chaves de acesso sejam trocadas regularmente.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4
  • CIS AWS Foundation 2.0.0: 1.14
  • CIS Controls 8.0: 5

Verifique se as chaves de acesso são alternadas a cada 90 dias ou menos

  • Verificações em tempo real: não

All Expired Ssl Tls Certificates Stored Aws Iam Removed

Nome da categoria na API: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Descrição da descoberta:

Para ativar as conexões HTTPS no seu site ou aplicativo na AWS, você precisa de um certificado de servidor SSL/TLS. É possível usar o ACM ou o IAM para armazenar e implantar certificados do servidor.
Use o IAM como um gerenciador de certificados somente quando precisar oferecer suporte a conexões HTTPS em uma região que não tem suporte do ACM. O IAM criptografa suas chaves privadas e armazena a versão criptografada no armazenamento de certificados SSL do IAM. O IAM oferece suporte à implantação de certificados de servidor em todas as regiões, mas você precisa receber o certificado de um provedor externo para usar com a AWS. Não é possível fazer upload de um certificado do ACM para o IAM. Além disso, não é possível gerenciar seus certificados no IAM Console.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AU-11, CM-12, SI-12
  • PCI-DSS v4.0: 9.4.2
  • ISO-27001 v2022: A.5.10, A.5.9, A.8.1
  • Cloud Controls Matrix 4: DSP-01
  • NIST Cybersecurity Framework 1.0: PR-IP-6
  • CIS AWS Foundation 2.0.0: 1.19
  • CIS Controls 8.0: 3.1

Verifique se todos os certificados SSL/TLS expirados armazenados no AWS IAM foram removidos

  • Verificações em tempo real: não

Autoscaling Group Elb Healthcheck Required

Nome da categoria na API: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Descrição da descoberta:

Essa opção verifica se os grupos de escalonamento automático associados a um balanceador de carga estão usando as verificações de integridade do Elastic Load Balancing.

Isso garante que o grupo possa determinar a integridade de uma instância com base em outros testes fornecidos pelo balanceador de carga. O uso de verificações de integridade do Elastic Load Balancing pode ajudar a garantir a disponibilidade de aplicativos que usam grupos de escalonamento automático do EC2.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-2

Verifica se todos os grupos de escalonamento automático associados a um balanceador de carga usam verificações de integridade

  • Verificações em tempo real: não

Auto Minor Version Upgrade Feature Enabled Rds Instances

Nome da categoria na API: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Descrição da descoberta:

Verifique se as instâncias de banco de dados do RDS têm a flag de upgrade automático da versão secundária ativada para receber upgrades automáticos de versão secundária do mecanismo durante a janela de manutenção especificada. Assim, as instâncias do RDS podem receber novos recursos, correções de bugs e patches de segurança para os mecanismos de banco de dados.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: RA-5, RA-7, SI-2
  • ISO-27001 v2022: A.8.8
  • Cloud Controls Matrix 4: UEM-03
  • NIST Cybersecurity Framework 1.0: ID-RA-1
  • SOC2 v2017: CC7.1.1, CC7.1.2, CC7.1.3, CC7.1.4, CC7.1.5
  • CIS AWS Foundation 2.0.0: 2.3.2
  • CIS Controls 8.0: 7.4

Verifique se o recurso de upgrade automático de versão secundária está ativado nas instâncias do RDS

  • Verificações em tempo real: não

Aws Config Enabled All Regions

Nome da categoria na API: AWS_CONFIG_ENABLED_ALL_REGIONS

Descrição da descoberta:

O AWS Config é um serviço da Web que realiza o gerenciamento de configuração dos recursos da AWS com suporte na sua conta e envia arquivos de registro para você. As informações gravadas incluem o item de configuração (recurso da AWS), as relações entre os itens de configuração (recursos da AWS) e as mudanças de configuração entre os recursos. É recomendável ativar o AWS Config em todas as regiões.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS AWS Foundation 2.0.0: 3.5
  • CIS Controls 8.0: 1.1

Verifique se o AWS Config está ativado em todas as regiões

  • Verificações em tempo real: não

Aws Security Hub Enabled

Nome da categoria na API: AWS_SECURITY_HUB_ENABLED

Descrição da descoberta:

O Security Hub coleta dados de segurança de contas, serviços e produtos de parceiros de terceiros com suporte da AWS. Ele ajuda você a analisar tendências de segurança e identificar os problemas de segurança de maior prioridade. Quando você ativa o Security Hub, ele começa a consumir, agregar, organizar e priorizar as descobertas dos serviços da AWS que você ativou, como Amazon GuardDuty, Amazon Inspector e Amazon Macie. Também é possível ativar integrações com produtos de segurança de parceiros da AWS.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: CA-7
  • PCI-DSS v3.2.1: 11.5
  • CIS AWS Foundation 2.0.0: 4.16

Verifique se a Central de Segurança da AWS está ativada

  • Verificações em tempo real: não

Cloudtrail Logs Encrypted Rest Using Kms Cmks

Nome da categoria na API: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

Descrição da descoberta:

O AWS CloudTrail é um serviço da Web que registra chamadas de API da AWS para uma conta e disponibiliza esses registros para usuários e recursos de acordo com as políticas do IAM. O AWS Key Management Service (KMS) é um serviço gerenciado que ajuda a criar e controlar as chaves de criptografia usadas para criptografar os dados da conta e usa módulos de segurança de hardware (HSMs) para proteger a segurança das chaves de criptografia. Os registros do CloudTrail podem ser configurados para aproveitar a criptografia do lado do servidor (SSE) e as chaves mestras criadas pelo cliente (CMK) do KMS para proteger ainda mais os registros do CloudTrail. É recomendável que o CloudTrail seja configurado para usar o SSE-KMS.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.7
  • CIS Controls 8.0: 3.11

Verifique se os registros do CloudTrail são criptografados em repouso usando CMKs do KMS

  • Verificações em tempo real: não

Cloudtrail Log File Validation Enabled

Nome da categoria na API: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

Descrição da descoberta:

A validação de arquivos de registro do CloudTrail cria um arquivo de resumo assinado digitalmente que contém um hash de cada registro gravado pelo CloudTrail no S3. Esses arquivos de resumo podem ser usados para determinar se um arquivo de registro foi alterado, excluído ou não alterado depois que o CloudTrail entregou o registro. É recomendável ativar a validação de arquivos em todos os CloudTrails.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AU-6, AU-7, SI-7(7)
  • PCI-DSS v3.2.1: 11.5
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS AWS Foundation 2.0.0: 3.2
  • CIS Controls 8.0: 8.11

Verifique se a validação do arquivo de registros do CloudTrail está ativada

  • Verificações em tempo real: não

Cloudtrail Trails Integrated Cloudwatch Logs

Nome da categoria na API: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

Descrição da descoberta:

O AWS CloudTrail é um serviço da Web que registra chamadas da API da AWS feitas em uma determinada conta da AWS. As informações gravadas incluem a identidade do autor da chamada da API, o horário da chamada, o endereço IP de origem do autor da chamada, os parâmetros de solicitação e os elementos de resposta retornados pelo serviço da AWS. O CloudTrail usa o Amazon S3 para armazenamento e envio de arquivos de registro. Além de capturar registros do CloudTrail em um bucket do S3 especificado para análise de longo prazo, é possível realizar análises em tempo real configurando o CloudTrail para enviar registros aos Logs do CloudWatch. Para um rastro ativado em todas as regiões de uma conta, o CloudTrail envia arquivos de registro de todas elas para um grupo de registros do CloudWatch Logs. Recomendamos que os registros do CloudTrail sejam enviados para os registros do CloudWatch.

Observação: a intenção desta recomendação é garantir que a atividade da conta da AWS seja capturada, monitorada e alarme adequadamente. Os registros do CloudWatch são uma maneira nativa de fazer isso usando os serviços da AWS, mas não impedem o uso de uma solução alternativa.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS AWS Foundation 2.0.0: 3.4
  • CIS Controls 8.0: 8.5, 8.9

Verifique se as trilhas do CloudTrail estão integradas aos registros do CloudWatch

  • Verificações em tempo real: não

Cloudwatch Alarm Action Check

Nome da categoria na API: CLOUDWATCH_ALARM_ACTION_CHECK

Descrição da descoberta:

Isso verifica se o Amazon Cloudwatch tem ações definidas quando um alarme transita entre os estados "OK", "ALARM" e "INSUFFICIENT_DATA".

Configurar ações para o estado ALARM nos alarmes do Amazon CloudWatch é muito importante para acionar uma resposta imediata quando as métricas monitoradas ultrapassarem os limites.
Ele garante a resolução rápida de problemas, reduz o tempo de inatividade e permite a correção automática, mantendo a integridade do sistema e evitando falhas.

Os alarmes têm pelo menos uma ação.
Os alarmes têm pelo menos uma ação quando passam do estado "INSUFFICIENT_DATA" para qualquer outro estado.
(Opcional) Os alarmes têm pelo menos uma ação quando transitam para um estado "OK" a partir de qualquer outro estado.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-20

Verifique se os alarmes do CloudWatch têm pelo menos uma ação de alarme, uma ação INSUFFICIENT_DATA ou uma ação OK ativada.

  • Verificações em tempo real: não

Cloudwatch Log Group Encrypted

Nome da categoria na API: CLOUDWATCH_LOG_GROUP_ENCRYPTED

Descrição da descoberta:

Essa verificação garante que os registros do CloudWatch sejam configurados com o KMS.

Os dados do grupo de registros são sempre criptografados nos Logs do CloudWatch. Por padrão, os CloudWatch Logs usam a criptografia do lado do servidor para os dados de registro em repouso. Como alternativa, você pode usar o AWS Key Management Service para essa criptografia. Nesse caso, a criptografia é feita usando uma chave do AWS KMS. A criptografia usando o AWS KMS é ativada no nível do grupo de registros, associando uma chave do KMS a um grupo de registros, seja ao criar o grupo de registros ou depois que ele existir.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • PCI-DSS v3.2.1: 3.4

Verifica se todos os grupos de registro nos logs do Amazon CloudWatch estão criptografados com o KMS

  • Verificações em tempo real: não

CloudTrail CloudWatch Logs Enabled

Nome da categoria na API: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Descrição da descoberta:

Esse controle verifica se as trilhas do CloudTrail estão configuradas para enviar registros aos registros do CloudWatch. O controle falha se a propriedade CloudWatchLogsLogGroupArn do rastro estiver vazia.

O CloudTrail registra chamadas da API da AWS feitas em uma determinada conta. As informações gravadas incluem o seguinte:

  • A identidade do autor da chamada da API
  • O horário da chamada de API
  • O endereço IP de origem do autor da chamada da API
  • Os parâmetros de solicitação
  • Os elementos de resposta retornados pelo serviço da AWS

O CloudTrail usa o Amazon S3 para armazenamento e envio de arquivos de registro. É possível capturar registros do CloudTrail em um bucket do S3 especificado para análise de longo prazo. Para realizar análises em tempo real, configure o CloudTrail para enviar registros aos Logs do CloudWatch.

Para um rastro ativado em todas as regiões de uma conta, o CloudTrail envia arquivos de registro de todas elas para um grupo de registros do CloudWatch Logs.

O Security Hub recomenda que você envie os registros do CloudTrail para os registros do CloudWatch. Essa recomendação tem o objetivo de garantir que a atividade da conta seja capturada, monitorada e alarme adequadamente. Você pode usar os registros do CloudWatch para configurar isso com seus serviços da AWS. Essa recomendação não impede o uso de uma solução diferente.

O envio de registros do CloudTrail para os registros do CloudWatch facilita o registro de atividades em tempo real e histórico com base no usuário, na API, no recurso e no endereço IP. Você pode usar essa abordagem para estabelecer alarmes e notificações para atividades anormais ou sensíveis da conta.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-20
  • PCI-DSS v3.2.1: 10.5.3

Verifica se todas as trilhas do CloudTrail estão configuradas para enviar registros ao AWS CloudWatch

  • Verificações em tempo real: não

No AWS Credentials in CodeBuild Project Environment Variables

Nome da categoria na API: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Descrição da descoberta:

Isso verifica se o projeto contém as variáveis de ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY.

As credenciais de autenticação AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY nunca devem ser armazenadas em texto simples, porque isso pode levar à exposição não intencional de dados e ao acesso não autorizado.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: IA-5, SA-3

Verifique se todos os projetos que contêm variáveis de ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY não estão em texto simples

  • Verificações em tempo real: não

Codebuild Project Source Repo Url Check

Nome da categoria na API: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Descrição da descoberta:

Verifica se o URL do repositório de origem do Bitbucket de um projeto do AWS CodeBuild contém tokens de acesso pessoal ou um nome de usuário e uma senha. O controle falha se o URL do repositório de origem do Bitbucket contiver tokens de acesso pessoal ou um nome de usuário e uma senha.

As credenciais de login não podem ser armazenadas ou transmitidas em texto simples nem aparecer no URL do repositório de origem. Em vez de tokens de acesso pessoais ou credenciais de login, acesse o provedor de origem no CodeBuild e mude o URL do repositório de origem para conter apenas o caminho para o local do repositório do Bitbucket. O uso de tokens de acesso pessoal ou de credenciais de login pode resultar em exposição não intencional de dados ou acesso não autorizado.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance.

Verifica se todos os projetos que usam o github ou bitbucket como fonte usam o oauth

  • Verificações em tempo real: não

Credentials Unused 45 Days Greater Disabled

Nome da categoria na API: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

Descrição da descoberta:

Os usuários do AWS IAM podem acessar os recursos da AWS usando diferentes tipos de credenciais, como senhas ou chaves de acesso. Recomendamos que todas as credenciais que não foram usadas em 45 dias ou mais sejam desativadas ou removidas.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-2
  • PCI-DSS v4.0: 8.3.7
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • CIS AWS Foundation 2.0.0: 1.12
  • CIS Controls 8.0: 5.3

Verifique se as credenciais não usadas há 45 dias ou mais estão desativadas

  • Verificações em tempo real: não

Default Security Group Vpc Restricts All Traffic

Nome da categoria na API: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

Descrição da descoberta:

Uma VPC vem com um grupo de segurança padrão cujas configurações iniciais negam todo o tráfego de entrada, permitem todo o tráfego de saída e permitem todo o tráfego entre as instâncias atribuídas ao grupo de segurança. Se você não especificar um grupo de segurança ao iniciar uma instância, ela será atribuída automaticamente a esse grupo de segurança padrão. Os grupos de segurança fornecem filtragem stateful do tráfego de entrada/saída da rede para os recursos da AWS. É recomendável que o grupo de segurança padrão restrinja todo o tráfego.

O grupo de segurança padrão da VPC padrão em cada região precisa ser atualizado para obedecer à regra. As VPCs recém-criadas vão conter automaticamente um grupo de segurança padrão que precisará ser remediado para obedecer a essa recomendação.

OBSERVAÇÃO:ao implementar essa recomendação, a geração de registros de fluxo da VPC é inestimável para determinar o acesso de porta de privilégio mínimo exigido pelos sistemas para funcionar corretamente, porque ela pode registrar todas as aceitações e rejeições de pacotes que ocorrem nos grupos de segurança atuais. Isso reduz drasticamente a principal barreira para a engenharia de privilégio mínimo, descobrindo as portas mínimas exigidas pelos sistemas no ambiente. Mesmo que a recomendação de registro de fluxo de VPC neste comparativo não seja adotada como uma medida de segurança permanente, ela precisa ser usada durante qualquer período de descoberta e engenharia para grupos de segurança com menos privilégios.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 5.4
  • CIS Controls 8.0: 3.3

Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego

  • Verificações em tempo real: não

Dms Replication Not Public

Nome da categoria na API: DMS_REPLICATION_NOT_PUBLIC

Descrição da descoberta:

Verifica se as instâncias de replicação do AWS DMS são públicas. Para isso, ele examina o valor do campo PubliclyAccessible.

Uma instância de replicação particular tem um endereço IP particular que não pode ser acessado fora da rede de replicação. Uma instância de replicação precisa ter um endereço IP particular quando os bancos de dados de origem e de destino estão na mesma rede. A rede também precisa estar conectada à VPC da instância de replicação usando uma VPN, o AWS Direct Connect ou o peering de VPC. Para saber mais sobre instâncias de replicação públicas e privadas, consulte Instâncias de replicação públicas e privadas no guia do usuário do AWS Database Migration Service.

Também é necessário garantir que o acesso à configuração da instância do AWS DMS seja limitado apenas a usuários autorizados. Para isso, restrinja as permissões do IAM dos usuários para modificar as configurações e os recursos do AWS DMS.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifica se as instâncias de replicação do AWS Database Migration Service são públicas

  • Verificações em tempo real: não

Do Setup Access Keys During Initial User Setup All Iam Users Console

Nome da categoria na API: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Descrição da descoberta:

O console da AWS não tem caixas de seleção selecionadas por padrão ao criar um novo usuário do IAM. Ao criar as credenciais do usuário do IAM, você precisa determinar o tipo de acesso necessário.

Acesso programático: o usuário do IAM pode precisar fazer chamadas de API, usar a AWS CLI ou as ferramentas do PowerShell para Windows. Nesse caso, crie uma chave de acesso (ID da chave de acesso e uma chave de acesso secreta) para esse usuário.

Acesso ao AWS Management Console: se o usuário precisar acessar o AWS Management Console, crie uma senha para ele.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.11
  • CIS Controls 8.0: 3.3, 5.4

Não defina chaves de acesso durante a configuração inicial de usuário para todos os usuários do IAM que têm uma senha para o console

  • Verificações em tempo real: não

Dynamodb Autoscaling Enabled

Nome da categoria na API: DYNAMODB_AUTOSCALING_ENABLED

Descrição da descoberta:

Isso verifica se uma tabela do Amazon DynamoDB pode dimensionar a capacidade de leitura e gravação conforme necessário. Esse controle é transmitido se a tabela usar o modo de capacidade sob demanda ou o modo provisionado com o escalonamento automático configurado. O escalonamento da capacidade com a demanda evita exceções de limitação, o que ajuda a manter a disponibilidade dos seus aplicativos.

As tabelas do DynamoDB no modo de capacidade sob demanda são limitadas apenas pelas cotas de tabela padrão de throughput do DynamoDB. Para aumentar essas cotas, registre um tíquete de suporte na AWS Support.

As tabelas do DynamoDB no modo provisionado com escalonamento automático ajustam a capacidade de throughput provisionada de forma dinâmica em resposta aos padrões de tráfego. Para mais informações sobre o controle de solicitação do DynamoDB, consulte Controle de solicitação e capacidade de pico no Guia para Desenvolvedores do Amazon DynamoDB.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-13(5)

As tabelas DynamoDB precisam escalonar a capacidade automaticamente conforme a demanda

  • Verificações em tempo real: não

Dynamodb In Backup Plan

Nome da categoria na API: DYNAMODB_IN_BACKUP_PLAN

Descrição da descoberta:

Esse controle avalia se uma tabela do DynamoDB está coberta por um plano de backup. O controle falha se uma tabela do DynamoDB não estiver coberta por um plano de backup. Esse controle avalia apenas as tabelas do DynamoDB que estão no estado ACTIVE.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência dos seus sistemas. Incluir tabelas do DynamoDB em um plano de backup ajuda a proteger seus dados contra perda ou exclusão acidental.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-13(5)

As tabelas DynamoDB precisam estar cobertas por um plano de backup

  • Verificações em tempo real: não

Dynamodb Pitr Enabled

Nome da categoria na API: DYNAMODB_PITR_ENABLED

Descrição da descoberta:

A recuperação pontual (PITR) é um dos mecanismos disponíveis para fazer backup de tabelas do DynamoDB.

Um backup de ponto no tempo é mantido por 35 dias. Caso sua exigência seja de retenção mais longa, consulte Configurar backups programados do Amazon DynamoDB usando o AWS Backup na documentação da AWS.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-13(5)

Verifica se a recuperação pontual (PITR) foi ativada em todas as tabelas do AWS DynamoDB

  • Verificações em tempo real: não

Dynamodb Table Encrypted Kms

Nome da categoria na API: DYNAMODB_TABLE_ENCRYPTED_KMS

Descrição da descoberta:

Verifica se todas as tabelas do DynamoDB estão criptografadas com uma chave KMS gerenciada pelo cliente (não padrão).

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-7(6)

Verifica se todas as tabelas do DynamoDB foram criptografadas com o AWS Key Management Service (KMS)

  • Verificações em tempo real: não

Ebs Optimized Instance

Nome da categoria na API: EBS_OPTIMIZED_INSTANCE

Descrição da descoberta:

Verifica se a otimização do EBS está ativada para as instâncias do EC2 que podem ser otimizadas para EBS

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-5(2)

Verifica se a otimização do EBS foi ativada em todas as instâncias com suporte à otimização do EBS

  • Verificações em tempo real: não

Ebs Snapshot Public Restorable Check

Nome da categoria na API: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Descrição da descoberta:

Verifica se os snapshots do Amazon Elastic Block Store não são públicos. O controle falha se os snapshots do Amazon EBS puderem ser restaurados por qualquer pessoa.

Os snapshots do EBS são usados para fazer backup dos dados dos seus volumes do EBS no Amazon S3 em um determinado momento. Você pode usar os snapshots para restaurar estados anteriores dos volumes EBS. É raro que seja aceitável compartilhar um snapshot com o público. Normalmente, a decisão de compartilhar um snapshot publicamente foi tomada por engano ou sem um entendimento completo das implicações. Essa verificação ajuda a garantir que todo esse compartilhamento foi totalmente planejado e intencional.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Os snapshots do Amazon EBS não devem ser publicamente restauráveis

  • Verificações em tempo real: não

Ebs Volume Encryption Enabled All Regions

Nome da categoria na API: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

Descrição da descoberta:

O Elastic Compute Cloud (EC2) oferece suporte à criptografia em repouso ao usar o serviço Elastic Block Store (EBS). Embora desativado por padrão, é possível forçar a criptografia na criação de volumes do EBS.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.2.1
  • CIS Controls 8.0: 3.11

Verifique se a criptografia de volume EBS está ativada em todas as regiões

  • Verificações em tempo real: não

Ec2 Instances In Vpc

Nome da categoria na API: EC2_INSTANCES_IN_VPC

Descrição da descoberta:

A Amazon VPC oferece mais recursos de segurança do que o EC2 Classic. É recomendável que todos os nós pertençam a uma VPC da Amazon.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-7

Verifique se todas as instâncias pertencem a uma VPC

  • Verificações em tempo real: não

Ec2 Instance No Public Ip

Nome da categoria na API: EC2_INSTANCE_NO_PUBLIC_IP

Descrição da descoberta:

As instâncias do EC2 que têm um endereço IP público estão em maior risco de comprometimento. Recomendamos que as instâncias do EC2 não sejam configuradas com um endereço IP público.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifique se nenhuma instância tem IP público

  • Verificações em tempo real: não

Ec2 Managedinstance Association Compliance Status Check

Nome da categoria na API: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

Descrição da descoberta:

Uma associação do State Manager é uma configuração atribuída às suas instâncias gerenciadas. A configuração define o estado que você quer manter nas instâncias. Por exemplo, uma associação pode especificar que o software antivírus precisa estar instalado e em execução nas suas instâncias ou que determinadas portas precisam ser fechadas. As instâncias do EC2 que têm uma associação com o AWS Systems Manager estão sob o gerenciamento do Systems Manager, o que facilita a aplicação de patches, a correção de configurações incorretas e a resposta a eventos de segurança.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • PCI-DSS v3.2.1: 6.2

Verifica o status de compliance da associação do AWS Systems Manager

  • Verificações em tempo real: não

Ec2 Managedinstance Patch Compliance Status Check

Nome da categoria na API: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

Descrição da descoberta:

Esse controle verifica se o status de compliance da associação do AWS Systems Manager é COMPLIANT ou NON_COMPLIANT depois que a associação é executada em uma instância. O controle falhará se o status de compliance da associação for NON_COMPLIANT.

Uma associação do State Manager é uma configuração atribuída às suas instâncias gerenciadas. A configuração define o estado que você quer manter nas instâncias. Por exemplo, uma associação pode especificar que o software antivírus precisa estar instalado e em execução nas suas instâncias ou que determinadas portas precisam ser fechadas.

Depois de criar uma ou mais associações ao Gerenciador de estado, as informações sobre o status de compliance ficam disponíveis imediatamente. É possível conferir o status de compliance no console ou em resposta a comandos da AWS CLI ou ações correspondentes da API Systems Manager. Para associações, a conformidade de configuração mostra o status de compliance (em conformidade ou não em conformidade). Ele também mostra o nível de gravidade atribuído à associação, como "Crítica" ou "Média".

Para saber mais sobre a conformidade da associação do State Manager, consulte Sobre a conformidade da associação do State Manager no Guia do usuário do AWS Systems Manager.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-2
  • PCI-DSS v3.2.1: 6.2

Verifica o status de compliance do patch do AWS Systems Manager

  • Verificações em tempo real: não

Ec2 Metadata Service Allows Imdsv2

Nome da categoria na API: EC2_METADATA_SERVICE_ALLOWS_IMDSV2

Descrição da descoberta:

Ao ativar o serviço de metadados em instâncias do AWS EC2, os usuários têm a opção de usar a versão 1 do serviço de metadados de instância (IMDSv1, um método de solicitação/resposta) ou a versão 2 do serviço de metadados de instância (IMDSv2, um método orientado a sessões).

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-6
  • CIS AWS Foundation 2.0.0: 5.6

Verifique se o serviço de metadados do EC2 permite apenas IMDSv2

  • Verificações em tempo real: não

Ec2 Volume Inuse Check

Nome da categoria na API: EC2_VOLUME_INUSE_CHECK

Descrição da descoberta:

Identifique e remova volumes do Elastic Block Store (EBS) não anexados (não usados) na sua conta da AWS para reduzir o custo da sua fatura mensal da AWS. A exclusão de volumes EBS não utilizados também reduz o risco de dados confidenciais/sensíveis saírem da sua empresa. Além disso, esse controle também verifica se as instâncias do EC2 arquivadas foram configuradas para excluir volumes no encerramento.

Por padrão, as instâncias do EC2 são configuradas para excluir os dados em todos os volumes do EBS associados à instância e para excluir o volume raiz do EBS da instância. No entanto, por padrão, todos os volumes do EBS não raiz anexados à instância, na inicialização ou durante a execução, são mantidos após a interrupção.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: CM-2

Verifica se os volumes do EBS estão anexados às instâncias do EC2 e configurados para exclusão no encerramento da instância

  • Verificações em tempo real: não

Efs Encrypted Check

Nome da categoria na API: EFS_ENCRYPTED_CHECK

Descrição da descoberta:

O Amazon EFS oferece suporte a duas formas de criptografia para sistemas de arquivos: criptografia de dados em trânsito e criptografia em repouso. Isso verifica se todos os sistemas de arquivos EFS estão configurados com criptografia em repouso em todas as regiões ativadas na conta.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Verifica se o EFS foi configurado para criptografar dados de arquivos usando o KMS

  • Verificações em tempo real: não

Efs In Backup Plan

Nome da categoria na API: EFS_IN_BACKUP_PLAN

Descrição da descoberta:

As práticas recomendadas da Amazon recomendam configurar backups para os sistemas de arquivos elástica (EFS, na sigla em inglês). Isso verifica todos os EFS em todas as regiões ativadas na sua conta da AWS para backups ativados.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-13(5)

Verifica se os sistemas de arquivos do EFS estão incluídos nos planos de backup do AWS

  • Verificações em tempo real: não

Elb Acm Certificate Required

Nome da categoria na API: ELB_ACM_CERTIFICATE_REQUIRED

Descrição da descoberta:

Verifica se o balanceador de carga clássico usa certificados HTTPS/SSL fornecidos pelo AWS Certificate Manager (ACM). O controle falha se o balanceador de carga clássico configurado com o listener HTTPS/SSL não usar um certificado fornecido pelo ACM.

Para criar um certificado, use o ACM ou uma ferramenta compatível com os protocolos SSL e TLS, como o OpenSSL. O Security Hub recomenda usar o ACM para criar ou importar certificados para o balanceador de carga.

O ACM se integra aos balanceadores de carga clássicos para que você possa implantar o certificado no balanceador. Você também precisa renovar esses certificados automaticamente.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-17, AC-4, IA-5, SC-12, SC-13, SC-23, SC-7, SC-8, SI-7, SI-7(6)

Verifica se todos os balanceadores de carga clássicos usam os certificados SSL fornecidos pelo AWS Certificate Manager

  • Verificações em tempo real: não

Elb Deletion Protection Enabled

Nome da categoria na API: ELB_DELETION_PROTECTION_ENABLED

Descrição da descoberta:

Verifica se um balanceador de carga de aplicativo tem a proteção contra exclusão ativada. O controle falha se a proteção contra exclusão não estiver configurada.

Ative a proteção contra exclusão para proteger o Application Load Balancer contra exclusão.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-5(2)

A proteção contra exclusões do balanceador de carga de aplicativo precisa ser ativada

  • Verificações em tempo real: não

Elb Logging Enabled

Nome da categoria na API: ELB_LOGGING_ENABLED

Descrição da descoberta:

Isso verifica se o balanceador de carga de aplicativo e o balanceador de carga clássico têm a geração de registros ativada. O controle falha se access_logs.s3.enabled for falso.

O Elastic Load Balancing fornece registros de acesso que capturam informações detalhadas sobre as solicitações enviadas ao balanceador de carga. Cada registro contém informações como o horário em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. É possível usar esses registros de acesso para analisar padrões de tráfego e resolver problemas.

Para saber mais, consulte Acesso aos registros do balanceador de carga clássico no guia do usuário para balanceadores de carga clássicos.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Verifica se os balanceadores de carga de aplicativo e clássicos estão com a geração de registros ativada

  • Verificações em tempo real: não

Elb Tls Https Listeners Only

Nome da categoria na API: ELB_TLS_HTTPS_LISTENERS_ONLY

Descrição da descoberta:

Essa verificação garante que todos os balanceadores de carga clássicos estejam configurados para usar comunicação segura.

Um listener é um processo que verifica solicitações de conexão. Ele é configurado com um protocolo e uma porta para conexões front-end (cliente para balanceador de carga) e um protocolo e uma porta para conexões back-end (balanceador de carga para instância). Para informações sobre as portas, os protocolos e as configurações de listener compatíveis com o Elastic Load Balancing, consulte Listeners para o balanceador de carga clássico.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-7(6)

Verifica se todos os balanceadores de carga clássicos foram configurados com listeners HTTPS ou SSL

  • Verificações em tempo real: não

Encrypted Volumes

Nome da categoria na API: ENCRYPTED_VOLUMES

Descrição da descoberta:

Verifica se os volumes EBS que estão em um estado anexado estão criptografados. Para passar nessa verificação, os volumes EBS precisam estar em uso e criptografados. Se o volume do EBS não estiver anexado, ele não estará sujeito a essa verificação.

Para adicionar uma camada extra de segurança aos seus dados confidenciais em volumes do EBS, ative a criptografia de dados em repouso do EBS. A criptografia do Amazon EBS oferece uma solução simples para seus recursos do EBS que não exige que você crie, mantenha e proteja sua própria infraestrutura de gerenciamento de chaves. Ele usa chaves do KMS ao criar volumes e snapshots criptografados.

Para saber mais sobre a criptografia do Amazon EBS, consulte Criptografia do Amazon EBS no Guia do usuário do Amazon EC2 para instâncias Linux.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Os volumes anexados do Amazon EBS precisam estar criptografados em repouso

  • Verificações em tempo real: não

Encryption At Rest Enabled Rds Instances

Nome da categoria na API: ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

Descrição da descoberta:

As instâncias de DB criptografadas do Amazon RDS usam o algoritmo de criptografia AES-256 padrão do setor para criptografar seus dados no servidor que hospeda as instâncias de DB do Amazon RDS. Depois que os dados são criptografados, o Amazon RDS processa a autenticação de acesso e a descriptografia dos dados de forma transparente, com um impacto mínimo no desempenho.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.3.1
  • CIS Controls 8.0: 3.11

Verifique se a criptografia em repouso foi ativada nas instâncias do RDS

  • Verificações em tempo real: não

Encryption Enabled Efs File Systems

Nome da categoria na API: ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

Descrição da descoberta:

Os dados do EFS precisam ser criptografados em repouso usando o AWS KMS (serviço de gerenciamento de chaves).

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.4.1
  • CIS Controls 8.0: 3.11

Verifique se a criptografia está ativada para sistemas de arquivos EFS

  • Verificações em tempo real: não

Iam Password Policy

Nome da categoria na API: IAM_PASSWORD_POLICY

Descrição da descoberta:

A AWS permite políticas de senha personalizadas na sua conta para especificar requisitos de complexidade e períodos de rotação obrigatórios para as senhas dos usuários do IAM. Se você não definir uma política de senha personalizada, as senhas dos usuários do IAM precisarão atender à política de senha padrão da AWS. As práticas recomendadas de segurança da AWS recomendam os seguintes requisitos de complexidade de senha:

  • Exija pelo menos um caractere maiúsculo na senha.
  • Exija pelo menos um caractere minúsculo nas senhas.
  • Exija pelo menos um símbolo nas senhas.
  • Exija pelo menos um número nas senhas.
  • Exija um comprimento mínimo de senha de pelo menos 14 caracteres.
  • Exija pelo menos 24 senhas antes de permitir a reutilização.
  • Exigir pelo menos 90 dias antes da expiração da senha

Esse controle verifica todos os requisitos especificados da política de senhas.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: IA-5(1)
  • PCI-DSS v3.2.1: 8.2.5

Verifica se a política de senha da conta para usuários do IAM atende aos requisitos especificados

  • Verificações em tempo real: não

Iam Password Policy Prevents Password Reuse

Nome da categoria na API: IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

Descrição da descoberta:

As políticas de senha do IAM podem impedir que o mesmo usuário reutilize uma senha. Recomendamos que a política de senha impeça a reutilização de senhas.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 8.3.5, 8.3.6, 8.6.3
  • ISO-27001 v2022: A.5.17
  • Cloud Controls Matrix 4: IAM-02
  • SOC2 v2017: CC6.1.3, CC6.1.8, CC6.1.9
  • CIS AWS Foundation 2.0.0: 1.9
  • CIS Controls 8.0: 5.2

Verifique se a política de senha do IAM impede a reutilização da senha

  • Verificações em tempo real: não

Iam Password Policy Requires Minimum Length 14 Greater

Nome da categoria na API: IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

Descrição da descoberta:

As políticas de senha são usadas em parte para aplicar requisitos de complexidade de senha. As políticas de senha do IAM podem ser usadas para garantir que as senhas tenham pelo menos um determinado comprimento. É recomendável que a política de senha exija um comprimento mínimo de 14.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • CIS AWS Foundation 2.0.0: 1.8
  • CIS Controls 8.0: 5, 5.2

Verifique se a política de senha do IAM requer tamanho mínimo de 14 ou mais

  • Verificações em tempo real: não

Iam Policies Allow Full Administrative Privileges Attached

Nome da categoria na API: IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

Descrição da descoberta:

As políticas do IAM são o meio pelo qual os privilégios são concedidos a usuários, grupos ou funções. É recomendado e considerado um conselho de segurança padrão conceder o privilégio mínimo, ou seja, conceder apenas as permissões necessárias para realizar uma tarefa. Determine o que os usuários precisam fazer e crie políticas para que eles somente realizem essas tarefas, em vez de permitir privilégios administrativos completos.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.16
  • CIS Controls 8.0: 3.3

Verifique se as políticas do IAM que permitem privilégios de administrador "*:*" completos não estão anexadas

  • Verificações em tempo real: não

Iam Users Receive Permissions Groups

Nome da categoria na API: IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

Descrição da descoberta:

Os usuários do IAM recebem acesso a serviços, funções e dados por meio das políticas do IAM. Há quatro maneiras de definir políticas para um usuário: 1) editar a política do usuário diretamente, também conhecida como política inline ou do usuário; 2) anexar uma política diretamente a um usuário; 3) adicionar o usuário a um grupo do IAM com uma política anexada; 4) adicionar o usuário a um grupo do IAM com uma política inline.

Só a terceira implementação é recomendada.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-2, AC-5, AC-6, AU-9
  • PCI-DSS v4.0: 10.3.1, 7.1.1, 7.2.1, 7.2.2, 7.2.4, 7.2.6, 7.3.1, 7.3.2
  • ISO-27001 v2022: A.5.15, A.5.3, A.8.2, A.8.3
  • Cloud Controls Matrix 4: IAM-04
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.3.1, CC6.3.2, CC6.3.3
  • HIPAA: 164.308(a)(3)(ii), 164.308(a)(4)(i), 164.308(a)(4)(ii)
  • CIS AWS Foundation 2.0.0: 1.15
  • CIS Controls 8.0: 6.8

Verifique se os usuários do IAM recebem permissões somente pelos grupos

  • Verificações em tempo real: não

Iam User Group Membership Check

Nome da categoria na API: IAM_USER_GROUP_MEMBERSHIP_CHECK

Descrição da descoberta:

Os usuários do IAM precisam fazer parte de um grupo do IAM para aderir às práticas recomendadas de segurança do IAM.

Ao adicionar usuários a um grupo, é possível compartilhar políticas entre tipos de usuários.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-6

Verifica se os usuários do IAM são membros de pelo menos um grupo do IAM

  • Verificações em tempo real: não

Iam User Mfa Enabled

Nome da categoria na API: IAM_USER_MFA_ENABLED

Descrição da descoberta:

A autenticação multifator (MFA) é uma prática recomendada que adiciona uma camada extra de proteção aos nomes de usuário e senhas. Com a MFA, quando um usuário faz login no console de gerenciamento da AWS, ele precisa fornecer um código de autenticação com limite de tempo, fornecido por um dispositivo virtual ou físico registrado.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • PCI-DSS v3.2.1: 8.3.2

Verifica se a autenticação multifator (MFA) está ativada para os usuários do AWS IAM

  • Verificações em tempo real: não

Iam User Unused Credentials Check

Nome da categoria na API: IAM_USER_UNUSED_CREDENTIALS_CHECK

Descrição da descoberta:

Isso verifica se há senhas do IAM ou chaves de acesso ativas que não foram usadas nos últimos 90 dias.

As práticas recomendadas recomendam que você remova, desative ou faça a rotação de todas as credenciais que não foram usadas por 90 dias ou mais. Isso reduz a janela de oportunidade para que as credenciais associadas a uma conta comprometida ou abandonada sejam usadas.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-6
  • PCI-DSS v3.2.1: 8.1.4

Verifique se todos os usuários do IAM da AWS têm senhas ou chaves de acesso ativas que não tenham sido usadas em maxCredentialUsageAge dias (padrão 90)

  • Verificações em tempo real: não

Kms Cmk Not Scheduled For Deletion

Nome da categoria na API: KMS_CMK_NOT_SCHEDULED_FOR_DELETION

Descrição da descoberta:

Esse controle verifica se as chaves do KMS estão programadas para exclusão. O controle falha se uma chave do KMS estiver programada para exclusão.

Não é possível recuperar chaves do KMS depois que elas são excluídas. Os dados criptografados com uma chave do KMS também não podem ser recuperados se a chave do KMS for excluída. Se dados importantes tiverem sido criptografados com uma chave do KMS programada para exclusão, descriptografe ou criptografe novamente com uma nova chave do KMS, a menos que você esteja realizando uma exclusão criptográfica intencionalmente.

Quando uma chave do KMS é programada para exclusão, um período de espera obrigatório é aplicado para permitir que a exclusão seja revertida, caso tenha sido programada por engano. O período de espera padrão é de 30 dias, mas pode ser reduzido para até 7 dias quando a chave do KMS é programada para exclusão. Durante o período de espera, a exclusão programada pode ser cancelada, e a chave do KMS não será excluída.

Para mais informações sobre a exclusão de chaves do KMS, consulte Excluir chaves do KMS no Guia do desenvolvedor do AWS Key Management Service.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-12

Verifica se todas as CMKs não estão programadas para exclusão

  • Verificações em tempo real: não

Lambda Concurrency Check

Nome da categoria na API: LAMBDA_CONCURRENCY_CHECK

Descrição da descoberta:

Verifica se a função do Lambda está configurada com um limite de execução simultânea no nível da função. A regra é NON_COMPLIANT se a função do Lambda não estiver configurada com um limite de execução simultânea no nível da função.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

Esta categoria de descoberta não está associada a nenhum controle de compliance padrão.

Verifica se as funções do lambda foram configuradas com limite de execução simultânea no nível da função

  • Verificações em tempo real: não

Lambda Dlq Check

Nome da categoria na API: LAMBDA_DLQ_CHECK

Descrição da descoberta:

Verifica se uma função do Lambda está configurada com uma fila de mensagens inativas. A regra é NON_COMPLIANT se a função Lambda não estiver configurada com uma fila de mensagens inativas.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-2

Verifica se as funções do lambda foram configuradas com uma fila de mensagens mortas

  • Verificações em tempo real: não

Lambda Function Public Access Prohibited

Nome da categoria na API: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Descrição da descoberta:

As práticas recomendadas da AWS recomendam que a função Lambda não seja exposta publicamente. Essa política verifica todas as funções do Lambda implantadas em todas as regiões ativadas na sua conta e falha se elas forem configuradas para permitir o acesso público.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifica se a política anexada à função do lambda proíbe o acesso público

  • Verificações em tempo real: não

Lambda Inside Vpc

Nome da categoria na API: LAMBDA_INSIDE_VPC

Descrição da descoberta:

Verifica se uma função do Lambda está em uma VPC. Talvez você encontre descobertas com falhas para recursos da Lambda@Edge.

Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifica se existem funções do lambda em uma VPC

  • Verificações em tempo real: não

Mfa Delete Enabled S3 Buckets

Nome da categoria na API: MFA_DELETE_ENABLED_S3_BUCKETS

Descrição da descoberta:

Depois que a exclusão de MFA é ativada no bucket do S3 sensível e classificado, o usuário precisa ter duas formas de autenticação.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.2
  • CIS Controls 8.0: 3.3, 6.5

Verifique se a exclusão da MFA foi ativada nos buckets do S3

  • Verificações em tempo real: não

Mfa Enabled Root User Account

Nome da categoria na API: MFA_ENABLED_ROOT_USER_ACCOUNT

Descrição da descoberta:

A conta de usuário raiz é o usuário mais privilegiado em uma conta da AWS. A autenticação multifator (MFA) adiciona uma camada extra de proteção a um nome de usuário e uma senha. Com a MFA ativada, quando um usuário faz login em um site da AWS, ele precisa informar o nome de usuário e a senha, além de um código de autenticação do dispositivo da MFA da AWS.

Observação:quando a MFA virtual é usada para contas raiz, é recomendável que o dispositivo usado não seja pessoal, mas sim um dispositivo móvel dedicado (tablet ou smartphone) que seja mantido carregado e protegido independentemente de dispositivos pessoais individuais. (MFA virtual não pessoal) Isso diminui os riscos de perder o acesso ao MFA devido à perda ou troca do dispositivo ou se o indivíduo que possui o dispositivo não estiver mais empregado na empresa.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.5
  • CIS Controls 8.0: 6.5

Verifique se a autenticação multifator (MFA) está ativada para a conta de usuário "raiz"

  • Verificações em tempo real: não

Multi Factor Authentication Mfa Enabled All Iam Users Console

Nome da categoria na API: MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

Descrição da descoberta:

A autenticação multifator (MFA) adiciona uma camada extra de garantia de autenticação além das credenciais tradicionais. Quando a MFA está ativada, ao fazer login no AWS Console, o usuário precisa informar o nome de usuário e a senha, além de um código de autenticação do token de MFA físico ou virtual. É recomendável ativar a MFA para todas as contas que têm uma senha do console.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.10
  • CIS Controls 8.0: 6.5

Verifique se a autenticação multifator (MFA) foi ativada para todos os usuários do IAM que têm uma senha do console

  • Verificações em tempo real: não

No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration

Nome da categoria na API: NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Descrição da descoberta:

A função de lista de controle de acesso à rede (NACL) fornece filtragem sem estado do tráfego de rede de entrada e saída para recursos da AWS. É recomendável que nenhuma NACL permita o acesso de entrada irrestrito a portas de administração de servidor remoto, como SSH para a porta 22 e RDP para a porta 3389, usando os protocolos TDP (6), UDP (17) ou ALL (-1).

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • CIS AWS Foundation 2.0.0: 5.1

Verifique se nenhuma ACL de rede permite a entrada de 0.0.0.0/0 para portas de administração de servidor remoto

  • Verificações em tempo real: não

No Root User Account Access Key Exists

Nome da categoria na API: NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

Descrição da descoberta:

A conta de usuário raiz é o usuário mais privilegiado em uma conta da AWS. As chaves de acesso da AWS fornecem acesso programático a uma determinada conta da AWS. É recomendável excluir todas as chaves de acesso associadas à conta de usuário "raiz".

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 8.1.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.4
  • CIS Controls 8.0: 3.3, 5.4

Verifique se não existe uma chave de acesso da conta de usuário "raiz"

  • Verificações em tempo real: não

No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration

Nome da categoria na API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Descrição da descoberta:

Os grupos de segurança fornecem filtragem stateful do tráfego de entrada e saída da rede para os recursos da AWS. É recomendável que nenhum grupo de segurança permita o acesso de entrada irrestrito a portas de administração remotas do servidor, como SSH para a porta 22 e RDP para a porta 3389, usando os protocolos TDP (6), UDP (17) ou ALL (-1).

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • CIS AWS Foundation 2.0.0: 5.2

Verifique se nenhum grupo de segurança permite a entrada de 0.0.0.0/0 para portas de administração remotas do servidor

  • Verificações em tempo real: não

No Security Groups Allow Ingress 0 Remote Server Administration

Nome da categoria na API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

Descrição da descoberta:

Os grupos de segurança fornecem filtragem stateful do tráfego de entrada e saída da rede para os recursos da AWS. É recomendável que nenhum grupo de segurança permita o acesso de entrada irrestrito a portas de administração remotas do servidor, como SSH para a porta 22 e RDP para a porta 3389.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • CIS AWS Foundation 2.0.0: 5.3

Verifique se nenhum grupo de segurança permite a entrada de portas ::/0 para a administração remota de servidores

  • Verificações em tempo real: não

One Active Access Key Available Any Single Iam User

Nome da categoria na API: ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

Descrição da descoberta:

As chaves de acesso são credenciais de longo prazo para um usuário do IAM ou o usuário raiz da conta da AWS. É possível usar chaves de acesso para assinar solicitações programáticas para a AWS CLI ou a API AWS (diretamente ou usando o AWS SDK).

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • CIS AWS Foundation 2.0.0: 1.13
  • CIS Controls 8.0: 5

Verifique se há apenas uma chave de acesso ativa disponível para cada usuário do IAM

  • Verificações em tempo real: não

Public Access Given Rds Instance

Nome da categoria na API: PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

Descrição da descoberta:

Verifique se as instâncias de banco de dados do RDS provisionadas na sua conta da AWS restringem o acesso não autorizado para minimizar os riscos de segurança. Para restringir o acesso a qualquer instância de banco de dados RDS acessível publicamente, desative a flag "Acessível publicamente" do banco de dados e atualize o grupo de segurança da VPC associado à instância.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v3.2.1: 2.2.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.3.3
  • CIS Controls 8.0: 3.3

Verifique se o acesso público não foi concedido à instância do RDS

  • Verificações em tempo real: não

Rds Enhanced Monitoring Enabled

Nome da categoria na API: RDS_ENHANCED_MONITORING_ENABLED

Descrição da descoberta:

O monitoramento avançado fornece métricas em tempo real sobre o sistema operacional em que a instância do RDS é executada por meio de um agente instalado na instância.

Para mais detalhes, consulte Como monitorar métricas do SO com o monitoramento avançado.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-2

Verifica se o monitoramento aprimorado foi ativado em todas as instâncias do RDS DB

  • Verificações em tempo real: não

Rds Instance Deletion Protection Enabled

Nome da categoria na API: RDS_INSTANCE_DELETION_PROTECTION_ENABLED

Descrição da descoberta:

Ativar a proteção contra exclusão de instâncias é uma camada extra de proteção contra exclusão acidental do banco de dados ou exclusão por uma entidade não autorizada.

Enquanto a proteção contra exclusão estiver ativada, não será possível excluir uma instância do DB do RDS. Antes que uma solicitação de exclusão seja bem-sucedida, a proteção contra exclusão precisa ser desativada.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-13(5)

Verifica se a proteção contra exclusões foi ativada em todas as instâncias do RDS

  • Verificações em tempo real: não

Rds In Backup Plan

Nome da categoria na API: RDS_IN_BACKUP_PLAN

Descrição da descoberta:

Essa verificação avalia se as instâncias do Amazon RDS DB estão cobertas por um plano de backup. Esse controle falha se uma instância do RDS DB não estiver coberta por um plano de backup.

O AWS Backup é um serviço de backup totalmente gerenciado que centraliza e automatiza o backup de dados em todos os serviços da AWS. Com o AWS Backup, é possível criar políticas de backup chamadas de planos de backup. Esses planos podem ser usados para definir seus requisitos de backup, como a frequência de backup dos dados e por quanto tempo manter esses backups. Incluir instâncias do RDS DB em um plano de backup ajuda a proteger seus dados contra perda ou exclusão acidental.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-13(5)

As instâncias do RDS DB precisam estar cobertas por um plano de backup

  • Verificações em tempo real: não

Rds Logging Enabled

Nome da categoria na API: RDS_LOGGING_ENABLED

Descrição da descoberta:

Isso verifica se os seguintes registros do Amazon RDS estão ativados e enviados para o CloudWatch.

Os bancos de dados do RDS precisam ter os registros relevantes ativados. O registro de banco de dados fornece registros detalhados das solicitações feitas ao RDS. Os registros de banco de dados podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-7(8)

Verifica se os registros exportados foram ativados em todas as instâncias do RDS DB

  • Verificações em tempo real: não

Rds Multi Az Support

Nome da categoria na API: RDS_MULTI_AZ_SUPPORT

Descrição da descoberta:

As instâncias do RDS DB precisam ser configuradas para várias Zonas de Disponibilidade (AZs). Isso garante a disponibilidade dos dados armazenados. As implantações em várias AZs permitem o failover automático se houver um problema com a disponibilidade da Zona de disponibilidade e durante a manutenção regular do RDS.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-13(5)

Verifica se a alta disponibilidade foi ativada em todas as instâncias do RDS DB

  • Verificações em tempo real: não

Redshift Cluster Configuration Check

Nome da categoria na API: REDSHIFT_CLUSTER_CONFIGURATION_CHECK

Descrição da descoberta:

Isso verifica elementos essenciais de um cluster do Redshift: criptografia em repouso, geração de registros e tipo de nó.

Esses itens de configuração são importantes para manter um cluster do Redshift seguro e observável.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Verifica se todos os clusters do Redshift têm criptografia em repouso, geração de registros e tipo de nó.

  • Verificações em tempo real: não

Redshift Cluster Maintenancesettings Check

Nome da categoria na API: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

Descrição da descoberta:

Os upgrades automáticos de versão principal acontecem de acordo com a janela de manutenção

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-2

Verifique se todos os clusters do Redshift têm allowVersionUpgrade ativado e preferredMaintenanceWindow e automatedSnapshotRetentionPeriod definidos

  • Verificações em tempo real: não

Redshift Cluster Public Access Check

Nome da categoria na API: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

Descrição da descoberta:

O atributo PubliclyAccessible da configuração do cluster do Amazon Redshift indica se o cluster é acessível publicamente. Quando o cluster é configurado com PubliclyAccessible definido como verdadeiro, ele é uma instância voltada para a Internet que tem um nome DNS publicamente solucionável, que é resolvido em um endereço IP público.

Quando o cluster não é acessível publicamente, ele é uma instância interna com um nome DNS que resolve para um endereço IP privado. A menos que você queira que o cluster seja acessível publicamente, ele não deve ser configurado com PubliclyAccessible definido como verdadeiro.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifica se os clusters do Redshift são acessíveis publicamente

  • Verificações em tempo real: não

Restricted Common Ports

Nome da categoria na API: RESTRICTED_COMMON_PORTS

Descrição da descoberta:

Isso verifica se o tráfego de entrada irrestrito dos grupos de segurança é acessível às portas especificadas com o maior risco. Esse controle falha se alguma das regras em um grupo de segurança permitir o tráfego de entrada de "0.0.0.0/0" ou "::/0" para essas portas.

O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades de atividades maliciosas, como invasões, ataques de negação de serviço e perda de dados.

Os grupos de segurança fornecem filtragem stateful do tráfego de entrada e saída da rede para os recursos da AWS. Nenhum grupo de segurança deve permitir acesso de entrada irrestrito às seguintes portas:

  • 20, 21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 25 (SMTP)
  • 110 (POP3)
  • 135 (RPC)
  • 143 (IMAP)
  • 445 (CIFS)
  • 1433, 1434 (MSSQL)
  • 3000 (frameworks de desenvolvimento da Web Go, Node.js e Ruby)
  • 3306 (mySQL)
  • 3389 (RDP)
  • 4333 (ahsp)
  • 5000 (frameworks de desenvolvimento da Web em Python)
  • 5432 (postgresql)
  • 5500 (fcp-addr-srvr1)
  • 5601 (painéis do OpenSearch)
  • 8080 (proxy)
  • 8088 (porta HTTP legada)
  • 8888 (porta HTTP alternativa)
  • 9200 ou 9300 (OpenSearch)

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Os grupos de segurança não podem permitir acesso irrestrito a portas de alto risco

  • Verificações em tempo real: não

Restricted Ssh

Nome da categoria na API: RESTRICTED_SSH

Descrição da descoberta:

Os grupos de segurança fornecem filtragem stateful do tráfego de entrada e saída da rede para os recursos da AWS.

O CIS recomenda que nenhum grupo de segurança permita o acesso de entrada irrestrito à porta 22. A remoção da conectividade irrestrita a serviços de console remoto, como o SSH, reduz a exposição de um servidor a riscos.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Os grupos de segurança não podem permitir entradas de 0.0.0.0/0 na porta 22

  • Verificações em tempo real: não

Rotation Customer Created Cmks Enabled

Nome da categoria na API: ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

Descrição da descoberta:

Verifica se a rotação automática de chaves está ativada para cada chave e corresponde ao ID da chave KMS criada pelo cliente. A regra é NÃO_EM_CONFORMIDADE se a função de gravador do AWS Config de um recurso não tiver a permissão kms:DescribeKey.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance.

Verifique se a rotação para CMKs criadas pelo cliente está ativada

  • Verificações em tempo real: não

Rotation Customer Created Symmetric Cmks Enabled

Nome da categoria na API: ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

Descrição da descoberta:

O AWS Key Management Service (KMS) permite que os clientes façam a rotação da chave de suporte, que é o material de chave armazenado no KMS e vinculado ao ID da chave mestra do cliente (CMK) criada pelo cliente. É a chave de suporte usada para realizar operações criptográficas, como criptografia e descriptografia. Atualmente, a rotação automática de chaves retém todas as chaves de backup anteriores para que a descriptografia de dados criptografados possa ocorrer de forma transparente. É recomendável ativar a rotação de chaves CMK para chaves simétricas. A rotação de chaves não pode ser ativada para nenhuma CMK assimétrica.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.8
  • CIS Controls 8.0: 3.11

Verifique se a rotação para CMKs simétricas criadas pelo cliente está ativada

  • Verificações em tempo real: não

Routing Tables Vpc Peering Are Least Access

Nome da categoria na API: ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

Descrição da descoberta:

Verifica se as tabelas de roteamento do peering de VPC estão configuradas com o principal de menos privilégio.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

Esta categoria de descoberta não está associada a nenhum controle de padrão de compliance.

Verifique se as tabelas de roteamento do peering de VPC são de "acesso mínimo"

  • Verificações em tempo real: não

S3 Account Level Public Access Blocks

Nome da categoria na API: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

Descrição da descoberta:

O recurso "Bloquear acesso público" do Amazon S3 oferece configurações para pontos de acesso, buckets e contas para ajudar a gerenciar o acesso público aos recursos do Amazon S3. Por padrão, os novos buckets, pontos de acesso e objetos não permitem acesso público.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

Esta categoria de descoberta não está associada a nenhum controle de padrão de compliance.

Verifica se as configurações necessárias de bloqueio de acesso público do S3 foram definidas no nível da conta

  • Verificações em tempo real: não

S3 Buckets Configured Block Public Access Bucket And Account Settings

Nome da categoria na API: S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

Descrição da descoberta:

O Amazon S3 oferece Block public access (bucket settings) e Block public access (account settings) para ajudar você a gerenciar o acesso público aos recursos do Amazon S3. Por padrão, os buckets e objetos do S3 são criados com o acesso público desativado. No entanto, um principal do AWS IAM com permissões suficientes do S3 pode ativar o acesso público no nível do bucket ou do objeto. Quando ativada, a Block public access (bucket settings) impede que um bucket individual e os objetos contidos nele se tornem acessíveis publicamente. Da mesma forma, Block public access (account settings) impede que todos os buckets e objetos contidos sejam acessíveis publicamente em toda a conta.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.4
  • CIS Controls 8.0: 3.3

Verifique se os buckets do S3 estão configurados com Block public access (bucket settings).

  • Verificações em tempo real: não

S3 Bucket Access Logging Enabled Cloudtrail S3 Bucket

Nome da categoria na API: S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

Descrição da descoberta:

A geração de registros de acesso ao bucket do S3 gera um registro que contém registros de acesso para cada solicitação feita ao bucket do S3. Um registro de registro de acesso contém detalhes sobre a solicitação, como o tipo, os recursos especificados na solicitação e a data e a hora em que ela foi processada. É recomendável ativar a geração de registros de acesso ao bucket no bucket do CloudTrail S3.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-6, AU-12, AU-2
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1
  • ISO-27001 v2022: A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • SOC2 v2017: CC6.1.1, CC6.1.10, CC6.1.11, CC6.1.12, CC6.1.13, CC6.1.2, CC6.1.3, CC6.1.4, CC6.1.5, CC6.1.6, CC6.1.7, CC6.1.8, CC6.1.9
  • HIPAA: 164.312(b), 164.312(c)(1), 164.312(c)(2)
  • CIS AWS Foundation 2.0.0: 3.6
  • CIS Controls 8.0: 3.14, 8.2

Verifique se a geração de registros de acesso do bucket S3 está ativada no bucket do CloudTrail S3

  • Verificações em tempo real: não

S3 Bucket Logging Enabled

Nome da categoria na API: S3_BUCKET_LOGGING_ENABLED

Descrição da descoberta:

O recurso de geração de registros de acesso ao servidor do AWS S3 registra solicitações de acesso a buckets de armazenamento, o que é útil para auditorias de segurança. Por padrão, a geração de registros de acesso ao servidor não está ativada para buckets do S3.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Verifica se a geração de registros foi ativada em todos os buckets do S3

  • Verificações em tempo real: não

S3 Bucket Policy Set Deny Http Requests

Nome da categoria na API: S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

Descrição da descoberta:

No nível do bucket do Amazon S3, é possível configurar permissões usando uma política de bucket, o que torna os objetos acessíveis apenas por HTTPS.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.1.1
  • CIS Controls 8.0: 3.10

Verifique se a política de bucket do S3 foi definida para negar as solicitações HTTP

  • Verificações em tempo real: não

S3 Bucket Replication Enabled

Nome da categoria na API: S3_BUCKET_REPLICATION_ENABLED

Descrição da descoberta:

Esse controle verifica se um bucket do Amazon S3 tem a replicação entre regiões ativada. O controle falha se o bucket não tiver a replicação entre regiões ativada ou se a replicação na mesma região também estiver ativada.

A replicação é a cópia automática e assíncrona de objetos entre buckets na mesma região da AWS ou em regiões diferentes. A replicação copia objetos recém-criados e atualizações de objetos de um bucket de origem para um ou mais buckets de destino. As práticas recomendadas da AWS recomendam a replicação para buckets de origem e destino que pertencem à mesma conta da AWS. Além da disponibilidade, considere outras configurações de endurecimento de sistemas.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-13(5)

Verifica se os buckets do S3 estão com a replicação entre regiões ativada

  • Verificações em tempo real: não

S3 Bucket Server Side Encryption Enabled

Nome da categoria na API: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

Descrição da descoberta:

Isso verifica se o bucket do S3 tem a criptografia padrão do Amazon S3 ativada ou se a política do bucket do S3 nega explicitamente as solicitações de inserção de objetos sem criptografia do lado do servidor.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2

Verifique se todos os buckets do S3 usam a criptografia em repouso

  • Verificações em tempo real: não

S3 Bucket Versioning Enabled

Nome da categoria na API: S3_BUCKET_VERSIONING_ENABLED

Descrição da descoberta:

O Amazon S3 é uma forma de manter várias variantes de um objeto no mesmo bucket e pode ajudar você a se recuperar com mais facilidade de ações indesejadas do usuário e falhas do aplicativo.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-13(5)
  • PCI-DSS v3.2.1: 10.5.5

Verifica se o controle de versões foi ativado em todos os buckets do S3

  • Verificações em tempo real: não

S3 Default Encryption Kms

Nome da categoria na API: S3_DEFAULT_ENCRYPTION_KMS

Descrição da descoberta:

Verifica se os buckets do Amazon S3 são criptografados com o AWS Key Management Service (AWS KMS)

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-7(6)

Verifica se todos os buckets foram criptografados com o KMS

  • Verificações em tempo real: não

Sagemaker Notebook Instance Kms Key Configured

Nome da categoria na API: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

Descrição da descoberta:

Verifica se uma chave do serviço de gerenciamento de chaves (AWS KMS) da AWS está configurada para uma instância de notebook do Amazon SageMaker. A regra é NÃO_EM_CONFORMIDADE se KmsKeyId não for especificado para a instância do notebook do SageMaker.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Verifica se todas as instâncias de notebook do SageMaker foram definidas para usar o KMS

  • Verificações em tempo real: não

Sagemaker Notebook No Direct Internet Access

Nome da categoria na API: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

Descrição da descoberta:

Verifica se o acesso direto à Internet está desativado para uma instância de notebook do SageMaker. Para fazer isso, ele verifica se o campo DirectInternetAccess está desativado para a instância do notebook.

Se você configurar sua instância do SageMaker sem uma VPC, o acesso direto à Internet será ativado por padrão. Configure sua instância com uma VPC e mude a configuração padrão para "Desativar": "Acessar a Internet por uma VPC".

Para treinar ou hospedar modelos em um notebook, você precisa de acesso à Internet. Para ativar o acesso à Internet, verifique se a VPC tem um gateway NAT e se o grupo de segurança permite conexões de saída. Para saber como conectar uma instância de notebook a recursos em uma VPC, consulte Conectar uma instância de notebook a recursos em uma VPC no Guia para desenvolvedores do Amazon SageMaker.

Além disso, é necessário garantir que o acesso à configuração do SageMaker seja limitado apenas a usuários autorizados. Restringir as permissões do IAM dos usuários para modificar as configurações e os recursos do SageMaker.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifica se o acesso direto à Internet foi desativado em todas as instâncias de notebook do Amazon SageMaker

  • Verificações em tempo real: não

Secretsmanager Rotation Enabled Check

Nome da categoria na API: SECRETSMANAGER_ROTATION_ENABLED_CHECK

Descrição da descoberta:

Verifica se um secret armazenado no AWS Secrets Manager está configurado com a rotação automática. O controle falha se o secret não estiver configurado com a rotação automática. Se você fornecer um valor personalizado para o parâmetro maximumAllowedRotationFrequency, o controle só será aprovado se o segredo for rotacionado automaticamente dentro do período especificado.

O Secrets Manager ajuda a melhorar a postura de segurança da sua organização. Os secrets incluem credenciais de banco de dados, senhas e chaves de API de terceiros. É possível usar o Secrets Manager para armazenar secrets de forma centralizada, criptografar automaticamente, controlar o acesso a eles e fazer a rotação de forma segura e automática.

O Secrets Manager pode fazer a rotação de secrets. Você pode usar a rotação para substituir segredos de longo prazo por segredos de curto prazo. A rotação de segredos limita o tempo que um usuário não autorizado pode usar um segredo comprometido. Por esse motivo, faça a rotação dos seus secrets com frequência. Para saber mais sobre a rotação, consulte "Como rotacionar os secrets do AWS Secrets Manager" no Guia do usuário do AWS Secrets Manager.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4

Verifica se os secrets do AWS Secrets Manager estão com a rotação ativada

  • Verificações em tempo real: não

Sns Encrypted Kms

Nome da categoria na API: SNS_ENCRYPTED_KMS

Descrição da descoberta:

Verifica se um tópico do SNS está criptografado em repouso usando o AWS KMS. Os controles falham se um tópico do SNS não usar uma chave KMS para criptografia do lado do servidor (SSE).

A criptografia de dados em repouso reduz o risco de acesso a dados armazenados em disco por um usuário não autenticado na AWS. Ele também adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados de acessar os dados. Por exemplo, as permissões da API são necessárias para descriptografar os dados antes que eles possam ser lidos. Os tópicos do SNS precisam ser criptografados em repouso para aumentar a segurança.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-7(6)

Verifica se todos os tópicos do SNS foram criptografados com o KMS

  • Verificações em tempo real: não

Vpc Default Security Group Closed

Nome da categoria na API: VPC_DEFAULT_SECURITY_GROUP_CLOSED

Descrição da descoberta:

Esse controle verifica se o grupo de segurança padrão de uma VPC permite tráfego de entrada ou saída. O controle falha se o grupo de segurança permitir tráfego de entrada ou saída.

As regras do grupo de segurança padrão permitem todo o tráfego de entrada e saída de interfaces de rede (e instâncias associadas) atribuídas ao mesmo grupo. Recomendamos que você não use o grupo de segurança padrão. Como o grupo de segurança padrão não pode ser excluído, mude a configuração de regras do grupo de segurança padrão para restringir o tráfego de entrada e saída. Isso evita o tráfego não intencional se o grupo de segurança padrão for configurado acidentalmente para recursos como instâncias do EC2.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego

  • Verificações em tempo real: não

Vpc Flow Logging Enabled All Vpcs

Nome da categoria na API: VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

Descrição da descoberta:

Os registros de fluxo da VPC são um recurso que permite capturar informações sobre o tráfego de IP de e para interfaces de rede na VPC. Depois de criar um registro de fluxo, você pode conferir e recuperar os dados dele nos Logs do Amazon CloudWatch. É recomendável ativar os registros de fluxo de VPC para "Rejeições" de pacotes de VPCs.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-4, SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS AWS Foundation 2.0.0: 3.9
  • CIS Controls 8.0: 13.6, 8.2

Verifique se a geração de registros de fluxo de VPC está ativada em todas as VPCs

  • Verificações em tempo real: não

Vpc Sg Open Only To Authorized Ports

Nome da categoria na API: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

Descrição da descoberta:

Esse controle verifica se um grupo de segurança do Amazon EC2 permite tráfego de entrada irrestrito de portas não autorizadas. O status do controle é determinado da seguinte maneira:

Se você usar o valor padrão para authorizedTcpPorts, o controle vai falhar se o grupo de segurança permitir tráfego de entrada irrestrito de qualquer porta, exceto as portas 80 e 443.

Se você fornecer valores personalizados para authorizedTcpPorts ou authorizedUdpPorts, o controle vai falhar se o grupo de segurança permitir tráfego de entrada irrestrito de qualquer porta não listada.

Se nenhum parâmetro for usado, o controle vai falhar para qualquer grupo de segurança que tenha uma regra de tráfego de entrada irrestrita.

Os grupos de segurança fornecem filtragem stateful do tráfego de entrada e saída da rede para a AWS. As regras de grupo de segurança precisam seguir o princípio do menor privilégio. O acesso irrestrito (endereço IP com sufixo /0) aumenta a oportunidade de atividades maliciosas, como invasão, ataques de negação de serviço e perda de dados. A menos que uma porta seja especificamente permitida, ela precisa negar o acesso irrestrito.

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifica se os grupos de segurança com 0.0.0.0/0 de qualquer VPC permitem apenas o tráfego TCP/UDP de entrada

  • Verificações em tempo real: não

Both VPC VPN Tunnels Up

Nome da categoria na API: VPC_VPN_2_TUNNELS_UP

Descrição da descoberta:

Um túnel de VPN é um link criptografado em que os dados podem passar da rede do cliente para a AWS ou vice-versa em uma conexão de VPN site a site da AWS. Cada conexão VPN inclui dois túneis VPN que podem ser usados simultaneamente para alta disponibilidade. É importante garantir que os dois túneis VPN estejam ativos para uma conexão VPN e confirmar uma conexão segura e altamente disponível entre uma VPC da AWS e sua rede remota.

Esse controle verifica se os dois túneis VPN fornecidos pela AWS Site-to-Site VPN estão no status UP. O controle falha se um ou ambos os túneis estiverem no status "DOWN".

Nível de preços: Enterprise

Corrigir essa descoberta

Padrões de compliance:

  • NIST 800-53 R5: SI-13(5)

Verifica se ambos os túneis do AWS VPN fornecidos pela AWS site a site têm o status UP

  • Verificações em tempo real: não

Descobertas do Web Security Scanner

As verificações personalizadas e gerenciadas do Web Security Scanner identificam os seguintes tipos de descobertas. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão protegidos por firewall.

Categoria Descrição da descoberta 10 principais OWASP de 2017 10 principais OWASP de 2021

Accessible Git repository

Nome da categoria na API: ACCESSIBLE_GIT_REPOSITORY

Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A5 A01

Accessible SVN repository

Nome da categoria na API: ACCESSIBLE_SVN_REPOSITORY

Um repositório SVN é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório SVN.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A5 A01

Cacheable password input

Nome da categoria na API: CACHEABLE_PASSWORD_INPUT

As senhas inseridas no aplicativo da Web podem ser armazenadas em um cache normal do navegador, em vez de um armazenamento seguro de senhas.

Nível de preços: Premium

Corrigir essa descoberta

A3 A04

Clear text password

Nome da categoria na API: CLEAR_TEXT_PASSWORD

As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A3 A02

Insecure allow origin ends with validation

Nome da categoria na API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para caracteres curinga de subdomínio, adicione o ponto no domínio raiz ao início, por exemplo, .endsWith(".google.com").

Nível de preços: Premium

Corrigir essa descoberta

A5 A01

Insecure allow origin starts with validation

Nome da categoria na API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, valide se o domínio esperado corresponde totalmente ao valor do cabeçalho Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin, por exemplo, .equals(".google.com").

Nível de preços: Premium

Corrigir essa descoberta

A5 A01

Invalid content type

Nome da categoria na API: INVALID_CONTENT_TYPE

Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver essa descoberta, defina o cabeçalho HTTP X-Content-Type-Options com o valor correto.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A6 A05

Invalid header

Nome da categoria na API: INVALID_HEADER

Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A6 A05

Mismatching security header values

Nome da categoria na API: MISMATCHING_SECURITY_HEADER_VALUES

Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A6 A05

Misspelled security header name

Nome da categoria na API: MISSPELLED_SECURITY_HEADER_NAME

Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A6 A05

Mixed content

Nome da categoria na API: MIXED_CONTENT

Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A6 A05

Outdated library

Nome da categoria na API: OUTDATED_LIBRARY

Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A9 A06

Server side request forgery

Nome da categoria na API: SERVER_SIDE_REQUEST_FORGERY

Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e endereços IP aos quais o aplicativo da Web pode fazer solicitações.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

Não relevante A10

Session ID leak

Nome da categoria na API: SESSION_ID_LEAK

Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário no cabeçalho da solicitação Referer. Essa vulnerabilidade dá ao domínio de recebimento acesso ao identificador da sessão, que pode ser usado para personificar ou identificar o usuário de maneira exclusiva.

Nível de preços: Premium

Corrigir essa descoberta

A2 A07

SQL injection

Nome da categoria na API: SQL_INJECTION

Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL.

Nível de preços: Premium

Corrigir essa descoberta

A1 A03

Struts insecure deserialization

Nome da categoria na API: STRUTS_INSECURE_DESERIALIZATION

Foi detectado o uso de uma versão vulnerável do Apache Struts. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente.

Nível de preços: Premium

Corrigir essa descoberta

A8 A08

XSS

Nome da categoria na API: XSS

Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A7 A03

XSS angular callback

XSS_ANGULAR_CALLBACKNome da categoria na API:

Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver essa descoberta, valide e escape dados não confiáveis fornecidos pelo usuário e processados pelo framework Angular.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A7 A03

XSS error

Nome da categoria na API: XSS_ERROR

Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A7 A03

XXE reflected file leakage

XXE_REFLECTED_FILE_LEAKAGENome da categoria na API:

Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Isso pode fazer o aplicativo da Web vazar um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir entidades externas.

Nível de preços: Premium

Corrigir essa descoberta

A4 A05

Prototype pollution

Nome da categoria na API: PROTOTYPE_POLLUTION

O aplicativo é vulnerável à poluição de protótipo. Essa vulnerabilidade surge quando propriedades do objeto Object.prototype podem receber valores controláveis pelo invasor. Considera-se universalmente que os valores plantados nesses protótipos são traduzidos para scripting em vários locais ou vulnerabilidades semelhantes no lado do cliente, além de bugs lógicos.

Nível de preços: Premium ou padrão

Corrigir essa descoberta

A1 A03

Descobertas do recomendador do IAM

A tabela a seguir lista as descobertas do Security Command Center geradas pelo recomendador do IAM.

Cada descoberta de recomendador do IAM contém recomendações específicas para remover ou substituir um papel que inclui permissões excessivas de um principal no ambiente do Google Cloud.

As descobertas geradas pelo recomendador do IAM correspondem às recomendações que aparecem no Console do Google Cloud na página do IAM do projeto, da pasta ou da organização afetada.

Para mais informações sobre a integração do recomendador do IAM com o Security Command Center, consulte Fontes de segurança.

Detector Resumo

IAM role has excessive permissions

Nome da categoria na API: IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

Descrição da descoberta: o recomendador do IAM detectou uma conta de serviço que tem um ou mais papéis do IAM com permissões excessivas para a conta de usuário.

Nível de preços: Premium

Recursos compatíveis:

Corrigir essa descoberta :

Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:

  1. Na seção Next steps dos detalhes da descoberta no console do Google Cloud, copie e cole o URL da página IAM em uma barra de endereço do navegador e pressione Enter. A página IAM é carregada.
  2. Perto da parte de cima da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são exibidas em uma tabela.
  3. Na coluna Insights de segurança, clique em qualquer recomendação relacionada a permissões em excesso. O painel de detalhes da recomendação é aberto.
  4. Analise a recomendação das ações que podem ser tomadas para resolver o problema.
  5. Clique em Aplicar.

Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para INACTIVE em até 10 dias.

Service agent role replaced with basic role

Nome da categoria na API: SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

Descrição da descoberta: o recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço.

Nível de preços: Premium

Recursos compatíveis:

Corrigir essa descoberta :

Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:

  1. Na seção Próximas etapas dos detalhes da descoberta no console do Google Cloud, copie e cole o URL da página IAM na barra de endereço do navegador e pressione Enter. A página IAM é carregada.
  2. Perto da parte de cima da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são exibidas em uma tabela.
  3. Na coluna Insights de segurança, clique em qualquer permissão relacionada a permissões em excesso. O painel de detalhes da recomendação é aberto.
  4. Analise as permissões em excesso.
  5. Clique em Aplicar.

Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para INACTIVE em até 10 dias.

Service agent granted basic role

Nome da categoria na API: SERVICE_AGENT_GRANTED_BASIC_ROLE

Descrição da descoberta: o recomendador do IAM detectou que um agente de serviço recebeu um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço.

Nível de preços: Premium

Recursos compatíveis:

Corrigir essa descoberta :

Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:

  1. Na seção Próximas etapas dos detalhes da descoberta no console do Google Cloud, copie e cole o URL da página IAM na barra de endereço do navegador e pressione Enter. A página IAM é carregada.
  2. Perto da parte de cima da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são exibidas em uma tabela.
  3. Na coluna Insights de segurança, clique em qualquer permissão relacionada a permissões em excesso. O painel de detalhes da recomendação é aberto.
  4. Analise as permissões em excesso.
  5. Clique em Aplicar.

Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para INACTIVE em até 10 dias.

Unused IAM role

Nome da categoria na API: UNUSED_IAM_ROLE

Descrição da descoberta: o recomendador do IAM detectou uma conta de usuário que tem um papel do IAM que não foi usado nos últimos 90 dias.

Nível de preços: Premium

Recursos compatíveis:

Corrigir essa descoberta :

Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:

  1. Na seção Próximas etapas dos detalhes da descoberta no console do Google Cloud, copie e cole o URL da página IAM na barra de endereço do navegador e pressione Enter. A página IAM é carregada.
  2. Perto da parte de cima da página IAM, no lado direito, clique em Ver recomendações na tabela. As recomendações são exibidas em uma tabela.
  3. Na coluna Insights de segurança, clique em qualquer permissão relacionada a permissões em excesso. O painel de detalhes da recomendação é aberto.
  4. Analise as permissões em excesso.
  5. Clique em Aplicar.

Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para INACTIVE em até 10 dias.

Descobertas do SIEM

A tabela a seguir lista as descobertas de identidade e acesso do Security Command Center para a AWS geradas pelo gerenciamento de direitos de acesso à infraestrutura do Cloud (CIEM, na sigla em inglês).

As descobertas do CIEM contêm recomendações específicas para remover ou substituir políticas do IAM da AWS altamente permissivas associadas a identidades, usuários ou grupos assumidos no seu ambiente da AWS.

Para mais informações sobre o CIEM, consulte a Visão geral do Cloud Infrastructure Entitlement Management.

Detector Resumo

Assumed identity has excessive permissions

Nome da categoria na API: ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS

Descrição da descoberta: no seu ambiente da AWS, o CIEM detectou um papel do IAM assumido que tem uma ou mais políticas altamente permissivas que violam o princípio de privilégio mínimo e aumentam os riscos de segurança.

Nível de preços: Enterprise

Corrigir essa descoberta :

Dependendo da descoberta, use o AWS Management Console para realizar uma das seguintes tarefas de correção:

  • Remova a política altamente permissiva.
  • Crie uma nova política com as permissões mínimas necessárias para o usuário, grupo ou função. Em seguida, anexe a nova política ao usuário, grupo ou função e remova a política altamente permissiva.

Consulte os detalhes da descoberta para ver as etapas de correção específicas.

Group has excessive permissions

Nome da categoria na API: GROUP_HAS_EXCESSIVE_PERMISSIONS

Descrição da descoberta: no seu ambiente da AWS, o CIEM detectou um grupo do IAM com uma ou mais políticas altamente permissivas que violam o princípio do privilégio mínimo e aumentam os riscos de segurança.

Nível de preços: Enterprise

Corrigir essa descoberta :

Dependendo da descoberta, use o AWS Management Console para realizar uma das seguintes tarefas de correção:

  • Remova a política altamente permissiva.
  • Crie uma nova política com as permissões mínimas necessárias para o usuário, grupo ou função. Em seguida, anexe a nova política ao usuário, grupo ou função e remova a política altamente permissiva.

Consulte os detalhes da descoberta para conferir as etapas de correção específicas.

User has excessive permissions

Nome da categoria na API: USER_HAS_EXCESSIVE_PERMISSIONS

Descrição da descoberta: no seu ambiente da AWS, o CIEM detectou um usuário do IAM com uma ou mais políticas altamente permissivas que violam o princípio de privilégio mínimo e aumentam os riscos de segurança.

Nível de preços: Enterprise

Corrigir essa descoberta :

Dependendo da descoberta, use o AWS Management Console para realizar uma das seguintes tarefas de correção:

  • Remova a política altamente permissiva.
  • Crie uma nova política com as permissões mínimas necessárias para o usuário, grupo ou função. Em seguida, anexe a nova política ao usuário, grupo ou função e remova a política altamente permissiva.

Consulte os detalhes da descoberta para conferir as etapas de correção específicas.

User is inactive

Nome da categoria na API: INACTIVE_USER

Descrição da descoberta: no seu ambiente da AWS, o CIEM detectou um usuário do IAM que está inativo e tem uma ou mais permissões. Isso viola o princípio de privilégio mínimo e aumenta os riscos de segurança.

Nível de preços: Enterprise

Corrigir essa descoberta :

Dependendo da descoberta, use o AWS Management Console para realizar uma das seguintes tarefas de correção:

  • Remova as políticas anexadas ao usuário do AWS IAM.
  • Exclua o usuário do AWS IAM se tiver certeza de que a identidade não é mais necessária.

Consulte os detalhes da descoberta para conferir as etapas de correção específicas.

Group is inactive

Nome da categoria na API: INACTIVE_GROUP

Descrição da descoberta: no seu ambiente da AWS, o CIEM detectou um grupo do IAM que está inativo e tem uma ou mais permissões. Isso viola o princípio de privilégio mínimo e aumenta os riscos de segurança.

Nível de preços: Enterprise

Corrigir essa descoberta :

Dependendo da descoberta, use o console de gerenciamento da AWS para realizar uma das seguintes tarefas de correção:

  • Remova as políticas anexadas ao grupo do AWS IAM.
  • Exclua alguns ou todos os usuários do AWS IAM que compõem o grupo se tiver certeza de que essas identidades não são mais necessárias.

Consulte os detalhes da descoberta para conferir as etapas de correção específicas.

Assumed identity is inactive

Nome da categoria na API: INACTIVE_ASSUMED_IDENTITY

Descrição da descoberta: no seu ambiente da AWS, o CIEM detectou um papel do IAM atribuído que está inativo e tem uma ou mais permissões. Isso viola o princípio de privilégio mínimo e aumenta os riscos de segurança.

Nível de preços: Enterprise

Corrigir essa descoberta :

Dependendo da descoberta, use o AWS Management Console para realizar uma das seguintes tarefas de correção:

  • Remova as políticas anexadas ao papel do IAM da AWS.
  • Exclua a identidade falsa se tiver certeza de que ela não é mais necessária.

Consulte os detalhes da descoberta para ver as etapas de correção específicas.

Overly permissive trust policy enforced on assumed identity

Nome da categoria na API: OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY

Descrição da descoberta: no seu ambiente da AWS, o CIEM detectou uma política de confiança excessivamente permissiva aplicada a um papel do IAM da AWS que viola o princípio de privilégio mínimo e aumenta os riscos de segurança.

Nível de preços: Enterprise

Corrigir essa descoberta :

Use o console da AWS para editar as permissões na política de confiança aplicada ao papel do IAM da AWS e obedecer ao princípio de privilégio mínimo.

Consulte os detalhes da descoberta para conferir as etapas de correção específicas.

Assumed identity has lateral movement risk

Nome da categoria na API: ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK

Descrição da descoberta: no seu ambiente da AWS, o CIEM detectou uma ou mais identidades que podem se mover lateralmente por falsificação de identidade.

Nível de preços: Enterprise

Corrigir essa descoberta :

Use o AWS Management Console para remover as políticas anexadas às identidades que permitem o movimento lateral.

Consulte os detalhes da descoberta para ver as etapas de correção específicas.

Descobertas do serviço de postura de segurança

A tabela a seguir lista as descobertas do Security Command Center geradas pelo serviço de postura de segurança.

Cada descoberta de serviço de postura de segurança identifica uma instância de desvio da postura de segurança definida.

Localizando Resumo

SHA Canned Module Drifted

Nome da categoria na API: SECURITY_POSTURE_DETECTOR_DRIFT

Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em um detector da Análise de integridade da segurança que ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Essa descoberta exige que você aceite ou reverta a mudança para que as configurações do detector na postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o detector do Security Health Analytics ou atualizar a postura e a implantação da postura.

Para reverter a mudança, atualize o detector da Análise de integridade da segurança no console do Google Cloud. Para ver instruções, consulte Ativar e desativar detectores.

Para aceitar a mudança, faça o seguinte:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

SHA Custom Module Drifted

Nome da categoria na API: SECURITY_POSTURE_DETECTOR_DRIFT

Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em um módulo personalizado da Análise de integridade da segurança que ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Essa descoberta exige que você aceite ou reverta a mudança para que as configurações do módulo personalizado na postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado do Security Health Analytics ou atualizar a postura e a implantação da postura.

Para reverter a mudança, atualize o módulo personalizado da Análise de integridade da segurança no console do Google Cloud. Para instruções, consulte Atualizar um módulo personalizado.

Para aceitar a mudança, faça o seguinte:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

SHA Custom Module Deleted

Nome da categoria na API: SECURITY_POSTURE_DETECTOR_DELETE

Descrição da descoberta: o serviço de postura de segurança detectou que um módulo personalizado da Análise de integridade da segurança foi excluído. Essa exclusão ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Essa descoberta exige que você aceite ou reverta a mudança para que as configurações do módulo personalizado na postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado do Security Health Analytics ou atualizar a postura e a implantação da postura.

Para reverter a mudança, atualize o módulo personalizado da Análise de integridade da segurança no console do Google Cloud. Para instruções, consulte Atualizar um módulo personalizado.

Para aceitar a mudança, faça o seguinte:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Org Policy Canned Constraint Drifted

Nome da categoria na API: SECURITY_POSTURE_POLICY_DRIFT

Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em uma política da organização que ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Essa descoberta exige que você aceite ou reverta a mudança para que as definições da política da organização na sua postura e no seu ambiente sejam correspondentes. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou atualizar a postura e a implantação da postura.

Para reverter a mudança, atualize a política da organização no console do Google Cloud. Para instruções, consulte Como criar e editar políticas.

Para aceitar a mudança, faça o seguinte:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Org Policy Canned Constraint Deleted

Nome da categoria na API: SECURITY_POSTURE_POLICY_DELETE

Descrição da descoberta: o serviço de postura de segurança detectou que uma política da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Essa descoberta exige que você aceite ou reverta a mudança para que as definições da política da organização na sua postura e no seu ambiente sejam correspondentes. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou atualizar a postura e a implantação da postura.

Para reverter a mudança, atualize a política da organização no console do Google Cloud. Para instruções, consulte Como criar e editar políticas.

Para aceitar a mudança, faça o seguinte:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Org Policy Custom Constraint Drifted

Nome da categoria na API: SECURITY_POSTURE_POLICY_DRIFT

Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em uma política personalizada da organização que ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Essa descoberta exige que você aceite ou reverta a mudança para que as definições personalizadas da política da organização na sua postura e no seu ambiente sejam correspondentes. Você tem duas opções para resolver essa descoberta: atualizar a política da organização personalizada ou atualizar a postura e a implantação da postura.

Para reverter a mudança, atualize a política da organização personalizada no console do Google Cloud. Para instruções, consulte Atualizar uma restrição personalizada.

Para aceitar a mudança, faça o seguinte:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Org Policy Custom Constraint Deleted

Nome da categoria na API: SECURITY_POSTURE_POLICY_DELETE

Descrição da descoberta: o serviço de postura de segurança detectou que uma política personalizada da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura.

Nível de preços: Premium

Corrigir essa descoberta :

Essa descoberta exige que você aceite ou reverta a mudança para que as definições personalizadas da política da organização na sua postura e no seu ambiente sejam correspondentes. Você tem duas opções para resolver essa descoberta: atualizar a política da organização personalizada ou atualizar a postura e a implantação da postura.

Para reverter a mudança, atualize a política da organização personalizada no console do Google Cloud. Para instruções, consulte Atualizar uma restrição personalizada.

Para aceitar a mudança, faça o seguinte:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

A tabela a seguir lista as descobertas de postura de segurança que identificam instâncias de violação de recursos em relação à postura de segurança definida.

Localizando Resumo

Disable VPC External IPv6

Nome da categoria na API: DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

Descrição da descoberta: o serviço de postura de segurança detectou que uma sub-rede tem um endereço IPv6 externo ativado.

Nível de preços: Premium

Corrigir essa descoberta :

Você tem duas opções para resolver essa descoberta: excluir o recurso que está em violação ou atualizar e implantar o estado novamente.

Para excluir o recurso, siga estas etapas:

  1. Abra o resumo da descoberta.
  2. Verifique a seção do recurso afetado e encontre o nome completo do recurso que está violando a política de postura.
  3. Clique no nome completo do recurso para abrir os detalhes.
  4. Exclua o recurso.

Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Disable VPC Internal IPv6

Nome da categoria na API: DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

Descrição da descoberta: o serviço de postura de segurança detectou que uma sub-rede tem um endereço IPv6 interno ativado.

Nível de preços: Premium

Corrigir essa descoberta :

Você tem duas opções para resolver essa descoberta: excluir o recurso que está em violação ou atualizar e implantar o estado novamente.

Para excluir o recurso, siga estas etapas:

  1. Abra o resumo da descoberta.
  2. Verifique a seção do recurso afetado e encontre o nome completo do recurso que está violando a política de postura.
  3. Clique no nome completo do recurso para abrir os detalhes.
  4. Exclua o recurso.

Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Require OS Login

Nome da categoria na API: REQUIRE_OS_LOGIN_ORG_POLICY

Descrição da descoberta: o serviço de postura de segurança detectou que o Login do SO está desativado em uma instância de VM.

Nível de preços: Premium

Corrigir essa descoberta :

Você tem duas opções para resolver essa descoberta: atualizar o recurso que está em violação ou atualizar a postura e reimplantar a postura.

Para atualizar o recurso, siga estas etapas:

  1. Abra o resumo da descoberta.
  2. Verifique a seção do recurso afetado e encontre o nome completo do recurso que está violando a política de postura.
  3. Clique no nome completo do recurso para abrir os detalhes.
  4. Edite o recurso. Encontre a seção de metadados e mude a entrada com a chave enable-oslogin para TRUE.
  5. Salve o recurso.

Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Restrict Authorized Networks

Nome da categoria na API: RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

Descrição da descoberta: o serviço de postura de segurança detectou que uma rede autorizada foi adicionada a uma instância do SQL.

Nível de preços: Premium

Corrigir essa descoberta :

Essa descoberta exige que você corrija a violação ou atualize a postura. Você tem duas opções para resolver essa descoberta: atualizar o recurso que está em violação ou atualizar a postura e reimplantar a postura.

Para atualizar o recurso, siga estas etapas:

  1. Abra o resumo da descoberta.
  2. Verifique a seção do recurso afetado e encontre o nome completo do recurso que está violando a política de postura.
  3. Clique no nome completo do recurso para abrir os detalhes.
  4. Edite o recurso. Encontre a seção de rede autorizada na seção de conexões e exclua todas as entradas.
  5. Salve o recurso.

Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Require VPC Connector

Nome da categoria na API: REQUIRE_VPC_CONNECTOR_ORG_POLICY

Descrição da descoberta: o serviço de postura de segurança detectou que um conector de VPC não está ativado para uma instância de função do Cloud Run.

Nível de preços: Premium

Corrigir essa descoberta :

Você tem duas opções para resolver essa descoberta: atualizar o recurso que está em violação ou atualizar a postura e reimplantar a postura.

Para atualizar o recurso, siga estas etapas:

  1. Abra o resumo da descoberta.
  2. Verifique a seção do recurso afetado e encontre o nome completo do recurso que está violando a política de postura.
  3. Clique no nome completo do recurso para abrir os detalhes.
  4. Clique em Editar.
  5. Clique na guia Conexões.
  6. Encontre a seção Configurações de saída. No menu Network, selecione um conector da VPC adequado.
  7. Clique em Próxima.
  8. Clique em Implantar.

Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Disabled Serial Port Access

Nome da categoria na API: DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

Descrição da descoberta: o serviço de postura de segurança detectou que o acesso à porta serial de uma instância de VM está ativado.

Nível de preços: Premium

Corrigir essa descoberta :

Você tem duas opções para resolver essa descoberta: atualizar o recurso que está em violação ou atualizar a postura e reimplantar a postura.

Para atualizar o recurso, siga estas etapas:

  1. Abra o resumo da descoberta.
  2. Verifique a seção do recurso afetado e encontre o nome completo do recurso que está violando a política de postura.
  3. Clique no nome completo do recurso para abrir os detalhes.
  4. Edite o recurso. Encontre a seção de acesso remoto e desmarque a caixa de seleção Ativar conexão com portas seriais.
  5. Salve o recurso.

Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Skip Default Network Creation

Nome da categoria na API: SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

Descrição da descoberta: o serviço de postura de segurança detectou que uma rede padrão foi criada.

Nível de preços: Premium

Corrigir essa descoberta :

Você tem duas opções para resolver essa descoberta: excluir o recurso que está em violação ou atualizar e implantar o estado novamente.

Para excluir o recurso, siga estas etapas:

  1. Abra o resumo da descoberta.
  2. Verifique a seção do recurso afetado e encontre o nome completo do recurso que está violando a política de postura.
  3. Clique no nome completo do recurso para abrir os detalhes.
  4. Exclua o recurso.

Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Allowed Ingress

Nome da categoria na API: ALLOWED_INGRESS_ORG_POLICY

Descrição da descoberta: o serviço de postura de segurança detectou que um serviço do Cloud Run não está em conformidade com as configurações de entrada especificadas.

Nível de preços: Premium

Corrigir essa descoberta :

Você tem duas opções para resolver essa descoberta: atualizar o recurso que está em violação ou atualizar a postura e reimplantar a postura.

Para atualizar o recurso, siga estas etapas:

  1. Abra o resumo da descoberta.
  2. Verifique a seção do recurso afetado e encontre o nome completo do recurso que está violando a política de postura.
  3. Clique no nome completo do recurso para abrir os detalhes.
  4. Clique na guia Rede. Mude as configurações para corresponder à política de entrada permitida.
  5. Salve o recurso.

Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Uniform Bucket Level Access

Nome da categoria na API: UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

Descrição da descoberta: o serviço de postura de segurança detectou que o acesso no nível do bucket é granular em vez de uniforme.

Nível de preços: Premium

Corrigir essa descoberta :

Você tem duas opções para resolver essa descoberta: atualizar o recurso que está em violação ou atualizar a postura e reimplantar a postura.

Para atualizar o recurso, siga estas etapas:

  1. Abra o resumo da descoberta.
  2. Verifique a seção do recurso afetado e encontre o nome completo do recurso que está violando a política de postura.
  3. Clique no nome completo do recurso para abrir os detalhes.
  4. Clique na guia Permissões. No card Controle de acesso, clique em Mudar para uniforme.
  5. Selecione o uniforme e salve.

Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

Allowed VPC Egress

Nome da categoria na API: ALLOWED_VPC_EGRESS_ORG_POLICY

Descrição da descoberta: o serviço de postura de segurança detectou que um serviço do Cloud Run não está em conformidade com as configurações de saída especificadas.

Nível de preços: Premium

Corrigir essa descoberta :

Você tem duas opções para resolver essa descoberta: atualizar o recurso que está em violação ou atualizar a postura e reimplantar a postura.

Para atualizar o recurso, siga estas etapas:

  1. Abra o resumo da descoberta.
  2. Verifique a seção do recurso afetado e encontre o nome completo do recurso que está violando a política de postura.
  3. Clique no nome completo do recurso para abrir os detalhes.
  4. Clique em Editar e implantar nova revisão e, em seguida, na guia Rede. Mude a configuração Roteamento de tráfego na seção Conectar a uma VPC para tráfego de saída para corresponder à política de saída permitida.
  5. Implante o recurso.

Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:

  1. Atualize o arquivo posture.yaml com a alteração.
  2. Execute o comando gcloud scc postures update. Para instruções, consulte Atualizar as definições de política em uma postura.
  3. Implante a postura atualizada com o novo ID de revisão. Para instruções, consulte Atualizar uma implantação de postura.

VM Manager

O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.

Se você ativar o VM Manager com o Security Command Center Premium no nível da organização, o VM Manager gravará as descobertas dos relatórios de vulnerabilidade, que estão em pré-lançamento, no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em VMs, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

Para usar o VM Manager com ativações no nível do projeto do Security Command Center Premium, ative o Security Command Center Standard na organização mãe.

Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.

As descobertas simplificam o processo de uso do recurso Conformidade com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de patches no nível da organização em todos os projetos.

A gravidade das descobertas de vulnerabilidade recebidas do VM Manager é sempre CRITICAL ou HIGH.

Descobertas do VM Manager

Todas as vulnerabilidades desse tipo estão relacionadas aos pacotes de sistema operacional instalados nas VMs do Compute Engine compatíveis.

Detector Resumo Configurações da verificação de recursos

OS vulnerability

Nome da categoria na API: OS_VULNERABILITY

Descrição da descoberta: o VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine.

Nível de preços: Premium

Recursos compatíveis

compute.googleapis.com/Instance

Corrigir essa descoberta

Os relatórios de vulnerabilidade do VM Manager detalham as vulnerabilidades em pacotes de sistema operacional instalados em VMs do Compute Engine, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

Para conferir uma lista completa de sistemas operacionais compatíveis, consulte Detalhes do sistema operacional.

As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira:

  • Quando um pacote é instalado ou atualizado no sistema operacional de uma VM, é possível acessar informações de Vulnerabilidades e Exposições Comuns (CVEs) da VM no Security Command Center em até duas horas após a mudança.
  • Quando novos avisos de segurança são publicados para um sistema operacional, as CVEs atualizadas normalmente ficam disponíveis em até 24 horas após o fornecedor do sistema operacional publicar o aviso.

Analisar descobertas no console

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Descobertas do Security Command Center.

    Acesse Descobertas

  2. Selecione a organização ou o projeto do Google Cloud.
  3. Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione VM Manager. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
  4. Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
  5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
  6. Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Console de operações de segurança

  1. No console de operações de segurança, acesse a página Descobertas.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

  2. Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
  3. Selecione VM Manager. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
  4. Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
  5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
  6. Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Como corrigir as descobertas do VM Manager

Uma descoberta OS_VULNERABILITY indica que o VM Manager encontrou uma vulnerabilidade nos pacotes do sistema operacional instalados em uma VM do Compute Engine.

Para corrigir essa descoberta, faça o seguinte:

  1. Abra uma descoberta OS vulnerability e confira a definição JSON dela.

  2. Copie o valor do campo externalUri. Esse valor é o URI da página Informações do SO da instância de VM do Compute Engine em que o sistema operacional vulnerável está instalado.

  3. Aplique todos os patches apropriados para o SO exibido na seção Informações básicas. Para instruções sobre como implantar patches, consulte Criar jobs de patch.

Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Silenciar descobertas do VM Manager

Talvez você queira ocultar algumas ou todas as descobertas do VM Manager no Security Command Center se elas não forem relevantes para seus requisitos de segurança.

É possível ocultar as descobertas do VM Manager criando uma regra de silenciamento e adicionando atributos de consulta específicos às descobertas do VM Manager que você quer ocultar.

Para criar uma regra de desativação para o VM Manager usando o console do Google Cloud, faça o seguinte:

  1. No console do Google Cloud, acesse a página Descobertas do Security Command Center.

    Acesse Descobertas

  2. Se necessário, selecione o projeto ou a organização do Google Cloud.

  3. Clique em Opções de silenciamento e selecione Criar regra de silenciamento.

  4. Digite um ID da regra de silenciamento. Esse valor é obrigatório.

  5. Insira uma descrição de regra de silenciamento que forneça contexto para explicar por que as descobertas são silenciadas. Esse valor é opcional, mas recomendado.

  6. Confirme o escopo da regra de silenciamento verificando o valor do recurso pai.

  7. No campo Consulta de descobertas, crie as instruções de consulta clicando em Adicionar filtro. Como alternativa, é possível digitar as instruções de consulta manualmente.

    1. Na caixa de diálogo Selecionar filtro, selecione Descoberta > Nome de exibição da origem > Gerenciador de VM.

    2. Clique em Aplicar.

    3. Repita até que a consulta de desativação contenha todos os atributos que você quer ocultar.

    Por exemplo, se você quiser ocultar IDs CVE específicos nas descobertas de vulnerabilidade do VM Manager, selecione Vulnerability > CVE ID e selecione os IDs CVE que você quer ocultar.

    A consulta de descoberta é semelhante a esta:

    Silenciar descobertas do VM Manager

  8. Clique em Visualizar descobertas correspondentes.

    Uma tabela mostra descobertas que correspondem à sua consulta.

  9. Clique em Salvar.

Proteção de dados sensíveis

Nesta seção, descrevemos as descobertas de vulnerabilidade geradas pela proteção de dados confidenciais, quais padrões de conformidade têm suporte e como corrigir essas descobertas.

A proteção de dados confidenciais também envia descobertas observacionais ao Security Command Center. Para mais informações sobre as descobertas de observação e a proteção de dados confidenciais, consulte Proteção de dados confidenciais.

Para saber como acessar as descobertas, consulte Analisar descobertas da proteção de dados confidenciais no console do Google Cloud.

O serviço de descoberta da Proteção de Dados Sensíveis ajuda a determinar se você está armazenando dados altamente sensíveis que não estão protegidos.

Categoria Resumo

Public sensitive data

Nome da categoria na API:

PUBLIC_SENSITIVE_DATA

Descrição da descoberta: o recurso especificado tem dados de alta sensibilidade que podem ser acessados por qualquer pessoa na Internet.

Recursos compatíveis:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket do Amazon S3

Remediação:

Para dados do Google Cloud, remova allUsers e allAuthenticatedUsers da política do IAM do recurso de dados.

Para dados do Amazon S3, configure as configurações de bloqueio de acesso público ou atualize a ACL do objeto para negar o acesso de leitura público.

Padrões de compliance: não mapeados

Secrets in environment variables

Nome da categoria na API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descrição da descoberta: há segredos, como senhas, tokens de autenticação e credenciais do Google Cloud, nas variáveis de ambiente.

Para ativar esse detector, consulte Informar segredos em variáveis de ambiente para o Security Command Center na documentação da proteção de dados sensíveis.

Recursos compatíveis:

Remediação:

Para variáveis de ambiente do Cloud Run functions, remova o secret da variável de ambiente e armazene-o no Secret Manager.

Para variáveis de ambiente de revisão do serviço do Cloud Run, remova todo o tráfego da revisão e exclua-a.

Padrões de compliance:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Nome da categoria na API:

SECRETS_IN_STORAGE

Descrição da descoberta: há segredos, como senhas, tokens de autenticação e credenciais da nuvem, no recurso especificado.

Recursos compatíveis:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket do Amazon S3

Remediação:

  1. Para dados do Google Cloud, use a Proteção de Dados Sensíveis para executar uma verificação de inspeção detalhada do recurso especificado e identificar todos os recursos afetados. Para dados do Cloud SQL, exporte esses dados para um arquivo CSV ou AVRO em um bucket do Cloud Storage e execute uma verificação de inspeção detalhada do bucket.

    Para dados do Amazon S3, inspecione manualmente o bucket especificado.

  2. Remova os secrets detectados.
  3. Considere redefinir as credenciais.
  4. Para dados do Google Cloud, considere armazenar os segredos detectados no Gerenciador de segredos.

Padrões de compliance: não mapeados

Policy Controller

O Policy Controller permite a aplicação de políticas programáveis aos clusters do Kubernetes registrados como associações de frotas. Essas políticas funcionam como proteções e podem ajudar nas práticas recomendadas, na segurança e no gerenciamento de conformidade dos clusters e da frota.

Esta página não lista todas as descobertas individuais do Policy Controller, mas as informações sobre as descobertas da classe Misconfiguration que o Policy Controller grava no Security Command Center são as mesmas que as violações de cluster documentadas para cada pacote do Policy Controller. A documentação dos tipos de descobertas individuais do Policy Controller está nos pacotes a seguir:

Esse recurso não é compatível com os perímetros de serviço do VPC Service Controls em torno da API Stackdriver.

Como encontrar e corrigir descobertas do Policy Controller

As categorias do Policy Controller correspondem aos nomes de restrição listados na documentação dos pacotes do Policy Controller. Por exemplo, uma descoberta de require-namespace-network-policies indica que um namespace viola a política de que todo namespace em um cluster tem um NetworkPolicy.

Para corrigir uma descoberta, faça o seguinte:

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Descobertas do Security Command Center.

    Acesse Descobertas

  2. Selecione a organização ou o projeto do Google Cloud.
  3. Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Policy Controller no cluster. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
  4. Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
  5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
  6. Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Console de operações de segurança

  1. No console de operações de segurança, acesse a página Descobertas.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

  2. Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
  3. Selecione Policy Controller no cluster. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
  4. Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
  5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
  6. Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

A seguir