Ergebnisse zu Sicherheitslücken

Security Health Analytics- und Web Security Scanner-Detektoren generieren Ergebnisse zu Sicherheitslücken, sind in Security Command Center verfügbar. Wenn sie in Security Command Center aktiviert sind, generieren integrierte Dienste wie VM Manager auch Ergebnisse zu Sicherheitslücken.

Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) und Berechtigungen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu IAM-Rollen im Security Command Center finden Sie unter Zugriffssteuerung.

Detektoren und Compliance

Security Command Center-Überwachung Ihre Compliance mit Detektoren, die den Kontrollen einer Vielzahl von Sicherheitsfunktionen entsprechen zu entwickeln.

Für jeden unterstützten Sicherheitsstandard Security Command Center prüft eine ausgewählt werden. Für die geprüften Steuerelemente zeigt Security Command Center an, wie viele bestanden werden. Für die nicht bestandenen Kontrollen wird in Security Command Center eine Liste mit Ergebnissen angezeigt, die die Kontrollfehler beschreiben.

Das CIS prüft und zertifiziert die Zuordnungen der Security Command Center-Detektoren zu den einzelnen unterstützten Versionen des CIS Google Cloud Foundations Benchmarks. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.

Security Command Center regelmäßig werden neue Benchmark-Versionen und -Standards unterstützt. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, den neuesten unterstützten Benchmark oder Standard zu verwenden.

Mit dem Dienst zum Bestimmen des Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Weitere Informationen zum Verwalten der Compliance finden Sie unter Sicherheitskonformität bewerten und melden .

Unterstützte Sicherheitsstandards

Google Cloud

Security Command Center Ordnet Detektoren für Google Cloud einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:

AWS

In Security Command Center werden Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zugeordnet:

Eine Anleitung zum Aufrufen und Exportieren von Compliance-Berichten finden Sie in der Abschnitt Compliance in Security Command Center in der Google Cloud Console verwenden

Deaktivierung nach der Behebung von Problemen

Nachdem Sie eine Sicherheitslücke oder Fehlkonfiguration behoben haben, setzt der Security Command Center-Dienst, der das Ergebnis erkannt hat, den Status des Ergebnisses beim nächsten Scan des Erkennungsdienstes automatisch auf INACTIVE. Wie lange es dauert, bis ein behobenes Ergebnis in Security Command Center auf INACTIVE gesetzt wird, hängt vom Zeitplan des Scans ab, bei dem das Ergebnis erkannt wurde.

Die Security Command Center-Dienste legen auch den Status fehlerhafte Konfiguration auf INACTIVE, wenn ein Scan erkennt, dass die Ressource das vom Ergebnis betroffen ist, gelöscht wird.

Weitere Informationen zu Scanintervallen finden Sie in den folgenden Themen:

Ergebnisse von Security Health Analytics

Detektoren von Security Health Analytics überwachen einen Teil der Ressourcen aus Cloud Asset Inventory (CAI), wobei sie Benachrichtigungen über Ressourcenänderungen und Richtlinienänderungen der Identitäts- und Zugriffsverwaltung (IAM) erhalten. Einige Detektoren rufen Daten ab, indem sie Google Cloud APIs direkt aufrufen, wie in Tabellen weiter unten auf dieser Seite angegeben.

Weitere Informationen zu Security Health Analytics, Scanzeitplänen und der Security Health Analytics-Unterstützung für integrierte und benutzerdefinierte Modul-Detektoren finden Sie unter Security Health Analytics – Übersicht.

In den folgenden Tabellen werden die Detektoren von Security Health Analytics, die unterstützten Assets und Compliance-Standards, die für Scans verwendeten Einstellungen und die generierten Ergebnistypen beschrieben. Sie können Ergebnisse nach verschiedenen Attributen filtern, indem Sie auf der Security Command Center-Seite Vulnerabilities (Sicherheitslücken) in der Google Cloud Console.

Eine Anleitung zum Beheben von Problemen und zum Schutz Ihrer Ressourcen finden Sie unter Ergebnisse von Security Health Analytics beheben.

Ergebnisse zu Sicherheitslücken beim API-Schlüssel

Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.

Detektor Fazit Asset-Scaneinstellungen
API key APIs unrestricted

Kategoriename in der API: API_KEY_APIS_UNRESTRICTED

Ergebnisbeschreibung: API-Schlüssel werden zu häufig verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Ruft das Attribut restrictions aller API-Schlüssel in einem Projekt ab und prüft, ob einer auf cloudapis.googleapis.com festgelegt ist.

  • Echtzeit-Scans: Nein
API key apps unrestricted

Kategoriename in der API: API_KEY_APPS_UNRESTRICTED

Ergebnisbeschreibung: API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13

Ruft des Attribut restrictions aller API-Schlüssel in einem Projekt ab und prüft, ob browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions oder iosKeyRestrictions festgelegt ist.

  • Echtzeit-Scans: Nein
API key exists

Kategoriename in der API: API_KEY_EXISTS

Ergebnisbeschreibung: Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Ruft alle API-Schlüssel ab, die zu einem Projekt gehören.

  • Echtzeit-Scans: Nein
API key not rotated

Kategoriename in der API: API_KEY_NOT_ROTATED

Ergebnisbeschreibung: Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Ruft den im Attribut createTime aller API-Schlüssel enthaltenen Zeitstempel ab und prüft, ob 90 Tage vergangen sind.

  • Echtzeit-Scans: Nein

Ergebnisse zu Sicherheitslücken in Cloud Asset Inventory

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Asset Inventory-Konfigurationen und gehören zum Typ CLOUD_ASSET_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Cloud Asset API disabled

Kategoriename in der API: CLOUD_ASSET_API_DISABLED

Ergebnisbeschreibung: Die Erfassung von Google Cloud-Ressourcen und IAM-Richtlinien durch Cloud Asset Inventory ermöglicht Sicherheitsanalysen, das Tracking von Ressourcenänderungen und die Complianceprüfung. Wir empfehlen, den Cloud Asset Inventory-Dienst für alle Projekte zu aktivieren. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
pubsub.googleapis.com/Project

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

Prüft, ob der Cloud Asset Inventory-Dienst aktiviert ist.

  • Echtzeit-Scans: Ja

Ergebnisse zu Sicherheitslücken bei Compute-Images

Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.

Detektor Fazit Asset-Scaneinstellungen
Public Compute image

Kategoriename in der API: PUBLIC_COMPUTE_IMAGE

Ergebnisbeschreibung: Ein Compute Engine-Image ist öffentlich zugänglich.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Image

Dieses Ergebnis korrigieren

Compliance standards:

Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet.

Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten allUsers oder allAuthenticatedUsers, die öffentlichen Zugang gewähren.

  • Echtzeit-Scans: Ja

Ergebnisse zu Sicherheitslücken bei Compute-Instanzen

Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.

COMPUTE_INSTANCE_SCANNER-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Der Name solcher Instanzen beginnt mit "gke-" und kann von Nutzern nicht bearbeitet werden. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.

Detektor Fazit Asset-Scaneinstellungen
Confidential Computing disabled

Kategoriename in der API: CONFIDENTIAL_COMPUTING_DISABLED

Ergebnisbeschreibung: Confidential Computing ist auf Compute Engine-Instanzen deaktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft das Attribut confidentialInstanceConfig von Instanzmetadaten für das Schlüssel/Wert-Paar "enableConfidentialCompute":true.

  • Von Scans ausgeschlossene Assets:
    • GKE-Instanzen
    • Serverloser VPC-Zugriff
    • Instanzen im Zusammenhang mit Dataflow-Jobs
    • Compute Engine-Instanzen, die nicht vom Typ N2D sind
  • Echtzeit-Scans: Ja
Compute project wide SSH keys allowed

Kategoriename in der API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Ergebnisbeschreibung: Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

Prüft das Objekt metadata.items[] in den Instanzmetadaten auf das Schlüssel/Wert-Paar "key": "block-project-ssh-keys", "value": TRUE.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, Dataflow-Job, Windows-Instanz
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten aus Compute Engine
  • Echtzeit-Scans: Nein
Compute Secure Boot disabled

Kategoriename in der API: COMPUTE_SECURE_BOOT_DISABLED

Ergebnisbeschreibung: Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft das Attribut shieldedInstanceConfig auf Compute Engine-Instanzen, um festzustellen, enableSecureBoot ist auf true gesetzt. Dieser Detektor Vorabprüfung Gibt an, ob angehängte Laufwerke mit Secure Boot kompatibel sind und Secure Boot aktiviert ist.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, Compute Engine-Laufwerke mit GPU-Beschleunigern und ohne Container-Optimized OS, serverloser VPC-Zugriff
  • Echtzeit-Scans: Ja
Compute serial ports enabled

Kategoriename in der API: COMPUTE_SERIAL_PORTS_ENABLED

Ergebnisbeschreibung: Serielle Ports sind für eine Instanz aktiviert und ermöglichen Verbindungen zur seriellen Konsole der Instanz.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Prüft das Objekt metadata.items[] in den Instanzmetadaten auf das Schlüssel/Wert-Paar "key": "serial-port-enable", "value": TRUE.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten aus Compute Engine
  • Echtzeit-Scans: Ja
Default service account used

Kategoriename in der API: DEFAULT_SERVICE_ACCOUNT_USED

Ergebnisbeschreibung: Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Prüft das Attribut serviceAccounts in den Instanzmetadaten auf E-Mail-Adressen von Dienstkonten mit dem Präfix PROJECT_NUMBER-compute@developer.gserviceaccount.com, die auf das von Google erstellte Standarddienstkonto hinweisen.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, Dataflow-Jobs
  • Echtzeit-Scans: Ja
Disk CMEK disabled

Kategoriename in der API: DISK_CMEK_DISABLED

Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Disk

Dieses Ergebnis korrigieren

Compliance standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft das Feld kmsKeyName im Objekt diskEncryptionKey in den Metadaten des Laufwerks für den Ressourcennamen Ihres CMEK.

  • Von Scans ausgeschlossene Assets: Laufwerke, die mit Cloud Composer-Umgebungen, Dataflow-Jobs und GKE-Instanzen verknüpft sind
  • Echtzeit-Scans: Ja
Disk CSEK disabled

Kategoriename in der API: DISK_CSEK_DISABLED

Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Sonderfalldetektor.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Disk

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft das Feld kmsKeyName im Objekt diskEncryptionKey auf den Ressourcennamen Ihres CSEK.

  • Von Scans ausgeschlossene Assets:
    Compute Engine-Laufwerke, deren Sicherheitsmarkierung enforce_customer_supplied_disk_encryption_keys nicht auf true gesetzt ist.
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten aus Compute Engine
  • Echtzeit-Scans: Ja
Full API access

Kategoriename in der API: FULL_API_ACCESS

Ergebnisbeschreibung: Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Ruft das Feld scopes im Attribut serviceAccounts ab, um zu prüfen, ob ein Standarddienstkonto verwendet wird und ob ihm der Bereich cloud-platform zugewiesen ist.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, Dataflow-Jobs
  • Echtzeit-Scans: Ja
HTTP load balancer

Kategoriename in der API: HTTP_LOAD_BALANCER

Ergebnisbeschreibung: Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/TargetHttpProxy

Beheben dieses Ergebnis

Compliance standards:

  • PCI-DSS v3.2.1: 2.3

Bestimmt, ob das Attribut selfLink der Ressource targetHttpProxy mit dem Attribut target in der Weiterleitungsregel übereinstimmt und ob die Weiterleitungsregel ein Feld loadBalancingScheme enthält, das auf External festgelegt ist.

  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Weiterleitungsregeln für einen HTTP-Ziel-Proxy aus Compute Engine und prüft auf externe Regeln
  • Echtzeit-Scans: Ja
Instance OS Login disabled

Kategoriename in der API: INSTANCE_OS_LOGIN_DISABLED

Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Prüft, ob das Attribut enable-oslogin aus dem Custom metadata der Instanz ist auf TRUE festgelegt.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, Instanzen im Zusammenhang mit Dataflow-Jobs, serverloser VPC-Zugriff
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten aus Compute Engine.
  • Echtzeit-Scans: Nein
IP forwarding enabled

Kategoriename in der API: IP_FORWARDING_ENABLED

Ergebnisbeschreibung: Die IP-Weiterleitung ist für Instanzen aktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Prüft, ob das Attribut canIpForward der Instanz auf true gesetzt ist.

  • Von Scans ausgeschlossene Assets: GKE Instanzen, serverloser VPC-Zugriff
  • Echtzeit-Scans: Ja
OS login disabled

Kategoriename in der API: OS_LOGIN_DISABLED

Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Prüft das Objekt commonInstanceMetadata.items[] in den Projektmetadaten auf das Schlüssel/Wert-Paar "key": "enable-oslogin", "value": TRUE. Der Detektor prüft außerdem alle Instanzen in einem Compute Engine-Projekt, um festzustellen, ob OS Login für einzelne Instanzen deaktiviert ist.

  • Von Scans ausgeschlossene Assets: GKE Instanzen, Instanzen im Zusammenhang mit Dataflow-Jobs
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten aus Compute Engine. Außerdem prüft der Detektor die Compute Engine-Instanzen im Projekt.
  • Echtzeit-Scans: Nein
Public IP address

Kategoriename in der API: PUBLIC_IP_ADDRESS

Ergebnisbeschreibung: Eine Instanz hat eine öffentliche IP-Adresse.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft, ob das Attribut networkInterfaces ein Feld accessConfigs enthält, das für die Verwendung einer öffentlichen IP-Adresse konfiguriert ist.

  • Von Scans ausgeschlossene Assets: GKE Instanzen, Instanzen im Zusammenhang mit Dataflow-Jobs
  • Echtzeit-Scans: Ja
Shielded VM disabled

Kategoriename in der API: SHIELDED_VM_DISABLED

Ergebnisbeschreibung: Auf dieser Instanz ist Shielded VM deaktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8

Prüft das Attribut shieldedInstanceConfig in Compute Engine-Instanzen, um festzustellen, ob die Felder enableIntegrityMonitoring und enableVtpm auf true gesetzt sind. Die Felder geben an, ob Shielded VM aktiviert ist.

  • Von Scans ausgeschlossene Assets: GKE Instanzen und Serverloser VPC-Zugriff
  • Echtzeit-Scans: Ja
Weak SSL policy

Kategoriename in der API: WEAK_SSL_POLICY

Ergebnisbeschreibung: Eine Instanz hat eine schwache SSL-Richtlinie.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

Prüft, ob sslPolicy in den Asset-Metadaten leer ist oder die Google Cloud-Standardrichtlinie verwendet wird, und für die angehängte sslPolicies-Ressource, ob profile auf Restricted oder Modern festgelegt ist, minTlsVersion auf TLS 1.2 festgelegt ist und customFeatures leer ist oder keine der folgenden Chiffren enthält: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest SSL-Richtlinien für den Speicher von Zielproxys und prüft auf schwache Richtlinien
  • Echtzeit-Scans: Ja, aber nur wenn der TargetHttpsProxy des TargetSslProxy aktualisiert wird, nicht wenn die SSL-Richtlinie aktualisiert wird

Ergebnisse zu Container-Sicherheitslücken

Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Alpha cluster enabled

Kategoriename in der API: ALPHA_CLUSTER_ENABLED

Ergebnisbeschreibung: Alphacluster-Features sind für einen GKE-Cluster aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GKE 1.0: 6.10.2

Prüft, ob das Attribut enableKubernetesAlpha eines Clusters auf true festgelegt ist.

  • Echtzeit-Scans: Ja
Auto repair disabled

Kategoriename in der API: AUTO_REPAIR_DISABLED

Ergebnisbeschreibung: Das automatische Reparaturfeature eines GKE-Clusters, das Knoten in einem fehlerfreien, laufenden Zustand hält, ist deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

Prüft das Attribut management eines Knotenpools auf das Schlüssel/Wert-Paar "key":, "autoRepair", "value": true.

  • Echtzeit-Scans: Ja
Auto upgrade disabled

Kategoriename in der API: AUTO_UPGRADE_DISABLED

Ergebnisbeschreibung: Das Feature für automatische Upgrades eines GKE-Clusters, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

Prüft das Attribut management eines Knotenpools auf das Schlüssel/Wert-Paar "key":, "autoUpgrade", "value": true.

  • Echtzeit-Scans: Ja
Binary authorization disabled

Kategoriename in der API: BINARY_AUTHORIZATION_DISABLED

Ergebnisbeschreibung: Die Binärautorisierung ist entweder im GKE-Cluster deaktiviert oder die Richtlinie für die Binärautorisierung ist so konfiguriert, dass alle Images bereitgestellt werden können.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüfen Sie Folgendes:

  • Prüft, ob das Attribut binaryAuthorization eine der folgende Schlüssel/Wert-Paare:
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • Prüft, ob die Richtlinieneigenschaft defaultAdmissionRule das Schlüssel/Wert-Paar evaluationMode: ALWAYS_ALLOW nicht enthält.

  • Echtzeit-Scans: Ja
Cluster logging disabled

Kategoriename in der API: CLUSTER_LOGGING_DISABLED

Ergebnisbeschreibung: Logging ist für einen GKE-Cluster nicht aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

Prüft, ob das Attribut loggingService eines Clusters den Speicherort enthält, den Cloud Logging zum Schreiben von Logs verwenden soll.

  • Echtzeit-Scans: Ja
Cluster monitoring disabled

Kategoriename in der API: CLUSTER_MONITORING_DISABLED

Ergebnisbeschreibung: Monitoring ist in GKE-Clustern deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

Prüft, ob das Attribut monitoringService eines Clusters den Speicherort enthält, den Cloud Monitoring zum Schreiben von Messwerten verwenden soll.

  • Echtzeit-Scans: Ja
Cluster private Google access disabled

Kategoriename in der API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Ergebnisbeschreibung: Clusterhosts sind nicht so konfiguriert, dass nur private interne IP-Adressen für den Zugriff auf Google APIs verwendet werden.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

Prüft, ob das Attribut privateIpGoogleAccess eines Subnetzwerks auf false gesetzt ist.

  • Zusätzliche Eingaben: Liest Subnetzwerke aus dem Speicher und sendet Ergebnisse nur für Cluster mit Subnetzwerken
  • Echtzeit-Scans: Ja, aber nur wenn der Cluster aktualisiert wird; nicht für Updates des Subnetzwerks.
Cluster secrets encryption disabled

Kategoriename in der API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

Ergebnisbeschreibung: Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GKE 1.0: 6.3.1

Prüft das Attribut keyName des Objekts databaseEncryption auf das Schlüssel/Wert-Paar "state": ENCRYPTED.

  • Echtzeit-Scans: Ja
Cluster shielded nodes disabled

Kategoriename in der API: CLUSTER_SHIELDED_NODES_DISABLED

Ergebnisbeschreibung: Shielded GKE-Knoten sind für einen Cluster nicht aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GKE 1.0: 6.5.5

Prüft das Attribut shieldedNodes auf das Schlüssel/Wert-Paar "enabled": true.

  • Echtzeit-Scans: Ja
COS not used

Kategoriename in der API: COS_NOT_USED

Ergebnisbeschreibung: Compute Engine-VMs nutzen nicht Container-Optimzed OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

Prüft das Attribut config eines Knotenpools auf das Schlüssel/Wert-Paar "imageType": "COS".

  • Echtzeit-Scans: Ja
Integrity monitoring disabled

Kategoriename in der API: INTEGRITY_MONITORING_DISABLED

Ergebnisbeschreibung: Integritätsmonitoring ist für einen GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GKE 1.0: 6.5.6

Prüft das Attribut shieldedInstanceConfig des Objekts nodeConfig auf das Schlüssel/Wert-Paar "enableIntegrityMonitoring": true.

  • Echtzeit-Scans: Ja
Intranode visibility disabled

Kategoriename in der API: INTRANODE_VISIBILITY_DISABLED

Ergebnisbeschreibung: Die knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance standards:

  • CIS GKE 1.0: 6.6.1

Prüft das Attribut networkConfig auf das Schlüssel/Wert-Paar "enableIntraNodeVisibility": true.

  • Echtzeit-Scans: Ja
IP alias disabled

Kategoriename in der API: IP_ALIAS_DISABLED

Ergebnisbeschreibung: Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

Prüft, ob das Feld useIPAliases von ipAllocationPolicy in einem Cluster auf false gesetzt ist.

  • Echtzeit-Scans: Ja
Legacy authorization enabled

Kategoriename in der API: LEGACY_AUTHORIZATION_ENABLED

Ergebnisbeschreibung: Die Legacy-Autorisierung ist in GKE-Clustern aktiviert.

Preisstufe: Premium oder Standard

Unterstützte Assets
container.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

Prüft das Attribut legacyAbac eines Clusters auf das Schlüssel/Wert-Paar "enabled": true.

  • Echtzeit-Scans: Ja
Legacy metadata enabled

Kategoriename in der API: LEGACY_METADATA_ENABLED

Ergebnisbeschreibung: Legacy-Metadaten sind für GKE-Cluster aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GKE 1.0: 6.4.1

Prüft das Attribut config eines Knotenpools auf das Schlüssel/Wert-Paar "disable-legacy-endpoints": "false".

  • Echtzeit-Scans: Ja
Master authorized networks disabled

Kategoriename in der API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Ergebnisbeschreibung: Autorisierte Control Plane Authorized Networks ist in GKE-Clustern nicht aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

Prüft das Attribut masterAuthorizedNetworksConfig eines Clusters für das Schlüssel/Wert-Paar "enabled": false.

  • Echtzeit-Scans: Ja
Network policy disabled

Kategoriename in der API: NETWORK_POLICY_DISABLED

Ergebnisbeschreibung: Die Netzwerkrichtlinie ist in GKE-Clustern deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

Prüft das Feld networkPolicy des Attributs addonsConfig auf das Schlüssel/Wert-Paar "disabled": true.

  • Echtzeit-Scans: Ja
Nodepool boot CMEK disabled

Kategoriename in der API: NODEPOOL_BOOT_CMEK_DISABLED

Beschreibung: Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft das Attribut bootDiskKmsKey von Knotenpools auf den Ressourcennamen Ihres CMEK.

  • Echtzeit-Scans: Ja
Nodepool secure boot disabled

Kategoriename in der API: NODEPOOL_SECURE_BOOT_DISABLED

Ergebnisbeschreibung: Secure Boot ist für einen GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GKE 1.0: 6.5.7

Prüft das Attribut shieldedInstanceConfig des Objekts nodeConfig auf das Schlüssel/Wert-Paar "enableSecureBoot": true.

  • Echtzeit-Scans: Ja
Over privileged account

Kategoriename in der API: OVER_PRIVILEGED_ACCOUNT

Ergebnisbeschreibung: Ein Dienstkonto hat in einem Cluster übermäßig Zugriff auf das Projekt.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

Wertet das Attribut config eines Knotenpools aus, um zu prüfen, ob kein Dienstkonto angegeben wurde oder ob das Standarddienstkonto verwendet wird.

  • Echtzeit-Scans: Ja
Over privileged scopes

Kategoriename in der API: OVER_PRIVILEGED_SCOPES

Ergebnisbeschreibung: Ein Knotendienstkonto hat große Zugriffsbereiche.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
Prüft, ob der im Attribut config.oauthScopes eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich des Dienstkontos ist: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write oder https://www.googleapis.com/auth/monitoring.
  • Echtzeit-Scans: Ja
Pod security policy disabled

Kategoriename in der API: POD_SECURITY_POLICY_DISABLED

Ergebnisbeschreibung: PodSecurityPolicy ist in einem GKE-Cluster deaktiviert.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

Prüft das Attribut podSecurityPolicyConfig eines Clusters für das Schlüssel/Wert-Paar "enabled": false.

  • Zusätzliche IAM-Berechtigungen: roles/container.clusterViewer
  • Zusätzliche Eingaben: Liest Clusterinformationen aus GKE, da Pod-Sicherheitsrichtlinien ein Betafeature sind. Kubernetes hat die PodSecurityPolicy in Version 1.21 offiziell verworfen. Die PodSecurityPolicy wird in Version 1.25 eingestellt. Informationen zu Alternativen finden Sie unter Einstellung der PodSecurityPolicy.
  • Echtzeit-Scans: Nein
Private cluster disabled

Kategoriename in der API: PRIVATE_CLUSTER_DISABLED

Ergebnisbeschreibung: Für einen GKE-Cluster ist ein privater Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

Prüft, ob das Feld enablePrivateNodes des Attributs privateClusterConfig auf false gesetzt ist.

  • Echtzeit-Scans: Ja
Release channel disabled

Kategoriename in der API: RELEASE_CHANNEL_DISABLED

Ergebnisbeschreibung: Ein GKE-Cluster ist nicht auf eine Release-Version abonniert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GKE 1.0: 6.5.4

Prüft das Attribut releaseChannel auf das Schlüssel/Wert-Paar "channel": UNSPECIFIED.

  • Echtzeit-Scans: Ja
Web UI enabled

Kategoriename in der API: WEB_UI_ENABLED

Ergebnisbeschreibung: Die GKE-Web-UI (Dashboard) ist aktiviert.

Preisstufe: Premium oder Standard

Unterstützte Assets
container.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

Prüft das Feld kubernetesDashboard des Attributs addonsConfig auf das Schlüssel/Wert-Paar "disabled": false.

  • Echtzeit-Scans: Ja
Workload Identity disabled

Kategoriename in der API: WORKLOAD_IDENTITY_DISABLED

Ergebnisbeschreibung: Workload Identity ist in einem GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance standards:

  • CIS GKE 1.0: 6.2.2

Prüft, ob das Attribut workloadIdentityConfig eines Clusters festgelegt ist. Der Detektor prüft auch, ob das Attribut workloadMetadataConfig eines Knotenpools auf GKE_METADATA gesetzt ist.

  • Zusätzliche IAM-Berechtigungen: roles/container.clusterViewer
  • Echtzeit-Scans: Ja

Ergebnisse zu Dataproc-Sicherheitslücken

Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Dataproc und gehören zum Detektortyp DATAPROC_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Dataproc CMEK disabled

Kategoriename in der API: DATAPROC_CMEK_DISABLED

Ergebnisbeschreibung: Ein Dataproc-Cluster wurde ohne CMEK-Verschlüsselungskonfiguration erstellt. Mit CMEK werden die von Ihnen in Cloud KMS erstellten und verwalteten Schlüssel mit den Schlüsseln umschlossen, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
dataproc.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft, ob das Feld kmsKeyName im Attribut encryptionConfiguration leer ist.

  • Echtzeit-Scans: Ja
Dataproc image outdated

Kategoriename in der API: DATAPROC_IMAGE_OUTDATED

Ergebnis-Beschreibung: Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228) und CVE-2021-45046).

Preisstufe: Premium oder Standard

Unterstützte Assets
dataproc.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance standards:

Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet.

Prüft, ob das Feld softwareConfig.imageVersion im Attribut config einer Cluster vor 1.3.95 liegt oder ob es eine Sub-Minor-Image-Version vor 1.4.77, 1.5.53 oder 2.0.27 ist.

  • Echtzeit-Scans: Ja

Ergebnisse zu Dataset-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
BigQuery table CMEK disabled

Kategoriename in der API: BIGQUERY_TABLE_CMEK_DISABLED

Ergebnisbeschreibung: Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
bigquery.googleapis.com/Table

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft, ob das Feld kmsKeyName im Attribut encryptionConfiguration leer ist.

  • Echtzeit-Scans: Ja
Dataset CMEK disabled

Kategoriename in der API: DATASET_CMEK_DISABLED

Ergebnisbeschreibung: Ein BigQuery-Dataset ist nicht für die Verwendung eines standardmäßigen CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
bigquery.googleapis.com/Dataset

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft, ob das Feld kmsKeyName im Attribut defaultEncryptionConfiguration leer ist.

  • Echtzeit-Scans: Nein
Public dataset

Kategoriename in der API: PUBLIC_DATASET

Ergebnisbeschreibung: Ein Dataset ist für den öffentlichen Zugriff konfiguriert.

Preisstufe: Premium oder Standard

Unterstützte Assets
bigquery.googleapis.com/Dataset

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten allUsers oder allAuthenticatedUsers, die öffentlichen Zugang gewähren.

  • Echtzeit-Scans: Ja

Ergebnisse zu DNS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
DNSSEC disabled

Kategoriename in der API: DNSSEC_DISABLED

Ergebnisbeschreibung: DNSSEC ist für Cloud DNS-Zonen deaktiviert.

Preisstufe: Premium

Unterstützte Assets
dns.googleapis.com/ManagedZone

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Prüft, ob das Feld state des Attributs dnssecConfig auf off gesetzt ist.

  • Von Scans ausgeschlossene Assets: Cloud DNS-Zonen, die nicht öffentlich sind
  • Echtzeit-Scans: Ja
RSASHA1 for signing

Kategoriename in der API: RSASHA1_FOR_SIGNING

Ergebnisbeschreibung: RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet.

Preisstufe: Premium

Unterstützte Assets
dns.googleapis.com/ManagedZone

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Prüft, ob das Objekt defaultKeySpecs.algorithm des Attributs dnssecConfig auf rsasha1 gesetzt ist.

  • Echtzeit-Scans: Ja

Ergebnisse zu Firewall-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Egress deny rule not set

Kategoriename in der API: EGRESS_DENY_RULE_NOT_SET

Ergebnisbeschreibung: Für eine Firewall wurde keine Regel für ausgehenden Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 7.2

Prüft, ob das Attribut destinationRanges in der Firewall auf 0.0.0.0/0 gesetzt ist und das Attribut denied das Schlüssel/Wert-Paar "IPProtocol": "all" enthält.

  • Zusätzliche Eingaben: Liest ausgehende Firewalls für ein Projekt aus dem Speicher.
  • Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht bei Änderungen an Firewallregeln
Firewall rule logging disabled

Kategoriename in der API: FIREWALL_RULE_LOGGING_DISABLED

Ergebnisbeschreibung: Das Logging von Firewallregeln ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut logConfig in den Firewallmetadaten, um zu ermitteln, ob es leer ist oder das Schlüssel/Wert-Paar "enable": false enthält.

Open Cassandra port

Kategoriename in der API: OPEN_CASSANDRA_PORT

Ergebnisbeschreibung: Eine Firewall ist für einen offenen CASSANDRA-Port mit generischem Zugriff konfiguriert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Echtzeit-Scans: Ja
Open ciscosecure websm port

Kategoriename in der API: OPEN_CISCOSECURE_WEBSM_PORT

Ergebnisbeschreibung: Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für das folgende Protokoll und den folgenden Port: TCP:9090.

  • Echtzeit-Scans: Ja
Open directory services port

Kategoriename in der API: OPEN_DIRECTORY_SERVICES_PORT

Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DIRECTORY_SERVICE-Port konfiguriert, der generischen Zugriff zulässt.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:445 und UDP:445.

  • Echtzeit-Scans: Ja
Open DNS port

Kategoriename in der API: OPEN_DNS_PORT

Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DNS-Port konfiguriert, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Beheben dieses Ergebnis

Compliance standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:53 und UDP:53.

  • Echtzeit-Scans: Ja
Open elasticsearch port

Kategoriename in der API: OPEN_ELASTICSEARCH_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ELASTICSEARCH-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Beheben dieses Ergebnis

Compliance standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:9200, 9300.

  • Echtzeit-Scans: Ja
Open firewall

Kategoriename in der API: OPEN_FIREWALL

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie öffentlich zugänglich ist.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 1.2.1

Prüft die Attribute sourceRanges und allowed auf eine von zwei Konfigurationen:

  • Das Attribut sourceRanges enthält 0.0.0.0/0 und das Attribut allowed enthält eine Kombination aus Regeln mit einem beliebigen protocol oder protocol:port, mit Ausnahme von:
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • Das Attribut sourceRanges enthält eine Kombination aus IP-Bereichen, die alle nicht privaten IP-Adressen umfassen, und das Attribut allowed enthält eine Kombination aus Regeln, die entweder alle TCP-Ports oder alle UDB-Ports zulassen.
Open FTP port

Kategoriename in der API: OPEN_FTP_PORT

Ergebnisbeschreibung: Eine Firewall ist mit einem offenen FTP-Port konfiguriert, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für das folgende Protokoll und den folgenden Port: TCP:21.

  • Echtzeit-Scans: Ja
Open HTTP port

Kategoriename in der API: OPEN_HTTP_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Beheben dieses Ergebnis

Compliance standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:80.

  • Echtzeit-Scans: Ja
Open LDAP port

Kategoriename in der API: OPEN_LDAP_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Beheben dieses Ergebnis

Compliance standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:389, 636 und UDP:389.

  • Echtzeit-Scans: Ja
Open Memcached port

Kategoriename in der API: OPEN_MEMCACHED_PORT

Ergebnisbeschreibung: Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:11211, 11214-11215 und UDP:11211, 11214-11215.

  • Echtzeit-Scans: Ja
Open MongoDB port

Kategoriename in der API: OPEN_MONGODB_PORT

Ergebnisbeschreibung: Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Beheben dieses Ergebnis

Compliance standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:27017-27019.

  • Echtzeit-Scans: Ja
Open MySQL port

Kategoriename in der API: OPEN_MYSQL_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen MySQL-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Beheben dieses Ergebnis

Compliance standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für das folgende Protokoll und den folgenden Port: TCP:3306.

  • Echtzeit-Scans: Ja
Open NetBIOS port

Kategoriename in der API: OPEN_NETBIOS_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:137-139 und UDP:137-139.

  • Echtzeit-Scans: Ja
Open OracleDB port

Kategoriename in der API: OPEN_ORACLEDB_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:1521, 2483-2484 und UDP:2483-2484.

  • Echtzeit-Scans: Ja
Open pop3 port

Kategoriename in der API: OPEN_POP3_PORT

Ergebnisbeschreibung: Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für das folgende Protokoll und den folgenden Port: TCP:110.

  • Echtzeit-Scans: Ja
Open PostgreSQL port

Kategoriename in der API: OPEN_POSTGRESQL_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:5432 und UDP:5432.

  • Echtzeit-Scans: Ja
Open RDP port

Kategoriename in der API: OPEN_RDP_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:3389 und UDP:3389.

  • Echtzeit-Scans: Ja
Open Redis port

Kategoriename in der API: OPEN_REDIS_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Beheben dieses Ergebnis

Compliance standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft, ob das Attribut allowed in den Firewallmetadaten das folgende Protokoll und den folgenden Port enthält: TCP:6379.

  • Echtzeit-Scans: Ja
Open SMTP port

Kategoriename in der API: OPEN_SMTP_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft, ob das Attribut allowed in den Firewallmetadaten das folgende Protokoll und den folgenden Port enthält: TCP:25.

  • Echtzeit-Scans: Ja
Open SSH port

Kategoriename in der API: OPEN_SSH_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Prüft, ob das Attribut allowed in den Firewallmetadaten die folgenden Protokolle und Ports enthält: TCP:22 und SCTP:22.

  • Echtzeit-Scans: Ja
Open Telnet port

Kategoriename in der API: OPEN_TELNET_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft, ob das Attribut allowed in den Firewallmetadaten das folgende Protokoll und den folgenden Port enthält: TCP:23.

  • Echtzeit-Scans: Ja

Ergebnisse zu IAM-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Access Transparency disabled

Kategoriename in der API: ACCESS_TRANSPARENCY_DISABLED

Ergebnisbeschreibung: Google Cloud Access Transparency ist für Ihre Organisation deaktiviert. Access Transparency wenn Google Cloud-Mitarbeiter auf Projekte in Ihrer Organisation zugreifen, zu unterstützen. Aktivieren Sie Access Transparency, um zu protokollieren, wer von Google Cloud wann und warum auf Ihre Daten zugreift.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14

Prüft, ob Access Transparency für Ihre Organisation aktiviert ist.

  • Echtzeit-Scans: Nein
Admin service account

Kategoriename in der API: ADMIN_SERVICE_ACCOUNT

Ergebnisbeschreibung: Ein Dienstkonto hat die Berechtigung Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle vom Nutzer erstellten Dienstkonten (angezeigt durch das Präfix iam.gserviceaccount.com), denen roles/Owner oder roles/Editor oder eine Rollen-ID zugewiesen ist, die admin enthält.

  • Von Scans ausgeschlossene Assets: Container Registry-Dienstkonto (containerregistry.iam.gserviceaccount.com) und das Security Command Center-Dienstkonto (security-center-api.iam.gserviceaccount.com)
  • Echtzeit-Scans: Ja, außer wenn die IAM-Aktualisierung wird für einen Ordner durchgeführt wird
Essential Contacts Not Configured

Kategoriename in der API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

Beschreibung der Abweichung: Ihre Organisation hat keine Person oder Gruppe benannt, die Benachrichtigungen von Google Cloud zu wichtigen Ereignissen wie Angriffen, Sicherheitslücken und Datenpannen innerhalb Ihrer Google Cloud-Organisation erhält. Wir empfehlen, eine oder mehrere Personen oder Gruppen in Ihrem Unternehmen als wichtigen Kontakt anzugeben.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

Prüft, ob ein Kontakt für die folgenden wichtigen Kontaktkategorien angegeben ist:

  • Recht
  • Sicherheit
  • Sperrung
  • Technisch

  • Echtzeit-Scans: Nein
KMS role separation

Kategoriename in der API: KMS_ROLE_SEPARATION

Ergebnisbeschreibung: Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) hat: CryptoKey-Verschlüsseler/Entschlüsseler, Entschlüsseler oder Verschlüsseler.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Prüft IAM-Zulassungsrichtlinien in Ressourcenmetadaten und ruft Hauptkonten ab, denen gleichzeitig eine der folgenden Rollen zugewiesen ist: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter und roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Echtzeit-Scans: Ja
Non org IAM member

Kategoriename in der API: NON_ORG_IAM_MEMBER

Ergebnisbeschreibung: Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 lösen derzeit nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Vergleicht @gmail.com-E-Mail-Adressen im Feld user der IAM-Zulassungsrichtlinien mit einer Liste genehmigter Identitäten für Ihre Organisation.

  • Echtzeit-Scans: Ja
Open group IAM member

Kategoriename in der API: OPEN_GROUP_IAM_MEMBER

Ergebnisbeschreibung: Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Beheben dieses Ergebnis

Compliance standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft die IAM-Richtlinie in Ressourcenmetadaten auf alle Bindungen, die ein Mitglied (Hauptkonto) mit dem Präfix group enthalten. Wenn die Gruppe eine offene Gruppe ist, generiert Security Health Analytics dieses Ergebnis.
  • Zusätzliche Eingaben: Lesevorgänge Google Groups um zu prüfen, ob es sich bei der identifizierten Gruppe um eine offene Gruppe handelt.
  • Echtzeit-Scans: Nein
Over privileged service account user

Kategoriename in der API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Ergebnisbeschreibung: Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene, statt für ein bestimmtes Dienstkonto.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf alle Hauptkonten, denen roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator auf Projektebene zugewiesen ist.
  • Aus Scans ausgeschlossene Assets: Cloud Build-Dienst Konten
  • Echtzeit-Scans: Ja
Primitive roles used

Kategoriename in der API: PRIMITIVE_ROLES_USED

Ergebnisbeschreibung: Ein Nutzer hat eine der folgenden einfachen Rollen:

  • Inhaber (roles/owner)
  • Bearbeiter (roles/editor)
  • Betrachter (roles/viewer)

Diese Rollen sind zu moderat und sollten nicht verwendet werden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen eine roles/owner-, roles/editor- oder roles/viewer-Rolle zugewiesen ist.

  • Echtzeit-Scans: Ja
Redis role used on org

Kategoriename in der API: REDIS_ROLE_USED_ON_ORG

Ergebnisbeschreibung: Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Beheben dieses Ergebnis

Compliance-Standards:

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf Hauptkonten, denen roles/redis.admin, roles/redis.editor, roles/redis.viewer auf Organisations- oder Ordnerebene zugewiesen ist.

  • Echtzeit-Scans: Ja
Service account role separation

Kategoriename in der API: SERVICE_ACCOUNT_ROLE_SEPARATION

Ergebnisbeschreibung: Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung".

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Prüft die IAM-Zulassungrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen sowohl roles/iam.serviceAccountUser als auch roles/iam.serviceAccountAdmin zugewiesen ist.
  • Echtzeit-Scans: Ja
Service account key not rotated

Kategoriename in der API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Ergebnisbeschreibung: Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert.

Preisstufe: Premium

Unterstützte Assets
iam.googleapis.com/ServiceAccountKey

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7

Wertet den Zeitstempel der Schlüsselerstellung aus, der im Attribut validAfterTime in den Schlüsselmetadaten des Dienstkontos erfasst ist.

  • Von Scans ausgeschlossene Assets: Abgelaufene Dienstkontoschlüssel und Schlüssel, die nicht von Nutzern verwaltet werden
  • Echtzeit-Scans: Ja
User managed service account key

Kategoriename in der API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Ergebnisbeschreibung: Ein Nutzer verwaltet einen Dienstkontoschlüssel.

Preisstufe: Premium

Unterstützte Assets
iam.googleapis.com/ServiceAccountKey

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4

Prüft, ob das Attribut keyType in den Metadaten des Dienstkontoschlüssels auf User_Managed gesetzt ist.

  • Echtzeit-Scans: Ja

Ergebnisse zu KMS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
KMS key not rotated

Kategoriename in der API: KMS_KEY_NOT_ROTATED

Ergebnisbeschreibung: Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Verschlüsselungsschlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden.

Preisstufe: Premium

Unterstützte Assets
cloudkms.googleapis.com/CryptoKey

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 1.8
  • CIS GCP Foundation 1.1: 1.10
  • CIS GCP Foundation 1.2: 1.10
  • CIS GCP Foundation 1.3: 1.10
  • CIS GCP Foundation 2.0: 1.10
  • NIST 800-53 R4: SC-12
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2013: A.10.1.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft Ressourcenmetadaten auf das Vorhandensein von rotationPeriod- oder nextRotationTime-Attributen.

  • Von Scans ausgeschlossene Assets: Asymmetrische Schlüssel und Schlüssel mit deaktivierten oder gelöschten primären Versionen
  • Echtzeit-Scans: Ja
KMS project has owner

Kategoriename in der API: KMS_PROJECT_HAS_OWNER

Ergebnisbeschreibung: Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 1.2: 1.11
  • CIS GCP Foundation 1.3: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-6, SC-12
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft die IAM-Zulassungsrichtlinie in Projektmetadaten auf Hauptkonten, denen roles/Owner zugewiesen ist.

  • Zusätzliche Eingaben: Liest CryptoKeys für ein Projekt aus dem Speicher und sendet Ergebnisse nur für Projekte mit CryptoKeys
  • Echtzeit-Scans: Ja, aber nur bei Änderungen an der IAM-Zulassungsrichtlinie, nicht bei Änderungen an KMS-Schlüsseln
KMS public key

Kategoriename in der API: KMS_PUBLIC_KEY

Ergebnisbeschreibung: Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich.

Preisstufe: Premium

Unterstützte Assets
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.1: 1.9
  • CIS GCP Foundation 1.2: 1.9
  • CIS GCP Foundation 1.3: 1.9
  • CIS GCP Foundation 2.0: 1.9
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten allUsers oder allAuthenticatedUsers, die öffentlichen Zugang gewähren.

  • Echtzeit-Scans: Ja
Too many KMS users

Kategoriename in der API: TOO_MANY_KMS_USERS

Ergebnisbeschreibung: Es gibt mehr als drei Nutzer kryptografischer Schlüssel.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.

Preisstufe: Premium

Unterstützte Assets
cloudkms.googleapis.com/CryptoKey

Dieses Ergebnis korrigieren

Compliance standards:

  • PCI-DSS v3.2.1: 3.5.2
  • ISO-27001 v2013: A.9.2.3
Prüft IAM-Zulassungsrichtlinien auf Schlüsselbunde, Projekte und Organisationen und ruft Hauptkonten mit Rollen ab, mit denen sie Daten mithilfe von Cloud KMS-Schlüsseln verschlüsseln, entschlüsseln oder signieren können: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer und roles/cloudkms.signerVerifier.
  • Zusätzliche Eingaben: Liest CryptoKey-Versionen für einen CryptoKey aus dem Speicher und speichert Ergebnisse nur für Schlüssel mit aktiven Versionen. Der Detektor liest auch IAM-Zulassungsrichtlinien für Schlüsselbund, Projekt und Organisation aus dem Speicher.
  • Echtzeit-Scans: Ja

Ergebnisse zu Logging-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Audit logging disabled

Kategoriename in der API: AUDIT_LOGGING_DISABLED

Ergebnisbeschreibung: Audit-Logging wurde für diese Ressource deaktiviert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.1
  • CIS GCP Foundation 1.1: 2.1
  • CIS GCP Foundation 1.2: 2.1
  • CIS GCP Foundation 1.3: 2.1
  • CIS GCP Foundation 2.0: 2.1
  • NIST 800-53 R4: AC-2, AU-2
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v3.2.1: 10.1, 10.2
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2013: A.12.4.1, A.16.1.7
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2

Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf das Vorhandensein eines auditLogConfigs-Objekts.

  • Echtzeit-Scans: Ja
Bucket logging disabled

Kategoriename in der API: BUCKET_LOGGING_DISABLED

Ergebnisbeschreibung: Es gibt einen Storage-Bucket ohne aktiviertes Logging.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 5.3

Prüft, ob das Feld logBucket im Attribut logging des Buckets leer ist.

  • Echtzeit-Scans: Ja
Locked retention policy not set

Kategoriename in der API: LOCKED_RETENTION_POLICY_NOT_SET

Ergebnisbeschreibung: Für Logs ist keine gesperrte Aufbewahrungsrichtlinie festgelegt.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.1: 2.3
  • CIS GCP Foundation 1.2: 2.3
  • CIS GCP Foundation 1.3: 2.3
  • CIS GCP Foundation 2.0: 2.3
  • NIST 800-53 R4: AU-11
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 10.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.12.4.2, A.18.1.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft, ob das Feld isLocked im Attribut retentionPolicy des Buckets auf true gesetzt ist.

  • Zusätzliche Eingaben: Liest die Logsenke (den Logfilter und das Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt.
  • Echtzeit-Scans: Ja
Log not exported

Kategoriename in der API: LOG_NOT_EXPORTED

Ergebnisbeschreibung: Für eine Ressource ist keine geeignete Logsenke konfiguriert.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 2.2
  • CIS GCP Foundation 1.1: 2.2
  • CIS GCP Foundation 1.2: 2.2
  • CIS GCP Foundation 1.3: 2.2
  • CIS GCP Foundation 2.0: 2.2
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2013: A.18.1.3
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.3

Ruft ein logSink-Objekt in einem Projekt ab und prüft, ob das Feld includeChildren auf true gesetzt ist, ob das Feld destination den Speicherort enthält, in den Logs geschrieben werden sollen, und ob das Feld filter ausgefüllt ist.

  • Zusätzliche Eingaben: Liest die Logsenke (den Logfilter und das Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt.
  • Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht wenn der Logexport für Ordner oder Organisation eingerichtet ist
Object versioning disabled

Kategoriename in der API: OBJECT_VERSIONING_DISABLED

Ergebnisbeschreibung: Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 2.3
  • NIST 800-53 R4: AU-11
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3

Prüft, ob das Feld enabled im Attribut versioning des Buckets auf true gesetzt ist.

  • Von Scans ausgeschlossene Assets: Cloud Storage-Buckets mit einer gesperrten Aufbewahrungsrichtlinie
  • Zusätzliche Eingaben: Liest die Logsenke (den Logfilter und das Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt.
  • Echtzeit-Scans: Ja, aber nur wenn sich die Objektversionsverwaltung ändert, nicht wenn Log-Buckets erstellt werden

Ergebnisse zu Monitoring-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:

  • Den RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll.
  • Die QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken.
  • Die AlertPolicyFailureReasons, die angeben, ob für das Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder ob die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
Detektor Fazit Asset-Scaneinstellungen
Audit config not monitored

Kategoriename in der API: AUDIT_CONFIG_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Audit-Konfigurationsänderungen konfiguriert.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 2.5
  • CIS GCP Foundation 1.1: 2.5
  • CIS GCP Foundation 1.2: 2.5
  • CIS GCP Foundation 1.3: 2.5
  • CIS GCP Foundation 2.0: 2.5
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
Bucket IAM not monitored

Kategoriename in der API: BUCKET_IAM_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen der Cloud Storage-IAM-Berechtigungen konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.10
  • CIS GCP Foundation 1.1: 2.10
  • CIS GCP Foundation 1.2: 2.10
  • CIS GCP Foundation 1.3: 2.10
  • CIS GCP Foundation 2.0: 2.10
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions" gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
Custom role not monitored

Kategoriename in der API: CUSTOM_ROLE_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen benutzerdefinierter Rollen konfiguriert.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.6
  • CIS GCP Foundation 1.1: 2.6
  • CIS GCP Foundation 1.2: 2.6
  • CIS GCP Foundation 1.3: 2.6
  • CIS GCP Foundation 2.0: 2.6
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole") gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
Firewall not monitored

Kategoriename in der API: FIREWALL_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an VPC-Netzwerk-Firewallregeln konfiguriert.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 2.7
  • CIS GCP Foundation 1.1: 2.7
  • CIS GCP Foundation 1.2: 2.7
  • CIS GCP Foundation 1.3: 2.7
  • CIS GCP Foundation 2.0: 2.7
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete") gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
Network not monitored

Kategoriename in der API: NETWORK_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 2.9
  • CIS GCP Foundation 1.1: 2.9
  • CIS GCP Foundation 1.2: 2.9
  • CIS GCP Foundation 1.3: 2.9
  • CIS GCP Foundation 2.0: 2.9
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering") gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
Owner not monitored

Kategoriename in der API: OWNER_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.4
  • CIS GCP Foundation 1.1: 2.4
  • CIS GCP Foundation 1.2: 2.4
  • CIS GCP Foundation 1.3: 2.4
  • CIS GCP Foundation 2.0: 2.4
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
Route not monitored

Kategoriename in der API: ROUTE_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert") gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud SQL-Instanzen konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete" festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein

Ergebnisse zur Multi-Faktor-Authentifizierung

Der MFA_SCANNER-Detektor erkennt Sicherheitslücken bei der Multi-Faktor-Authentifizierung für Nutzer.

Detektor Fazit Asset-Scaneinstellungen
MFA not enforced

Kategoriename in der API: MFA_NOT_ENFORCED

Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden.

Sie können in Google Workspace einen Kulanzzeitraum für die Registrierung für neue Nutzer festlegen. in dem sie sich für die Bestätigung in zwei Schritten anmelden müssen. Dieser Detektor erstellt während des Kulanzzeitraums für die Registrierung Ergebnisse für Nutzer.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 1.2
  • CIS GCP Foundation 1.1: 1.2
  • CIS GCP Foundation 1.2: 1.2
  • CIS GCP Foundation 1.3: 1.2
  • CIS GCP Foundation 2.0: 1.2
  • NIST 800-53 R4: IA-2
  • PCI-DSS v3.2.1: 8.3
  • ISO-27001 v2013: A.9.4.2
  • ISO-27001 v2022: A.8.5

Wertet Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity aus.

  • Von Scans ausgeschlossene Assets: Organisationseinheiten, für die Ausnahmen von der Richtlinie gewährt wurden
  • Zusätzliche Eingaben: Liest Daten aus Google Workspace
  • Echtzeit-Scans: Nein

Ergebnisse zu Netzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Default network

Kategoriename in der API: DEFAULT_NETWORK

Ergebnisbeschreibung: Das Standardnetzwerk ist in einem Projekt vorhanden.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Network

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 3.1
  • CIS GCP Foundation 1.1: 3.1
  • CIS GCP Foundation 1.2: 3.1
  • CIS GCP Foundation 1.3: 3.1
  • CIS GCP Foundation 2.0: 3.1
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Prüft, ob das Attribut name in den Netzwerkmetadaten auf default gesetzt ist

  • Von Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist und Compute Engine-Ressourcen in einem eingefrorenen Zustand sind.
  • Echtzeit-Scans: Ja
DNS logging disabled

Kategoriename in der API: DNS_LOGGING_DISABLED

Ergebnisbeschreibung: Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Network
dns.googleapis.com/Policy

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 2.12
  • CIS GCP Foundation 1.3: 2.12
  • CIS GCP Foundation 2.0: 2.12
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2, 8.6

Prüft alle policies, die mit einem VPC-Netzwerk über das networks[].networkUrl-Feld verknüpft sind, und sucht nach mindestens einer Richtlinie, in der enableLogging auf true festgelegt ist.

  • Von Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist und Compute Engine-Ressourcen in einem eingefrorenen Zustand sind.
  • Echtzeit-Scans: Ja
Legacy network

Kategoriename in der API: LEGACY_NETWORK

Ergebnisbeschreibung: Ein Legacy-Netzwerk ist in einem Projekt vorhanden.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Network

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 3.2
  • CIS GCP Foundation 1.1: 3.2
  • CIS GCP Foundation 1.2: 3.2
  • CIS GCP Foundation 1.3: 3.2
  • CIS GCP Foundation 2.0: 3.2
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs IPv4Range.

  • Von Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist und Compute Engine-Ressourcen in einem eingefrorenen Zustand sind.
  • Echtzeit-Scans: Ja
Load balancer logging disabled

Kategoriename in der API: LOAD_BALANCER_LOGGING_DISABLED

Ergebnisbeschreibung: Logging ist für den Load-Balancer deaktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/BackendServices

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 2.0: 2.16
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2

Prüft, ob das Attribut enableLogging des Back-End-Dienstes für den Load-Balancer auf true eingestellt ist.

  • Echtzeit-Scans: Ja

Ergebnisse zu Sicherheitslücken in Organisationsrichtlinien

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY.

Detektor Fazit Asset-Scaneinstellungen
Org policy Confidential VM policy

Kategoriename in der API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien in Confidential VM durchsetzen.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet.

Prüft, ob das Attribut enableConfidentialCompute einer Compute Engine-Instanz auf true gesetzt ist.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen
  • Zusätzliche IAM-Berechtigungen: permissions/orgpolicy.policy.get
  • Zusätzliche Eingaben: Liest die geltende Organisationsrichtlinie aus dem Organisationsrichtliniendienst
  • Echtzeit-Scans: Nein
Org policy location restriction

Kategoriename in der API: ORG_POLICY_LOCATION_RESTRICTION

Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Einschränkung constraints/gcp.resourceLocations. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien durchsetzen.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
In der folgenden Zeile sehen Sie Unterstützte Assets für ORG_POLICY_LOCATION_RESTRICTION

Beheben dieses Ergebnis

Compliance standards:

Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet.

Prüft das Attribut listPolicy in den Metadaten der unterstützten Ressourcen auf eine Liste mit zulässigen oder abgelehnten Speicherorten.

  • Zusätzliche IAM-Berechtigungen: permissions/orgpolicy.policy.get
  • Zusätzliche Eingaben: Liest die geltende Organisationsrichtlinie aus dem Organisationsrichtliniendienst
  • Echtzeit-Scans: Nein

Unterstützte Assets für ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Protokollierung
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 Da Cloud KMS-Assets nicht gelöscht werden können, gilt das Asset nicht als außerhalb der Region, wenn die Daten des Assets zerstört wurden.

2 Da Cloud KMS-Importjobs einen gesteuerten Lebenszyklus haben und nicht vorzeitig beendet werden können, gilt ein ImportJob nicht als außerhalb der Region, wenn er abgelaufen ist und nicht mehr verwendet werden kann, um Schlüssel zu importieren.

3 Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, gilt ein Job nicht als außerhalb der Region, wenn er einen Endstatus (beendet oder per Drain beendet) erreicht hat, in dem er nicht mehr zur Verarbeitung von Daten verwendet werden kann.

Pub/Sub-Sicherheitslücken

Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Pub/Sub-Konfigurationen und gehören zum Typ PUBSUB_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Pubsub CMEK disabled

Kategoriename in der API: PUBSUB_CMEK_DISABLED

Ergebnisbeschreibung: Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
pubsub.googleapis.com/Topic

Beheben dieses Ergebnis

Compliance standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft das Feld kmsKeyName auf den Ressourcennamen Ihres CMEK.

  • Echtzeit-Scans: Ja

Ergebnisse zu SQL-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
AlloyDB auto backup disabled

Kategoriename in der API: ALLOYDB_AUTO_BACKUP_DISABLED

Ergebnisbeschreibung: Für einen AlloyDB for PostgreSQL-Cluster sind keine automatischen Sicherungen aktiviert.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance standards:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Prüft, ob das Attribut automated_backup_policy.enabled in den Metadaten eines AlloyDB for PostgreSQL-Clusters auf true festgelegt ist.

  • Aus Scans ausgeschlossene Assets: AlloyDB for PostgreSQL sekundär Cluster
  • Echtzeit-Scans: Ja
AlloyDB backups disabled

Kategoriename in der API: ALLOYDB_BACKUPS_DISABLED

Ergebnisbeschreibung: Für einen AlloyDB for PostgreSQL-Cluster sind keine Sicherungen aktiviert.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance standards:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Prüft, ob die automated_backup_policy.enabled- oder continuous_backup_policy.enabled-Attribute in den Metadaten eines AlloyDB for PostgreSQL-Clusters auf true festgelegt sind.

  • Aus Scans ausgeschlossene Assets: AlloyDB for PostgreSQL – sekundär Cluster
  • Echtzeit-Scans: Ja
AlloyDB CMEK disabled

Kategoriename in der API: ALLOYDB_CMEK_DISABLED

Ergebnisbeschreibung: Ein AlloyDB-Cluster ist nicht verschlüsselt mit vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs).

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Cluster

Beheben dieses Ergebnis

Compliance standards:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft das Feld encryption_type in den Clustermetadaten, um festzustellen, ob CMEK aktiviert ist.

  • Echtzeit-Scans: Ja
AlloyDB log min error statement severity

Kategoriename in der API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Ergebnisbeschreibung: Das Datenbank-Flag log_min_error_statement für ein AlloyDB for PostgreSQL Instanz ist nicht auf error oder einen anderen empfohlenen Wert festgelegt.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Instances

Beheben dieses Ergebnis

Compliance standards:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Damit alle Nachrichtentypen in den Protokollen abgedeckt sind, wird eine Meldung ausgegeben, wenn das Feld log_min_error_statement der Property databaseFlags nicht auf einen der folgenden Werte festgelegt ist: debug5, debug4, debug3, debug2, debug1, info, notice, warning oder den Standardwert error.

  • Echtzeit-Scans: Ja
AlloyDB log min messages

Kategoriename in der API: ALLOYDB_LOG_MIN_MESSAGES

Ergebnisbeschreibung: Das Datenbank-Flag log_min_messages für eine AlloyDB for PostgreSQL-Instanz ist nicht auf warning oder einen anderen empfohlenen Wert festgelegt.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Instances

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Damit alle Nachrichtentypen in den Protokollen abgedeckt sind, wird eine Meldung ausgegeben, wenn das Feld log_min_messages der Property databaseFlags nicht auf einen der folgenden Werte festgelegt ist: debug5, debug4, debug3, debug2, debug1, info, notice oder den Standardwert warning.

  • Echtzeit-Scans: Ja
AlloyDB log error verbosity

Kategoriename in der API: ALLOYDB_LOG_ERROR_VERBOSITY

Ergebnisbeschreibung: Das Datenbank-Flag log_error_verbosity für ein AlloyDB for PostgreSQL Instanz ist nicht auf default oder einen anderen empfohlenen Wert festgelegt.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Instances

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Um eine ausreichende Abdeckung der Nachrichtentypen in den Protokollen zu gewährleisten, wird eine Meldung ausgegeben, wenn das Feld log_error_verbosity der Property databaseFlags nicht auf einen der folgenden Werte festgelegt ist: verbose oder den Standardwert default.

  • Echtzeit-Scans: Ja
AlloyDB public IP

Kategoriename in der API: ALLOYDB_PUBLIC_IP

Ergebnisbeschreibung: Eine AlloyDB for PostgreSQL-Datenbankinstanz hat eine öffentliche IP-Adresse.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Instances

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Prüft, ob das Attribut instanceNetworkConfig enablePublicIp ist ist so konfiguriert, dass öffentliche IP-Adressen zugelassen werden.

  • Echtzeit-Scans: Ja
AlloyDB SSL not enforced

Kategoriename in der API: ALLOYDB_SSL_NOT_ENFORCED

Ergebnisbeschreibung: Für eine AlloyDB for PostgreSQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Instances

Beheben dieses Ergebnis

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Prüfen Sie, ob das Attribut sslMode der AlloyDB for PostgreSQL-Instanz geprüft wird ist auf ENCRYPTED_ONLY festgelegt.

  • Echtzeit-Scans: Ja
Auto backup disabled

Kategoriename in der API: AUTO_BACKUP_DISABLED

Ergebnisbeschreibung: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.1: 6.7
  • CIS GCP Foundation 1.2: 6.7
  • CIS GCP Foundation 1.3: 6.7
  • CIS GCP Foundation 2.0: 6.7
  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)
  • CIS Controls 8.0: 11.2

Prüft, ob das Attribut backupConfiguration.enabled von Cloud SQL-Daten auf true festgelegt ist.

  • Von Scans ausgeschlossene Assets: Cloud SQL-Replikate
  • Zusätzliche Eingaben: Liest IAM-Zulassungsrichtlinien für Ancestors aus dem Asset-Speicher von Security Health Analytics
  • Echtzeit-Scans: Ja
Public SQL instance

Kategoriename in der API: PUBLIC_SQL_INSTANCE

Ergebnisbeschreibung: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen.

Preisstufe: Premium oder Standard

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.0: 6.2
  • CIS GCP Foundation 1.1: 6.5
  • CIS GCP Foundation 1.2: 6.5
  • CIS GCP Foundation 1.3: 6.5
  • CIS GCP Foundation 2.0: 6.5
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft, ob für das Attribut authorizedNetworks von Cloud SQL-Instanzen eine einzelne IP-Adresse oder ein IP-Adressbereich festgelegt ist.

  • Echtzeit-Scans: Ja
SSL not enforced

Kategoriename in der API: SSL_NOT_ENFORCED

Ergebnisbeschreibung: Für eine Cloud SQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden.

Preisstufe: Premium oder Standard

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Prüft, ob das Attribut sslMode der Cloud SQL-Instanz auf einen genehmigten SSL-Modus festgelegt ist, entweder ENCRYPTED_ONLY oder TRUSTED_CLIENT_CERTIFICATE_REQUIRED.

  • Echtzeit-Scans: Ja
SQL CMEK disabled

Kategoriename in der API: SQL_CMEK_DISABLED

Ergebnisbeschreibung: Eine SQL-Datenbankinstanz wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft das Feld kmsKeyName im Objekt diskEncryptionKey in den Instanzmetadaten auf den Ressourcennamen Ihres CMEK.

  • Echtzeit-Scans: Ja
SQL contained database authentication

Kategoriename in der API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Ergebnisbeschreibung: Das Datenbank-Flag contained database authentication für eine Cloud SQL for SQL Server-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.1: 6.3.2
  • CIS GCP Foundation 1.2: 6.3.7
  • CIS GCP Foundation 1.3: 6.3.7
  • CIS GCP Foundation 2.0: 6.3.7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft das Attribut databaseFlags der Instanzmetadaten für das Schlüssel/Wert-Paar "name": "contained database authentication", "value": "on" oder ob es standardmäßig aktiviert ist.

  • Echtzeit-Scans: Ja
SQL cross DB ownership chaining

Kategoriename in der API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Ergebnisbeschreibung: Das Datenbank-Flag cross_db_ownership_chaining für eine Cloud SQL for SQL Server-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.3.1
  • CIS GCP Foundation 1.2: 6.3.2
  • CIS GCP Foundation 1.3: 6.3.2
  • CIS GCP Foundation 2.0: 6.3.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "cross_db_ownership_chaining", "value": "on".

  • Echtzeit-Scans: Ja
SQL external scripts enabled

Kategoriename in der API: SQL_EXTERNAL_SCRIPTS_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag external scripts enabled für eine Cloud SQL for SQL Server-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.2: 6.3.1
  • CIS GCP Foundation 1.3: 6.3.1
  • CIS GCP Foundation 2.0: 6.3.1
  • NIST 800-53 R5: CM-7, SI-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3
  • NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3
  • SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4
  • CIS Controls 8.0: 2.7

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "external scripts enabled", "value": "off".

  • Echtzeit-Scans: Ja
SQL local infile

Kategoriename in der API: SQL_LOCAL_INFILE

Ergebnisbeschreibung: Das Datenbank-Flag local_infile für eine Cloud SQL for MySQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.1.2
  • CIS GCP Foundation 1.2: 6.1.3
  • CIS GCP Foundation 1.3: 6.1.3
  • CIS GCP Foundation 2.0: 6.1.3
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 2.2.1
  • ISO-27001 v2022: A.8.8
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • CIS Controls 8.0: 16.7

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "local_infile", "value": "on".

  • Echtzeit-Scans: Ja
SQL log checkpoints disabled

Kategoriename in der API: SQL_LOG_CHECKPOINTS_DISABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_checkpoints für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.2.1
  • CIS GCP Foundation 1.2: 6.2.1

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_checkpoints", "value": "on".

  • Echtzeit-Scans: Ja
SQL log connections disabled

Kategoriename in der API: SQL_LOG_CONNECTIONS_DISABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_connections für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.1: 6.2.2
  • CIS GCP Foundation 1.2: 6.2.3
  • CIS GCP Foundation 1.3: 6.2.2
  • CIS GCP Foundation 2.0: 6.2.2
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_connections", "value": "on".

  • Echtzeit-Scans: Ja
SQL log disconnections disabled

Kategoriename in der API: SQL_LOG_DISCONNECTIONS_DISABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_disconnections für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.1: 6.2.3
  • CIS GCP Foundation 1.2: 6.2.4
  • CIS GCP Foundation 1.3: 6.2.3
  • CIS GCP Foundation 2.0: 6.2.3
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_disconnections", "value": "on".

  • Echtzeit-Scans: Ja
SQL log duration disabled

Kategoriename in der API: SQL_LOG_DURATION_DISABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_duration für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.5

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_duration", "value": "on".

  • Echtzeit-Scans: Ja
SQL log error verbosity

Kategoriename in der API: SQL_LOG_ERROR_VERBOSITY

Ergebnisbeschreibung: Das Datenbank-Flag log_error_verbosity für ein Cloud SQL for PostgreSQL-Instanz ist nicht auf default oder verbose festgelegt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.2: 6.2.2
  • CIS GCP Foundation 1.3: 6.2.1
  • CIS GCP Foundation 2.0: 6.2.1
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_error_verbosity-Feld auf default oder verbose festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log lock waits disabled

Kategoriename in der API: SQL_LOG_LOCK_WAITS_DISABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_lock_waits für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.2.4
  • CIS GCP Foundation 1.2: 6.2.6

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_lock_waits", "value": "on".

  • Echtzeit-Scans: Ja
SQL log min duration statement enabled

Kategoriename in der API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_min_duration_statement für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf "-1" gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.1: 6.2.7
  • CIS GCP Foundation 1.2: 6.2.16
  • CIS GCP Foundation 1.3: 6.2.8
  • CIS GCP Foundation 2.0: 6.2.7
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_min_duration_statement", "value": "-1".

  • Echtzeit-Scans: Ja
SQL log min error statement

Kategoriename in der API: SQL_LOG_MIN_ERROR_STATEMENT

Ergebnisbeschreibung: Das Datenbank-Flag log_min_error_statement für eine Cloud SQL for PostgreSQL-Instanz ist nicht richtig festgelegt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.2.5

Prüft, ob das Feld log_min_error_statement des Attributs databaseFlags auf einen der folgenden Werte festgelegt ist: debug5, debug4, debug3, debug2, debug1, info, notice, warning oder den Standardwert error.

  • Echtzeit-Scans: Ja
SQL log min error statement severity

Kategoriename in der API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Ergebnisbeschreibung: Das Datenbank-Flag log_min_error_statement für eine Cloud SQL for PostgreSQL-Instanz hat keinen geeigneten Schweregrad.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.2: 6.2.14
  • CIS GCP Foundation 1.3: 6.2.7
  • CIS GCP Foundation 2.0: 6.2.6
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Prüft, ob das log_min_error_statement-Feld des databaseFlags-Attributs auf einen der folgenden Werte gesetzt ist: error, log, fatal oder panic.

  • Echtzeit-Scans: Ja
SQL log min messages

Kategoriename in der API: SQL_LOG_MIN_MESSAGES

Ergebnisbeschreibung: Das Datenbank-Flag log_min_messages für Cloud SQL for PostgreSQL Instanz ist nicht auf warning oder einen anderen empfohlenen Wert festgelegt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.2: 6.2.13
  • CIS GCP Foundation 1.3: 6.2.6
  • CIS GCP Foundation 2.0: 6.2.5
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Damit alle Nachrichtentypen in den Protokollen abgedeckt sind, wird eine Meldung ausgegeben, wenn das Feld log_min_messages der Property databaseFlags nicht auf einen der folgenden Werte festgelegt ist: debug5, debug4, debug3, debug2, debug1, info, notice oder den Standardwert warning.

  • Echtzeit-Scans: Ja
SQL log executor stats enabled

Kategoriename in der API: SQL_LOG_EXECUTOR_STATS_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_executor_stats für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.11

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_executor_stats-Feld auf on festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log hostname enabled

Kategoriename in der API: SQL_LOG_HOSTNAME_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_hostname für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.8

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_hostname-Feld auf on festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log parser stats enabled

Kategoriename in der API: SQL_LOG_PARSER_STATS_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_parser_stats für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.2: 6.2.9

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_parser_stats-Feld auf on festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log planner stats enabled

Kategoriename in der API: SQL_LOG_PLANNER_STATS_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_planner_stats für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.10

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_planner_stats-Feld auf on festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log statement

Kategoriename in der API: SQL_LOG_STATEMENT

Ergebnisbeschreibung: Das Datenbank-Flag log_statement für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf ddl (alle Datendefinitionsanweisungen) gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.7
  • CIS GCP Foundation 1.3: 6.2.4
  • CIS GCP Foundation 2.0: 6.2.4
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_statement-Feld auf ddl festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log statement stats enabled

Kategoriename in der API: SQL_LOG_STATEMENT_STATS_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_statement_stats für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.2: 6.2.12

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_statement_stats-Feld auf on festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log temp files

Kategoriename in der API: SQL_LOG_TEMP_FILES

Ergebnisbeschreibung: Das Datenbank-Flag log_temp_files für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf "0" gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.1: 6.2.6
  • CIS GCP Foundation 1.2: 6.2.15

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_temp_files", "value": "0".

  • Echtzeit-Scans: Ja
SQL no root password

Kategoriename in der API: SQL_NO_ROOT_PASSWORD

Ergebnisbeschreibung:Eine Cloud SQL-Datenbank mit dass eine öffentliche IP-Adresse das für das Root-Konto konfiguriert ist. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS GCP Foundation 1.0: 6.3
  • CIS GCP Foundation 1.1: 6.1.1
  • CIS GCP Foundation 1.2: 6.1.1
  • CIS GCP Foundation 1.3: 6.1.1
  • CIS GCP Foundation 2.0: 6.1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 2.1
  • ISO-27001 v2013: A.8.2.3, A.9.4.2
  • ISO-27001 v2022: A.8.5

Prüft, ob das Attribut rootPassword des Root-Kontos leer ist.

  • Zusätzliche IAM-Berechtigungen: roles/cloudsql.client
  • Zusätzliche Eingaben: Fragt Live-Instanzen ab
  • Echtzeit-Scans: Nein
SQL public IP

Kategoriename in der API: SQL_PUBLIC_IP

Ergebnisbeschreibung: Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.6
  • CIS GCP Foundation 1.2: 6.6
  • CIS GCP Foundation 1.3: 6.6
  • CIS GCP Foundation 2.0: 6.2.9, 6.6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Prüft, ob der IP-Adresstyp einer Cloud SQL-Datenbank auf Primary festgelegt ist, um anzugeben, dass sie öffentlich ist.

  • Echtzeit-Scans: Ja
SQL remote access enabled

Kategoriename in der API: SQL_REMOTE_ACCESS_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag remote access für eine Cloud SQL for SQL Server-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.3.5
  • CIS GCP Foundation 1.3: 6.3.5
  • CIS GCP Foundation 2.0: 6.3.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "remote access", "value": "off".

  • Echtzeit-Scans: Ja
SQL skip show database disabled

Kategoriename in der API: SQL_SKIP_SHOW_DATABASE_DISABLED

Ergebnisbeschreibung: Das Datenbank-Flag skip_show_database für eine Cloud SQL for MySQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.1.2
  • CIS GCP Foundation 1.3: 6.1.2
  • CIS GCP Foundation 2.0: 6.1.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "skip_show_database", "value": "on".

  • Echtzeit-Scans: Ja
SQL trace flag 3625

Kategoriename in der API: SQL_TRACE_FLAG_3625

Ergebnisbeschreibung: Das Datenbank-Flag 3625 (trace flag) für eine Cloud SQL for SQL Server-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.2: 6.3.6
  • CIS GCP Foundation 2.0: 6.3.6
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "3625 (trace flag)", "value": "on".

  • Echtzeit-Scans: Ja
SQL user connections configured

Kategoriename in der API: SQL_USER_CONNECTIONS_CONFIGURED

Ergebnisbeschreibung: Das Datenbank-Flag user connections für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.2: 6.3.3
  • CIS GCP Foundation 1.3: 6.3.3
  • CIS GCP Foundation 2.0: 6.3.3
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "user connections", "value": "0".

  • Echtzeit-Scans: Ja
SQL user options configured

Kategoriename in der API: SQL_USER_OPTIONS_CONFIGURED

Ergebnisbeschreibung: Das Datenbank-Flag user options für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.3.4
  • CIS GCP Foundation 1.3: 6.3.4
  • CIS GCP Foundation 2.0: 6.3.4
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Prüft das Attribut databaseFlags von Instanzmetadaten auf das Schlüssel/Wert-Paar "name": "user options", "value": "" (leer).

  • Echtzeit-Scans: Ja
SQL weak root password

Kategoriename in der API: SQL_WEAK_ROOT_PASSWORD

Ergebnisbeschreibung:Eine Cloud SQL-Datenbank mit Eine öffentliche IP-Adresse hat auch ein schwaches Passwort für das Root-Konto konfiguriert ist. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance standards:

Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet.

Vergleicht das Passwort für das Root-Konto der Cloud SQL-Datenbank mit einer Liste gängiger Passwörter.

  • Zusätzliche IAM-Berechtigungen: roles/cloudsql.client
  • Zusätzliche Eingaben: Fragt Live-Instanzen ab
  • Echtzeit-Scans: Nein

Ergebnisse zu Speichersicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Bucket CMEK disabled

Kategoriename in der API: BUCKET_CMEK_DISABLED

Ergebnisbeschreibung: Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Beheben dieses Ergebnis

Compliance standards:

Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet.

Prüft das Feld encryption in Bucket-Metadaten auf den Ressourcennamen Ihres CMEK.

  • Echtzeit-Scans: Ja
Bucket policy only disabled

Kategoriename in der API: BUCKET_POLICY_ONLY_DISABLED

Ergebnisbeschreibung: Der einheitliche Zugriff auf Bucket-Ebene, zuvor "Nur Bucket-Richtlinie" genannt, ist nicht konfiguriert.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Beheben dieses Ergebnis

Compliance-Standards:

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft, ob das Attribut uniformBucketLevelAccess für einen Bucket auf "enabled":false gesetzt ist.

  • Echtzeit-Scans: Ja
Public bucket ACL

Kategoriename in der API: PUBLIC_BUCKET_ACL

Ergebnisbeschreibung: Ein Cloud Storage-Bucket ist öffentlich zugänglich.

Preisstufe: Premium oder Standard

Unterstützte Assets
storage.googleapis.com/Bucket

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft die IAM-Zulassungsrichtlinie eines Buckets auf öffentliche Rollen, allUsers oder allAuthenticatedUsers.

  • Echtzeit-Scans: Ja
Public log bucket

Kategoriename in der API: PUBLIC_LOG_BUCKET

Ergebnisbeschreibung: Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Preisstufe: Premium oder Standard

Unterstützte Assets
storage.googleapis.com/Bucket

Beheben dieses Ergebnis

Compliance standards:

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

Prüft die IAM-Zulassungsrichtlinie eines Buckets für die Hauptkonten allUsers oder allAuthenticatedUsers, die öffentlichen Zugriff gewähren.

  • Zusätzliche Eingaben: Liest die Logsenke (den Logfilter und das Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt.
  • Echtzeit-Scans: Ja, aber nur wenn sich die IAM-Richtlinie für den Bucket ändert, nicht wenn die Logsenke geändert wird

Ergebnisse zu Subnetzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Flow logs disabled

Kategoriename in der API: FLOW_LOGS_DISABLED

Ergebnisbeschreibung: In einem VPC-Subnetzwerk sind Flusslogs deaktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Subnetwork

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 3.9
  • CIS GCP Foundation 1.1: 3.8
  • CIS GCP Foundation 1.2: 3.8
  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Prüft, ob das Attribut enableFlowLogs von Compute Engine-Subnetzwerken fehlt oder auf false gesetzt ist.

  • Von Scans ausgeschlossene Assets: Serverloser VPC-Zugriff, Load-Balancer-Subnetzwerke
  • Echtzeit-Scans: Ja

Ergebnisbeschreibung: In einem VPC-Subnetzwerk sind VPC-Flusslogs entweder deaktiviert oder nicht gemäß CIS Benchmark 1.3-Empfehlungen konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Subnetwork

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.3: 3.8
  • CIS GCP Foundation 2.0: 3.8
  • NIST 800-53 R5: SI-4
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS Controls 8.0: 13.6, 8.2

Prüft, ob das Attribut enableFlowLogs von VPC-Subnetzwerken fehlt oder auf false gesetzt ist. Wenn VPC-Flusslogs aktiviert sind, prüft das Attribut Aggregation Interval, das auf 5 SEC festgelegt ist, Include metadata auf true festgelegt, Sample rate zu 100%.

  • Von Scans ausgeschlossene Assets: Serverloser VPC-Zugriff, Load-Balancer-Subnetzwerke
  • Echtzeit-Scans: Ja
Private Google access disabled

Kategoriename in der API: PRIVATE_GOOGLE_ACCESS_DISABLED

Ergebnisbeschreibung: Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Beheben dieses Ergebnis

Compliance standards:

  • CIS GCP Foundation 1.0: 3.8

Prüft, ob das Attribut privateIpGoogleAccess von Compute Engine-Subnetzwerken auf false gesetzt ist.

  • Echtzeit-Scans: Ja

AWS-Ergebnisse

Detektor Fazit Asset-Scaneinstellungen

AWS Cloud Shell Full Access Restricted

Kategoriename in der API: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

Ergebnisbeschreibung:

AWS CloudShell ist eine praktische Möglichkeit, Befehle für die Befehlszeile für AWS-Dienste auszuführen. Eine verwaltete IAM-Richtlinie (AWSCloudShellFullAccess) gewährt vollen Zugriff auf CloudShell, was das Hoch- und Herunterladen von Dateien zwischen dem lokalen System eines Nutzers und der CloudShell-Umgebung ermöglicht. In der Cloud Shell-Umgebung verfügt ein Nutzer über sudo-Berechtigungen und kann auf das Internet zugreifen. So ist es beispielsweise möglich, Software zur Dateiübertragung zu installieren und Daten von CloudShell auf externe Internetserver zu verschieben.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS AWS Foundation 2.0.0: 1.22

Achten Sie darauf, dass der Zugriff auf AWSCloudShellFullAccess eingeschränkt ist

  • Echtzeit-Scans: Nein

Access Keys Rotated Every 90 Days or Less

Kategoriename in der API: ACCESS_KEYS_ROTATED_90_DAYS_LESS

Ergebnisbeschreibung:

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, die zum Signieren programmatischer Anfragen an AWS verwendet werden. AWS-Nutzer benötigen eigene Zugriffsschlüssel, um AWS programmatisch über die AWS-Befehlszeile, Tools für Windows PowerShell, die AWS SDKs oder direkte HTTP-Aufrufe mithilfe der APIs für einzelne AWS-Dienste aufzurufen. Es wird empfohlen, alle Zugriffsschlüssel regelmäßig zu rotieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4
  • CIS AWS Foundation 2.0.0: 1.14
  • CIS Controls 8.0: 5

Achten Sie darauf, dass Zugriffsschlüssel mindestens alle 90 Tage rotiert werden

  • Echtzeit-Scans: Nein

All Expired Ssl Tls Certificates Stored Aws Iam Removed

Kategoriename in der API: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Ergebnisbeschreibung:

Um HTTPS-Verbindungen zu Ihrer Website oder Anwendung in AWS zu ermöglichen, benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können ACM oder IAM verwenden, um Serverzertifikate zu speichern und bereitzustellen.
Verwenden Sie IAM nur als Zertifikatsmanager, wenn Sie HTTPS-Verbindungen in einer Region unterstützen müssen, die von ACM nicht unterstützt wird. IAM verschlüsselt Ihre privaten Schlüssel sicher und speichert die verschlüsselte Version im IAM-SSL-Zertifikatsspeicher. IAM unterstützt die Bereitstellung von Serverzertifikaten in allen Regionen. Sie müssen Ihr Zertifikat zur Verwendung mit AWS jedoch von einem externen Anbieter erhalten. Sie können kein ACM-Zertifikat in IAM hochladen. Außerdem können Sie Ihre Zertifikate nicht über die IAM Console verwalten.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AU-11, CM-12, SI-12
  • PCI-DSS v4.0: 9.4.2
  • ISO-27001 v2022: A.5.10, A.5.9, A.8.1
  • Cloud Controls Matrix 4: DSP-01
  • NIST Cybersecurity Framework 1.0: PR-IP-6
  • CIS AWS Foundation 2.0.0: 1.19
  • CIS Controls 8.0: 3.1

Achten Sie darauf, dass alle abgelaufenen SSL-/TLS-Zertifikate entfernt werden, die in AWS IAM gespeichert sind

  • Echtzeit-Scans: Nein

Autoscaling Group Elb Healthcheck Required

Kategoriename in der API: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Ergebnisbeschreibung:

Hier wird geprüft, ob Ihre Autoscaling-Gruppen, die mit einem Load Balancer verknüpft sind, Elastic Load Balancing-Systemdiagnosen verwenden.

Dadurch wird sichergestellt, dass die Gruppe den Zustand einer Instanz anhand zusätzlicher Tests ermitteln kann, die vom Load-Balancer bereitgestellt werden. Die Verwendung von Systemdiagnosen für Elastic Load Balancing kann die Verfügbarkeit von Anwendungen unterstützen, die EC2-Autoscaling-Gruppen verwenden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-2

Prüfen Sie, ob alle mit einem Load Balancer verknüpften Autoscaling-Gruppen Systemdiagnosen verwenden

  • Echtzeit-Scans: Nein

Auto Minor Version Upgrade Feature Enabled Rds Instances

Kategoriename in der API: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Ergebnisbeschreibung:

Achten Sie darauf, dass für RDS-Datenbankinstanzen das Flag „Auto Minor Version Upgrade“ aktiviert ist, damit während des angegebenen Wartungszeitraums automatisch Engine-Nebenversionen installiert werden. So erhalten RDS-Instanzen die neuen Funktionen, Fehlerkorrekturen und Sicherheitspatches für ihre Datenbank-Engines.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: RA-5, RA-7, SI-2
  • ISO-27001 v2022: A.8.8
  • Cloud Controls Matrix 4: UEM-03
  • NIST Cybersecurity Framework 1.0: ID-RA-1
  • SOC2 v2017: CC7.1.1, CC7.1.2, CC7.1.3, CC7.1.4, CC7.1.5
  • CIS AWS Foundation 2.0.0: 2.3.2
  • CIS Controls 8.0: 7.4

Achten Sie darauf, dass das automatische Upgrade von Nebenversionen für RDS-Instanzen aktiviert ist

  • Echtzeit-Scans: Nein

Aws Config Enabled All Regions

Kategoriename in der API: AWS_CONFIG_ENABLED_ALL_REGIONS

Ergebnisbeschreibung:

AWS Config ist ein Webdienst, der die Konfigurationsverwaltung unterstützter AWS-Ressourcen in Ihrem Konto ausführt und Ihnen Protokolldateien bereitstellt. Die aufgezeichneten Informationen umfassen das Konfigurationselement (AWS-Ressource), Beziehungen zwischen Konfigurationselementen (AWS-Ressourcen) und alle Konfigurationsänderungen zwischen Ressourcen. Wir empfehlen, AWS Config in allen Regionen zu aktivieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS AWS Foundation 2.0.0: 3.5
  • CIS Controls 8.0: 1.1

Achten Sie darauf, dass AWS Config in allen Regionen aktiviert ist

  • Echtzeit-Scans: Nein

Aws Security Hub Enabled

Kategoriename in der API: AWS_SECURITY_HUB_ENABLED

Ergebnisbeschreibung:

Der Sicherheits-Hub erfasst Sicherheitsdaten aus AWS-Konten, ‑Diensten und unterstützten Drittanbieterprodukten und hilft Ihnen, Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität zu identifizieren. Wenn Sie Security Hub aktivieren, werden Ergebnisse aus aktivierten AWS-Diensten wie Amazon GuardDuty, Amazon Inspector und Amazon Macie erfasst, zusammengefasst, organisiert und priorisiert. Sie können auch Integrationen in Sicherheitsprodukte von AWS-Partnern aktivieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: CA-7
  • PCI-DSS v3.2.1: 11.5
  • CIS AWS Foundation 2.0.0: 4.16

Achten Sie darauf, dass AWS Security Hub aktiviert ist

  • Echtzeit-Scans: Nein

Cloudtrail Logs Encrypted Rest Using Kms Cmks

Kategoriename in der API: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

Ergebnisbeschreibung:

AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe für ein Konto aufzeichnet und diese Logs Nutzern und Ressourcen gemäß IAM-Richtlinien zur Verfügung stellt. Der AWS Key Management Service (KMS) ist ein verwalteter Dienst, mit dem Sie die Verschlüsselungsschlüssel zum Verschlüsseln von Kontodaten erstellen und steuern können. Er verwendet Hardware Security Modules (HSMs), um die Sicherheit der Verschlüsselungsschlüssel zu schützen. CloudTrail-Logs können so konfiguriert werden, dass sie die serverseitige Verschlüsselung (SSE) und vom Kunden erstellte KMS-Masterschlüssel (Customer-Managed Master Keys, CMK) nutzen, um CloudTrail-Logs weiter zu schützen. Es wird empfohlen, CloudTrail für die Verwendung von SSE-KMS zu konfigurieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.7
  • CIS Controls 8.0: 3.11

Achten Sie darauf, dass CloudTrail-Logs im Ruhezustand mit KMS-CMKs verschlüsselt werden

  • Echtzeit-Scans: Nein

Cloudtrail Log File Validation Enabled

Kategoriename in der API: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

Ergebnisbeschreibung:

Bei der Validierung der CloudTrail-Logdatei wird eine digital signierte Digestdatei erstellt, die einen Hash jedes Logs enthält, das CloudTrail in S3 schreibt. Anhand dieser Dateien lässt sich feststellen, ob eine Logdatei nach der Übermittlung durch CloudTrail geändert, gelöscht oder unverändert geblieben ist. Es wird empfohlen, die Dateivalidierung für alle CloudTrails zu aktivieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AU-6, AU-7, SI-7(7)
  • PCI-DSS v3.2.1: 11.5
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS AWS Foundation 2.0.0: 3.2
  • CIS Controls 8.0: 8.11

Achten Sie darauf, dass die Validierung der CloudTrail-Logdatei aktiviert ist

  • Echtzeit-Scans: Nein

Cloudtrail Trails Integrated Cloudwatch Logs

Kategoriename in der API: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

Ergebnisbeschreibung:

AWS CloudTrail ist ein Webdienst, mit dem AWS API-Aufrufe in einem bestimmten AWS-Konto aufgezeichnet werden. Zu den aufgezeichneten Informationen gehören die Identität des API-Aufrufers, die Uhrzeit des API-Aufrufs, die Quell-IP-Adresse des API-Aufrufers, die Anfrageparameter und die Antwortelemente, die vom AWS-Dienst zurückgegeben werden. CloudTrail verwendet Amazon S3 für die Speicherung und Übermittlung von Protokolldateien. Protokolldateien werden daher dauerhaft gespeichert. Sie können CloudTrail-Logs nicht nur in einem bestimmten S3-Bucket für die langfristige Analyse erfassen, sondern auch Echtzeitanalysen durchführen, indem Sie CloudTrail so konfigurieren, dass Logs an CloudWatch-Logs gesendet werden. Wenn ein Pfad in allen Regionen eines Kontos aktiviert ist, sendet CloudTrail Protokolldateien aus allen diesen Regionen an eine CloudWatch Logs-Protokollgruppe. Es wird empfohlen, CloudTrail-Logs an CloudWatch-Logs zu senden.

Hinweis: Mit dieser Empfehlung soll sichergestellt werden, dass AWS-Kontoaktivitäten erfasst, überwacht und bei Bedarf entsprechend alarmiert werden. CloudWatch Logs bietet hierfür eine native Möglichkeit mithilfe von AWS-Diensten, schließt die Verwendung einer alternativen Lösung jedoch nicht aus.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS AWS Foundation 2.0.0: 3.4
  • CIS Controls 8.0: 8.5, 8.9

Achten Sie darauf, dass CloudTrail-Pfade in CloudWatch-Logs eingebunden sind

  • Echtzeit-Scans: Nein

Cloudwatch Alarm Action Check

Kategoriename in der API: CLOUDWATCH_ALARM_ACTION_CHECK

Ergebnisbeschreibung:

Hiermit wird geprüft, ob bei Amazon Cloudwatch Aktionen definiert wurden, wenn ein Alarm zwischen den Status „OK“ und „ALARM“ wechselt und "INSUFFICIENT_DATA".

Es ist sehr wichtig, Aktionen für den ALARM-Status in Amazon CloudWatch-Benachrichtigungen zu konfigurieren, um eine sofortige Reaktion auszulösen, wenn die überwachten Messwerte Schwellenwerte überschreiten.
Er sorgt für eine schnelle Problemlösung, reduziert Ausfallzeiten und ermöglicht automatische Problembehebungen, die Aufrechterhaltung des Systemzustands und die Vermeidung von Ausfällen.

Wecker haben mindestens eine Aktion.
Ein Wecker hat mindestens eine Aktion, wenn er auf "INSUFFICIENT_DATA" wechselt. aus einem anderen Bundesstaat stammen.
Optional: Alarme haben mindestens eine Aktion, wenn der Alarm von einem anderen Status in den Status „OK“ wechselt.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-20

Prüfen Sie, ob für CloudWatch-Alarme mindestens eine Alarmaktion, eine INSUFFICIENT_DATA-Aktion oder eine OK-Aktion aktiviert ist.

  • Echtzeit-Scans: Nein

Cloudwatch Log Group Encrypted

Kategoriename in der API: CLOUDWATCH_LOG_GROUP_ENCRYPTED

Ergebnisbeschreibung:

Mit dieser Prüfung wird sichergestellt, dass CloudWatch-Protokolle mit KMS konfiguriert sind.

Loggruppendaten werden in CloudWatch-Logs immer verschlüsselt. Standardmäßig verwendet CloudWatch Logs für die inaktiven Logdaten die serverseitige Verschlüsselung. Alternativ können Sie AWS Key Management Service für diese Verschlüsselung verwenden. In diesem Fall erfolgt die Verschlüsselung mit einem AWS KMS-Schlüssel. Die Verschlüsselung mit AWS KMS wird auf Protokollgruppenebene aktiviert, indem Sie einer Protokollgruppe einen KMS-Schlüssel zuweisen, entweder beim Erstellen der Protokollgruppe oder danach.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 3.4

Prüfen Sie, ob alle Loggruppen in Amazon CloudWatch-Logs mit KMS verschlüsselt sind

  • Echtzeit-Scans: Nein

CloudTrail CloudWatch Logs Enabled

Kategoriename in der API: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Ergebnisbeschreibung:

Diese Steuerung prüft, ob CloudTrail-Pfade für das Senden von Logs an CloudWatch-Logs konfiguriert sind. Das Steuerelement schlägt fehl, wenn die Eigenschaft „CloudWatchLogsLogGroupArn“ des Pfads leer ist.

CloudTrail zeichnet AWS API-Aufrufe auf, die in einem bestimmten Konto getätigt werden. Zu den aufgezeichneten Informationen gehören:

  • Die Identität des API-Aufrufers
  • Der Zeitpunkt des API-Aufrufs
  • Die Quell-IP-Adresse des API-Aufrufers
  • Die Anfrageparameter
  • Die vom AWS-Dienst zurückgegebenen Antwortelemente

CloudTrail verwendet Amazon S3 zum Speichern und Bereitstellen von Logdateien. Sie können CloudTrail-Logs zur Langzeitanalyse in einem bestimmten S3-Bucket erfassen. Wenn Sie eine Echtzeitanalyse durchführen möchten, können Sie CloudTrail so konfigurieren, dass Protokolle an CloudWatch Logs gesendet werden.

Für einen Weg, der in allen Regionen in einem Konto aktiviert ist, sendet CloudTrail Protokolldateien aus allen diesen Regionen an eine CloudWatch Logs-Loggruppe.

Security Hub empfiehlt, CloudTrail-Protokolle an CloudWatch-Protokolle zu senden. Diese Empfehlung soll dafür sorgen, dass Kontoaktivitäten erfasst, überwacht und bei Bedarf entsprechend alarmiert werden. Sie können CloudWatch-Logs verwenden, um dies mit Ihren AWS-Diensten einzurichten. Diese Empfehlung schließt die Verwendung einer anderen Lösung nicht aus.

Das Senden von CloudTrail-Logs an CloudWatch-Logs ermöglicht das Logging von Aktivitäten in Echtzeit und des Verlaufs basierend auf Nutzer, API, Ressource und IP-Adresse. Auf diese Weise können Sie Alarme und Benachrichtigungen für ungewöhnliche oder empfindliche Kontoaktivitäten einrichten.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-20
  • PCI-DSS v3.2.1: 10.5.3

Prüfen Sie, ob alle CloudTrail-Pfade für das Senden von Logs an AWS CloudWatch konfiguriert sind

  • Echtzeit-Scans: Nein

No AWS Credentials in CodeBuild Project Environment Variables

Kategoriename in der API: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Ergebnisbeschreibung:

Damit wird geprüft, ob das Projekt die Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY enthält.

Authentifizierungsdaten für AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY sollten niemals als Klartext gespeichert werden, da dies zu einer unbeabsichtigten Datenpanne und zu unbefugten Zugriffen führen kann.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: IA-5, SA-3

Prüfen Sie, ob alle Projekte, die die Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY enthalten, nicht im Klartext vorliegen

  • Echtzeit-Scans: Nein

Codebuild Project Source Repo Url Check

Kategoriename in der API: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Ergebnisbeschreibung:

Hier wird geprüft, ob die URL des Bitbucket-Quellrepositories eines AWS CodeBuild-Projekts persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Die Kontrolle schlägt fehl, wenn die Bitbucket-Quell-Repository-URL persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält.

Anmeldedaten dürfen nicht im Klartext gespeichert oder übertragen werden und dürfen nicht in der URL des Quell-Repositorys erscheinen. Anstelle von persönlichen Zugriffstokens oder Anmeldedaten sollten Sie in CodeBuild auf Ihren Quellanbieter zugreifen und die URL des Quell-Repositorys so ändern, dass sie nur den Pfad zum Speicherort des Bitbucket-Repositorys enthält. Die Verwendung von persönlichen Zugriffstokens oder Anmeldedaten kann zu unbeabsichtigten Datenlecks oder unbefugtem Zugriff führen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet.

Prüfen Sie, ob alle Projekte, die GitHub oder Bitbucket als Quelle nutzen, OAuth verwenden

  • Echtzeit-Scans: Nein

Credentials Unused 45 Days Greater Disabled

Kategoriename in der API: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

Ergebnisbeschreibung:

AWS IAM-Nutzer können mit verschiedenen Anmeldedaten wie Passwörtern oder Zugriffsschlüsseln auf AWS-Ressourcen zugreifen. Wir empfehlen, alle Anmeldedaten zu deaktivieren oder zu entfernen, die seit mindestens 45 Tagen nicht verwendet wurden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AC-2
  • PCI-DSS v4.0: 8.3.7
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • CIS AWS Foundation 2.0.0: 1.12
  • CIS Controls 8.0: 5.3

Achten Sie darauf, dass Anmeldedaten, die seit mindestens 45 Tagen nicht verwendet wurden, deaktiviert werden

  • Echtzeit-Scans: Nein

Default Security Group Vpc Restricts All Traffic

Kategoriename in der API: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

Ergebnisbeschreibung:

Eine VPC wird mit einer Standardsicherheitsgruppe geliefert, deren anfängliche Einstellungen den gesamten eingehenden Traffic ablehnen, den gesamten ausgehenden Traffic zulassen und den gesamten Traffic zwischen den der Sicherheitsgruppe zugewiesenen Instanzen zulassen. Wenn Sie beim Starten einer Instanz keine Sicherheitsgruppe angeben, wird die Instanz automatisch dieser Standardsicherheitsgruppe zugewiesen. Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von ein- und ausgehendem Netzwerkverkehr zu AWS-Ressourcen. Es wird empfohlen, dass die Standardsicherheitsgruppe den gesamten Traffic einschränkt.

Die Standard-VPC in jeder Region sollte entsprechend aktualisiert werden. Alle neu erstellten VPCs enthalten automatisch eine Standardsicherheitsgruppe, die korrigiert werden muss, um dieser Empfehlung zu entsprechen.

HINWEIS:Bei der Umsetzung dieser Empfehlung ist das VPC-Fluss-Logging von unschätzbarem Wert, um den Portzugriff mit den geringsten Berechtigungen zu bestimmen, der für ein ordnungsgemäßes Funktionieren der Systeme erforderlich ist, da es alle Annahmen und Ablehnungen von Paketen unter den aktuellen Sicherheitsgruppen protokollieren kann. Dadurch wird die Hauptbarriere für die Zugriffssteuerung nach dem Prinzip der geringsten Berechtigung erheblich reduziert: die Ermittlung der Mindestanzahl von Ports, die von den Systemen in der Umgebung benötigt werden. Auch wenn die Empfehlung für die VPC-Flussisolierung in diesem Benchmark nicht als dauerhafte Sicherheitsmaßnahme übernommen wird, sollte sie während der gesamten Phase der Ermittlung und Entwicklung für Sicherheitsgruppen mit den geringsten Berechtigungen verwendet werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 5.4
  • CIS Controls 8.0: 3.3

Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt

  • Echtzeit-Scans: Nein

Dms Replication Not Public

Kategoriename in der API: DMS_REPLICATION_NOT_PUBLIC

Ergebnisbeschreibung:

Prüft, ob AWS DMS-Replikationsinstanzen öffentlich sind. Dazu wird der Wert des Felds PubliclyAccessible geprüft.

Eine private Replikationsinstanz hat eine private IP-Adresse, auf die Sie nicht außerhalb des Replikationsnetzwerks zugreifen können. Eine Replikationsinstanz sollte eine private IP-Adresse haben, wenn sich die Quell- und die Zieldatenbank im selben Netzwerk befinden. Das Netzwerk muss außerdem über VPN, AWS Direct Connect oder VPC-Peering mit der VPC der Replikationsinstanz verbunden sein. Weitere Informationen zu öffentlichen und privaten Replikationsinstanzen finden Sie im AWS Database Migration Service-Benutzerhandbuch unter Öffentliche und private Replikationsinstanzen.

Außerdem sollten Sie dafür sorgen, dass der Zugriff auf die Konfiguration Ihrer AWS DMS-Instanz nur autorisierten Nutzern gewährt wird. Dazu müssen Sie die IAM-Berechtigungen der Nutzer einschränken, damit sie die AWS DMS-Einstellungen und ‑Ressourcen nicht ändern können.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Prüfen Sie, ob Replikationsinstanzen von AWS Database Migration Service öffentlich sind

  • Echtzeit-Scans: Nein

Do Setup Access Keys During Initial User Setup All Iam Users Console

Kategoriename in der API: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Ergebnisbeschreibung:

In der AWS-Konsole sind beim Erstellen eines neuen IAM-Nutzers standardmäßig keine Kästchen angeklickt. Beim Erstellen der IAM-Nutzeranmeldedaten müssen Sie festlegen, welche Art von Zugriff sie benötigen.

Programmzugriff: Der IAM-Nutzer muss möglicherweise API-Aufrufe ausführen, die AWS CLI oder die Tools für Windows PowerShell verwenden. Erstellen Sie in diesem Fall einen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für diesen Nutzer.

Zugriff auf AWS Management Console: Wenn der Nutzer Zugriff auf die AWS Management Console benötigt, erstellen Sie ein Passwort für den Nutzer.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.11
  • CIS Controls 8.0: 3.3, 5.4

Richten Sie während der anfänglichen Nutzereinrichtung für alle IAM-Nutzer, die ein Console-Passwort haben, keine Zugriffsschlüssel ein

  • Echtzeit-Scans: Nein

Dynamodb Autoscaling Enabled

Kategoriename in der API: DYNAMODB_AUTOSCALING_ENABLED

Ergebnisbeschreibung:

Hier wird geprüft, ob die Lese- und Schreibkapazität einer Amazon DynamoDB-Tabelle nach Bedarf skaliert werden kann. Diese Steuerung gilt, wenn die Tabelle entweder den On-Demand-Kapazitätsmodus oder den Bereitstellungsmodus mit konfiguriertem Autoscaling verwendet. Durch die bedarfsgerechte Skalierung der Kapazität werden Ausnahmen gedrosselt, wodurch die Verfügbarkeit Ihrer Anwendungen aufrechterhalten wird.

DynamoDB-Tabellen im Modus „On-Demand-Kapazität“ sind nur durch die Standardtabellenkontingente für den DynamoDB-Durchsatz begrenzt. Wenn Sie diese Kontingente erhöhen möchten, können Sie ein Support-Ticket über den AWS-Support einreichen.

DynamoDB-Tabellen im bereitgestellten Modus mit Autoscaling passen die bereitgestellte Durchsatzkapazität dynamisch in Reaktion auf Traffic-Muster an. Weitere Informationen zur Drosselung von DynamoDB-Anfragen finden Sie im Amazon DynamoDB Developer Guide unter „Anfragedrosselung und Burst-Kapazität“.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

DynamoDB-Tabellen sollten die Kapazität gemäß Nachfrage automatisch skalieren

  • Echtzeit-Scans: Nein

Dynamodb In Backup Plan

Kategoriename in der API: DYNAMODB_IN_BACKUP_PLAN

Ergebnisbeschreibung:

Mit diesem Steuerelement wird ausgewertet, ob eine DynamoDB-Tabelle durch einen Sicherungsplan abgedeckt ist. Die Steuerung schlägt fehl, wenn eine DynamoDB-Tabelle nicht durch einen Sicherungsplan abgedeckt ist. Mit dieser Einstellung werden nur DynamoDB-Tabellen ausgewertet, die den Status „AKTIV“ haben.

Mithilfe von Sicherungen können Sie sich nach einem Sicherheitsvorfall schneller erholen. Außerdem erhöhen sie die Ausfallsicherheit Ihrer Systeme. Wenn Sie DynamoDB-Tabellen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-13(5)

Für DynamoDB-Tabellen sollte es einen Sicherungsplan geben

  • Echtzeit-Scans: Nein

Dynamodb Pitr Enabled

Kategoriename in der API: DYNAMODB_PITR_ENABLED

Ergebnisbeschreibung:

Die Wiederherstellung zu einem bestimmten Zeitpunkt ist einer der verfügbaren Mechanismen zum Sichern von DynamoDB-Tabellen.

Eine Sicherung eines bestimmten Zeitpunkts wird 35 Tage lang aufbewahrt. Wenn Sie eine längere Aufbewahrungsdauer benötigen, lesen Sie den Artikel Geplante Sicherungen für Amazon DynamoDB mit AWS Backup einrichten in der AWS-Dokumentation.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Prüfen Sie, ob die Wiederherstellung zu einem bestimmten Zeitpunkt für alle AWS DynamoDB-Tabellen aktiviert ist

  • Echtzeit-Scans: Nein

Dynamodb Table Encrypted Kms

Kategoriename in der API: DYNAMODB_TABLE_ENCRYPTED_KMS

Ergebnisbeschreibung:

Prüft, ob alle DynamoDB-Tabellen mit einem vom Kunden verwalteten KMS-Schlüssel (nicht standardmäßig) verschlüsselt sind.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-7(6)

Prüfen Sie, ob alle DynamoDB-Tabellen mit AWS Key Management Service (KMS) verschlüsselt sind

  • Echtzeit-Scans: Nein

Ebs Optimized Instance

Kategoriename in der API: EBS_OPTIMIZED_INSTANCE

Ergebnisbeschreibung:

Prüfen Sie, ob die EBS-Optimierung für Ihre EC2-Instanzen aktiviert ist, die EBS-optimiert werden können

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SC-5(2)

Prüfen Sie, ob die EBS-Optimierung für alle Instanzen aktiviert ist, die diese unterstützen

  • Echtzeit-Scans: Nein

Ebs Snapshot Public Restorable Check

Kategoriename in der API: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Ergebnisbeschreibung:

Prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Kontrolle schlägt fehl, wenn Amazon EBS-Snapshots von jemandem wiederhergestellt werden können.

Mit EBS-Snapshots werden die Daten auf Ihren EBS-Volumes zu einem bestimmten Zeitpunkt in Amazon S3 gesichert. Sie können die Snapshots verwenden, um vorherige Status von EBS-Volumes wiederherzustellen. Es ist selten akzeptabel, eine Momentaufnahme mit der Öffentlichkeit zu teilen. In der Regel wurde die Entscheidung, einen Snapshot öffentlich zu teilen, irrtümlich oder ohne vollständige Kenntnis der Auswirkungen getroffen. So wird sichergestellt, dass das Teilen dieser Inhalte vollständig geplant und beabsichtigt war.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein

  • Echtzeit-Scans: Nein

Ebs Volume Encryption Enabled All Regions

Kategoriename in der API: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

Ergebnisbeschreibung:

Elastic Compute Cloud (EC2) unterstützt die Verschlüsselung ruhender Daten, wenn der Elastic Block Store-Dienst (EBS) verwendet wird. Wenn diese Option standardmäßig deaktiviert ist, wird das Erzwingen der Verschlüsselung bei der Erstellung eines EBS-Volumes unterstützt.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.2.1
  • CIS Controls 8.0: 3.11

Achten Sie darauf, dass die EBS-Volume-Verschlüsselung in allen Regionen aktiviert ist

  • Echtzeit-Scans: Nein

Ec2 Instances In Vpc

Kategoriename in der API: EC2_INSTANCES_IN_VPC

Ergebnisbeschreibung:

Amazon VPC bietet mehr Sicherheitsfunktionen als EC2 Classic. Es wird empfohlen, dass alle Knoten zu einer Amazon VPC gehören.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7

Achten Sie darauf, dass alle Instanzen zu einer VPC gehören

  • Echtzeit-Scans: Nein

Ec2 Instance No Public Ip

Kategoriename in der API: EC2_INSTANCE_NO_PUBLIC_IP

Ergebnisbeschreibung:

Bei EC2-Instanzen mit öffentlicher IP-Adresse besteht ein erhöhtes Risiko einer Manipulation. Es wird empfohlen, EC2-Instanzen nicht mit einer öffentlichen IP-Adresse zu konfigurieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Achten Sie darauf, dass keine Instanz eine öffentliche IP-Adresse hat

  • Echtzeit-Scans: Nein

Ec2 Managedinstance Association Compliance Status Check

Kategoriename in der API: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

Ergebnisbeschreibung:

Eine State Manager-Verknüpfung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. In der Konfiguration wird der Status definiert, der auf Ihren Instanzen beibehalten werden soll. Eine Verknüpfung kann beispielsweise angeben, dass Antivirensoftware auf Ihren Instanzen installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen. EC2-Instanzen, die eine Verknüpfung mit AWS Systems Manager haben, werden von Systems Manager verwaltet, was das Anwenden von Patches, das Beheben von Fehlkonfigurationen und das Reagieren auf Sicherheitsereignisse erleichtert.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 6.2

Prüfen Sie den Compliancestatus der AWS Systems Manager-Verknüpfung

  • Echtzeit-Scans: Nein

Ec2 Managedinstance Patch Compliance Status Check

Kategoriename in der API: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

Ergebnisbeschreibung:

Mit dieser Steuerung wird geprüft, ob der Status der AWS Systems Manager-Verknüpfung „COMPLIANT“ (Einhaltung) oder „NON_COMPLIANT“ (Nichteinhaltung) ist, nachdem die Verknüpfung auf einer Instanz ausgeführt wurde. Die Steuerung schlägt fehl, wenn der Compliancestatus der Verknüpfung NON_COMPLIANT ist.

Eine State Manager-Verknüpfung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. Die Konfiguration definiert den Status, den Sie auf Ihren Instanzen beibehalten möchten. Beispielsweise kann eine Verknüpfung angeben, dass auf Ihren Instanzen Antivirensoftware installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen werden müssen.

Nachdem Sie eine oder mehrere State Manager-Verknüpfungen erstellt haben, sind Informationen zum Compliance-Status sofort verfügbar. Sie können den Compliancestatus in der Console oder als Reaktion auf AWS CLI-Befehle oder entsprechende Systems Manager API-Aktionen ansehen. Bei Verknüpfungen wird unter „Konfigurationskonformität“ der Konformitätsstatus angezeigt („Konform“ oder „Nicht konform“). Außerdem wird der Schweregrad angezeigt, der der Verknüpfung zugewiesen ist, z. B. „Kritisch“ oder „Mittel“.

Weitere Informationen zur Compliance von State Manager-Verknüpfungen finden Sie im AWS Systems Manager-Benutzerhandbuch unter Compliance von State Manager-Verknüpfungen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-2
  • PCI-DSS v3.2.1: 6.2

Prüfen Sie den Status der AWS Systems Manager-Patchcompliance

  • Echtzeit-Scans: Nein

Ec2 Metadata Service Allows Imdsv2

Kategoriename in der API: EC2_METADATA_SERVICE_ALLOWS_IMDSV2

Ergebnisbeschreibung:

Wenn Sie den Metadatendienst auf AWS EC2-Instanzen aktivieren, haben Sie die Möglichkeit, entweder die Instanzmetadatendienst-Version 1 (IMDSv1; eine Anfrage/Antwort-Methode) oder die Instanzmetadatendienst-Version 2 (IMDSv2; eine sitzungsorientierte Methode) zu verwenden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AC-6
  • CIS AWS Foundation 2.0.0: 5.6

Achten Sie darauf, dass der EC2-Metadatendienst nur IMDSv2 zulässt

  • Echtzeit-Scans: Nein

Ec2 Volume Inuse Check

Kategoriename in der API: EC2_VOLUME_INUSE_CHECK

Ergebnisbeschreibung:

Erkennen und Entfernen nicht angehängter (nicht verwendeter) Elastic Block Store-Volumes (EBS-Volumes) in Ihrem AWS-Konto, um die Kosten Ihrer monatlichen AWS-Rechnung zu senken. Durch das Löschen nicht verwendeter EBS-Volumes verringern Sie auch das Risiko, dass vertrauliche/sensible Daten Ihre Räumlichkeiten verlassen. Außerdem wird geprüft, ob archivierte EC2-Instanzen so konfiguriert sind, dass Volumes bei der Beendigung gelöscht werden.

EC2-Instanzen sind standardmäßig so konfiguriert, dass sie die Daten in allen mit der Instanz verknüpften EBS-Volumes und das Root-EBS-Volume der Instanz löschen. Alle nicht-root-EBS-Volumes, die der Instanz beim Start oder während der Ausführung bereitgestellt wurden, werden jedoch standardmäßig nach der Beendigung beibehalten.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: CM-2

Prüfen Sie, ob EBS-Volumes an EC2-Instanzen angehängt und zum Löschen bei Instanzbeendigung konfiguriert sind

  • Echtzeit-Scans: Nein

Efs Encrypted Check

Kategoriename in der API: EFS_ENCRYPTED_CHECK

Ergebnisbeschreibung:

Amazon EFS unterstützt zwei Formen der Verschlüsselung für Dateisysteme: die Verschlüsselung von Daten während der Übertragung und die Verschlüsselung inaktiver Daten. Dabei wird geprüft, ob alle EFS-Dateisysteme in allen aktivierten Regionen im Konto mit der Ruhedatenträgerverschlüsselung konfiguriert sind.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Prüfen Sie, ob EFS zum Verschlüsseln von Dateidaten mit KMS konfiguriert ist

  • Echtzeit-Scans: Nein

Efs In Backup Plan

Kategoriename in der API: EFS_IN_BACKUP_PLAN

Ergebnisbeschreibung:

In den Best Practices für Amazon wird empfohlen, Sicherungen für Ihre Elastic File Systems (EFS) zu konfigurieren. Dadurch wird in allen EFS in allen aktivierten Regionen in Ihrem AWS-Konto nach aktivierten Sicherungen gesucht.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Prüfen Sie, ob EFS-Dateisysteme in AWS-Sicherungsplänen enthalten sind

  • Echtzeit-Scans: Nein

Elb Acm Certificate Required

Kategoriename in der API: ELB_ACM_CERTIFICATE_REQUIRED

Ergebnisbeschreibung:

Prüft, ob der klassische Load Balancer HTTPS-/SSL-Zertifikate verwendet, die von AWS Certificate Manager (ACM) bereitgestellt wurden. Die Prüfung schlägt fehl, wenn der mit einem HTTPS-/SSL-Listener konfigurierte klassische Load Balancer kein von ACM bereitgestelltes Zertifikat verwendet.

Zum Erstellen eines Zertifikats können Sie entweder ACM oder ein Tool verwenden, das die SSL- und TLS-Protokolle unterstützt, z. B. OpenSSL. Security Hub empfiehlt, Zertifikate für Ihren Load Balancer mit ACM zu erstellen oder zu importieren.

ACM lässt sich in klassische Load Balancer einbinden, sodass Sie das Zertifikat auf Ihrem Load Balancer bereitstellen können. Außerdem sollten Sie diese Zertifikate automatisch verlängern.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-17, AC-4, IA-5, SC-12, SC-13, SC-23, SC-7, SC-8, SI-7, SI-7(6)

Prüfen Sie, ob alle klassischen Load Balancer SSL-Zertifikate verwenden, die von AWS Certificate Manager bereitgestellt wurden

  • Echtzeit-Scans: Nein

Elb Deletion Protection Enabled

Kategoriename in der API: ELB_DELETION_PROTECTION_ENABLED

Ergebnisbeschreibung:

Prüft, ob für einen Application Load Balancer der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn der Löschschutz nicht konfiguriert ist.

Aktivieren Sie den Löschschutz, um den Application Load Balancer vor dem Löschen zu schützen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SC-5(2)

Der Löschschutz für Application Load Balancer sollte aktiviert sein

  • Echtzeit-Scans: Nein

Elb Logging Enabled

Kategoriename in der API: ELB_LOGGING_ENABLED

Ergebnisbeschreibung:

Dadurch wird geprüft, ob Logging für den Application Load Balancer und den klassischen Load Balancer aktiviert ist. Die Steuerung schlägt fehl, wenn access_logs.s3.enabled auf „false“ gesetzt ist.

Elastic Load Balancing bietet Zugriffsprotokolle, die detaillierte Informationen zu Anfragen enthalten, die an Ihren Load Balancer gesendet werden. Jedes Protokoll enthält Informationen wie den Zeitpunkt, zu dem die Anfrage empfangen wurde, die IP-Adresse des Clients, Latenzen, Anfragepfade und Serverantworten. Sie können diese Zugriffslogs verwenden, um Traffic-Muster zu analysieren und Probleme zu beheben.

Weitere Informationen finden Sie unter Zugriffslogs für Ihren klassischen Load Balancer im Nutzerhandbuch für klassische Load Balancer.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Prüfen Sie, ob Logging für klassische und Application Load Balancer aktiviert ist

  • Echtzeit-Scans: Nein

Elb Tls Https Listeners Only

Kategoriename in der API: ELB_TLS_HTTPS_LISTENERS_ONLY

Ergebnisbeschreibung:

Mit dieser Prüfung wird sichergestellt, dass alle klassischen Load Balancer für die Verwendung einer sicheren Kommunikation konfiguriert sind.

Ein Listener ist ein Prozess, der nach Verbindungsanfragen sucht. Er ist mit einem Protokoll und einem Port für Front-End-Verbindungen (Client zum Load Balancer) und einem Protokoll und einem Port für Back-End-Verbindungen (Load Balancer zur Instanz) konfiguriert. Informationen zu den Ports, Protokollen und Listener-Konfigurationen, die von Elastic Load Balancing unterstützt werden, finden Sie unter Listener für Ihren klassischen Load Balancer.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-7(6)

Prüfen Sie, ob SSL- oder HTTPS-Listener für alle klassischen Load Balancer konfiguriert sind

  • Echtzeit-Scans: Nein

Encrypted Volumes

Kategoriename in der API: ENCRYPTED_VOLUMES

Ergebnisbeschreibung:

Prüft, ob die angehängten EBS-Volumes verschlüsselt sind. Damit diese Prüfung bestanden wird, müssen EBS-Volumes verwendet und verschlüsselt sein. Wenn das EBS-Volume nicht angehängt ist, unterliegt es dieser Prüfung nicht.

Für zusätzlichen Schutz Ihrer sensiblen Daten in EBS-Volumes sollten Sie die EBS-Verschlüsselung inaktiver Daten aktivieren. Die Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Ressourcen, bei der Sie keine eigene Schlüsselverwaltungsinfrastruktur erstellen, pflegen und schützen müssen. Zum Erstellen verschlüsselter Volumes und Snapshots werden KMS-Schlüssel verwendet.

Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie im Amazon EC2-Nutzerhandbuch für Linux-Instanzen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Ruhende Daten von angehängten Amazon EBS-Volumes sollten verschlüsselt sein

  • Echtzeit-Scans: Nein

Encryption At Rest Enabled Rds Instances

Kategoriename in der API: ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

Ergebnisbeschreibung:

Bei verschlüsselten Amazon RDS-Datenbankinstanzen werden Ihre Daten auf dem Server, auf dem Ihre Amazon RDS-Datenbankinstanzen gehostet werden, mit dem branchenüblichen AES-256-Verschlüsselungsalgorithmus verschlüsselt. Nach der Verschlüsselung Ihrer Daten führt Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent mit minimaler Auswirkung auf die Leistung durch.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.3.1
  • CIS Controls 8.0: 3.11

Achten Sie darauf, dass die Verschlüsselung ruhender Daten für RDS-Instanzen aktiviert ist

  • Echtzeit-Scans: Nein

Encryption Enabled Efs File Systems

Kategoriename in der API: ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

Ergebnisbeschreibung:

EFS-Daten sollten im Ruhezustand mit AWS KMS (Key Management Service) verschlüsselt werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.4.1
  • CIS Controls 8.0: 3.11

Achten Sie darauf, dass die Verschlüsselung für EFS-Dateisysteme aktiviert ist

  • Echtzeit-Scans: Nein

Iam Password Policy

Kategoriename in der API: IAM_PASSWORD_POLICY

Ergebnisbeschreibung:

AWS ermöglicht benutzerdefinierte Passwortrichtlinien für Ihr AWS-Konto, um Komplexitätsanforderungen und obligatorische Rotationszeiträume für die Passwörter Ihrer IAM-Nutzer anzugeben. Wenn Sie keine benutzerdefinierte Passwortrichtlinie festlegen, müssen die IAM-Nutzerpasswörter der AWS-Standard-Passwortrichtlinie entsprechen. Gemäß den Best Practices für die Sicherheit von AWS gelten die folgenden Anforderungen an die Passwortkomplexität:

  • Das Passwort muss mindestens einen Großbuchstaben enthalten.
  • Passworte müssen mindestens einen Kleinbuchstaben enthalten.
  • Passwörter müssen mindestens ein Symbol enthalten.
  • Mindestens eine Zahl in Passwörtern muss angegeben werden.
  • Das Passwort muss mindestens 14 Zeichen lang sein.
  • Sie benötigen vor der Wiederverwendung mindestens 24 Passwörter.
  • Mindestens 90 Tage vor Ablauf des Passworts

Hier werden alle angegebenen Anforderungen an die Passwortrichtlinie geprüft.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5(1)
  • PCI-DSS v3.2.1: 8.2.5

Prüfen Sie, ob die Richtlinie für Kontopasswörter für IAM-Nutzer den angegebenen Anforderungen entspricht

  • Echtzeit-Scans: Nein

Iam Password Policy Prevents Password Reuse

Kategoriename in der API: IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

Ergebnisbeschreibung:

IAM-Passwortrichtlinien können die Wiederverwendung eines bestimmten Passworts durch denselben Nutzer verhindern. Es wird empfohlen, die Wiederverwendung von Passwörtern durch die Passwortrichtlinie zu verhindern.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 8.3.5, 8.3.6, 8.6.3
  • ISO-27001 v2022: A.5.17
  • Cloud Controls Matrix 4: IAM-02
  • SOC2 v2017: CC6.1.3, CC6.1.8, CC6.1.9
  • CIS AWS Foundation 2.0.0: 1.9
  • CIS Controls 8.0: 5.2

Achten Sie darauf, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

  • Echtzeit-Scans: Nein

Iam Password Policy Requires Minimum Length 14 Greater

Kategoriename in der API: IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

Ergebnisbeschreibung:

Passwortrichtlinien werden unter anderem verwendet, um Anforderungen an die Passwortkomplexität durchzusetzen. Mit IAM-Passwortrichtlinien können Sie dafür sorgen, dass Passwörter mindestens eine bestimmte Länge haben. Die Passwortrichtlinie sollte eine Mindestpasswortlänge von 14 Zeichen voraussetzen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS AWS Foundation 2.0.0: 1.8
  • CIS Controls 8.0: 5, 5.2

Achten Sie darauf, dass die IAM-Passwortrichtlinie eine Mindestlänge von 14 Zeichen verlangt

  • Echtzeit-Scans: Nein

Iam Policies Allow Full Administrative Privileges Attached

Kategoriename in der API: IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

Ergebnisbeschreibung:

Mit IAM-Richtlinien werden Nutzern, Gruppen oder Rollen Berechtigungen gewährt. Es wird empfohlen und gilt als Standardsicherheitsratschlag, die geringste Berechtigung zu gewähren, d. h. nur die Berechtigungen zu gewähren, die für die Ausführung einer Aufgabe erforderlich sind. Bestimmen Sie, was Nutzer tun müssen, und erstellen Sie dann Richtlinien, mit denen Nutzer nur diese Aufgaben ausführen können, anstatt vollständige Administratorberechtigungen zu erteilen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.16
  • CIS Controls 8.0: 3.3

Achten Sie darauf, dass keine IAM-Richtlinien angehängt sind, die uneingeschränkte „*:*“-Administratorberechtigungen gewähren

  • Echtzeit-Scans: Nein

Iam Users Receive Permissions Groups

Kategoriename in der API: IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

Ergebnisbeschreibung:

IAM-Nutzern wird über IAM-Richtlinien Zugriff auf Dienste, Funktionen und Daten gewährt. Es gibt vier Möglichkeiten, Richtlinien für einen Nutzer zu definieren: 1) Nutzerrichtlinie direkt bearbeiten (Inline-Richtlinie oder Nutzerrichtlinie); 2) Richtlinie direkt mit einem Nutzer verknüpfen; 3) Nutzer einer IAM-Gruppe mit einer verknüpften Richtlinie hinzufügen; 4) Nutzer einer IAM-Gruppe mit einer Inline-Richtlinie hinzufügen.

Es wird nur die dritte Implementierung empfohlen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AC-2, AC-5, AC-6, AU-9
  • PCI-DSS v4.0: 10.3.1, 7.1.1, 7.2.1, 7.2.2, 7.2.4, 7.2.6, 7.3.1, 7.3.2
  • ISO-27001 v2022: A.5.15, A.5.3, A.8.2, A.8.3
  • Cloud Controls Matrix 4: IAM-04
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.3.1, CC6.3.2, CC6.3.3
  • HIPAA: 164.308(a)(3)(ii), 164.308(a)(4)(i), 164.308(a)(4)(ii)
  • CIS AWS Foundation 2.0.0: 1.15
  • CIS Controls 8.0: 6.8

Achten Sie darauf, dass IAM-Nutzer Berechtigungen nur über Gruppen erhalten

  • Echtzeit-Scans: Nein

Iam User Group Membership Check

Kategoriename in der API: IAM_USER_GROUP_MEMBERSHIP_CHECK

Ergebnisbeschreibung:

IAM-Nutzer sollten immer zu einer IAM-Gruppe gehören, um die Best Practices für die IAM-Sicherheit einzuhalten.

Durch das Hinzufügen von Nutzern zu einer Gruppe können Richtlinien für verschiedene Nutzertypen freigegeben werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AC-6

Prüfen Sie, ob IAM-Nutzer Mitglieder von mindestens einer IAM-Gruppe sind

  • Echtzeit-Scans: Nein

Iam User Mfa Enabled

Kategoriename in der API: IAM_USER_MFA_ENABLED

Ergebnisbeschreibung:

Die Multi-Faktor-Authentifizierung (MFA) ist eine Best Practice, bei der Nutzernamen und Passwörter zusätzlich geschützt werden. Bei der MFA muss ein Nutzer, der sich in der AWS-Verwaltungskonsole anmeldet, einen zeitlich begrenzten Authentifizierungscode angeben, der von einem registrierten virtuellen oder physischen Gerät bereitgestellt wird.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 8.3.2

Prüfen Sie, ob für AWS IAM-Nutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert ist

  • Echtzeit-Scans: Nein

Iam User Unused Credentials Check

Kategoriename in der API: IAM_USER_UNUSED_CREDENTIALS_CHECK

Ergebnisbeschreibung:

Dabei werden IAM-Passwörter oder aktive Zugriffsschlüssel geprüft, die in den letzten 90 Tagen nicht verwendet wurden.

In den Best Practices wird empfohlen, alle Anmeldedaten zu entfernen, zu deaktivieren oder zu rotieren, die 90 Tage oder länger nicht verwendet wurden. So können Anmeldedaten, die mit einem manipulierten oder nicht mehr genutzten Konto verknüpft sind, schneller verwendet werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AC-6
  • PCI-DSS v3.2.1: 8.1.4

Prüfen Sie, ob alle AWS IAM-Nutzer Passwörter oder aktive Zugriffsschlüssel haben, die in der unter „maxCredentialUsageAge“ angegebenen Anzahl von Tagen nicht verwendet wurden (Standardeinstellung: 90)

  • Echtzeit-Scans: Nein

Kms Cmk Not Scheduled For Deletion

Kategoriename in der API: KMS_CMK_NOT_SCHEDULED_FOR_DELETION

Ergebnisbeschreibung:

Mit dieser Einstellung wird geprüft, ob KMS-Schlüssel zum Löschen geplant sind. Die Prüfung schlägt fehl, wenn ein KMS-Schlüssel zum Löschen geplant ist.

KMS-Schlüssel können nach dem Löschen nicht wiederhergestellt werden. Daten, die mit einem KMS-Schlüssel verschlüsselt wurden, sind auch dauerhaft nicht wiederherstellbar, wenn der KMS-Schlüssel gelöscht wird. Wenn wichtige Daten mit einem KMS-Schlüssel verschlüsselt wurden, der zum Löschen vorgemerkt ist, sollten Sie die Daten entschlüsseln oder unter einem neuen KMS-Schlüssel neu verschlüsseln, es sei denn, Sie führen absichtlich eine kryptografische Löschung aus.

Wenn ein KMS-Schlüssel zum Löschen geplant ist, wird eine obligatorische Wartezeit erzwungen, damit das Löschen rückgängig gemacht werden kann, falls es irrtümlich geplant wurde. Die Standardwartezeit beträgt 30 Tage, kann aber auf bis zu 7 Tage reduziert werden, wenn das Löschen des KMS-Schlüssels geplant ist. Während der Wartezeit kann die geplante Löschung abgebrochen werden und der KMS-Schlüssel wird nicht gelöscht.

Weitere Informationen zum Löschen von KMS-Schlüsseln finden Sie unter KMS-Schlüssel löschen im AWS Key Management Service-Entwicklerhandbuch.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SC-12

Prüfen Sie alle CMKs darauf, dass sie nicht zum Löschen geplant sind

  • Echtzeit-Scans: Nein

Lambda Concurrency Check

Kategoriename in der API: LAMBDA_CONCURRENCY_CHECK

Ergebnisbeschreibung:

Prüft, ob für die Lambda-Funktion ein Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Die Regel ist NON_COMPLIANT, wenn die Lambda-Funktion nicht mit einem Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüfen Sie, ob für Lambda-Funktionen das Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist

  • Echtzeit-Scans: Nein

Lambda Dlq Check

Kategoriename in der API: LAMBDA_DLQ_CHECK

Ergebnisbeschreibung:

Prüft, ob eine Lambda-Funktion mit einer Dead-Letter-Warteschlange konfiguriert ist. Die Regel hat den Status „NICHT KONFORM“, wenn die Lambda-Funktion nicht mit einer Dead-Letter-Warteschlange konfiguriert ist.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-2

Prüfen Sie, ob Lambda-Funktionen mit einer Dead-Letter-Warteschlange konfiguriert sind

  • Echtzeit-Scans: Nein

Lambda Function Public Access Prohibited

Kategoriename in der API: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Ergebnisbeschreibung:

In den Best Practices von AWS wird empfohlen, die Lambda-Funktion nicht öffentlich zugänglich zu machen. Mit dieser Richtlinie werden alle Lambda-Funktionen geprüft, die in allen aktivierten Regionen in Ihrem Konto bereitgestellt werden. Sie schlägt fehl, wenn sie den öffentlichen Zugriff nicht zulassen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Prüfen Sie, ob die an die Lambda-Funktion angehängte Richtlinie den öffentlichen Zugriff verhindert

  • Echtzeit-Scans: Nein

Lambda Inside Vpc

Kategoriename in der API: LAMBDA_INSIDE_VPC

Ergebnisbeschreibung:

Prüft, ob sich eine Lambda-Funktion in einer VPC befindet. Möglicherweise werden für Lambda@Edge-Ressourcen Fehler angezeigt.

Die Konfiguration des VPC-Subnetz-Routings wird nicht ausgewertet, um die öffentliche Erreichbarkeit zu bestimmen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Prüfen Sie, ob Lambda-Funktionen in einer VPC vorhanden sind

  • Echtzeit-Scans: Nein

Mfa Delete Enabled S3 Buckets

Kategoriename in der API: MFA_DELETE_ENABLED_S3_BUCKETS

Ergebnisbeschreibung:

Sobald MFA Delete für Ihren vertraulichen und klassifizierten S3-Bucket aktiviert ist, müssen Nutzer zwei Authentifizierungsformen haben.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.2
  • CIS Controls 8.0: 3.3, 6.5

Achten Sie darauf, dass MFA-Löschungen für S3-Buckets aktiviert sind

  • Echtzeit-Scans: Nein

Mfa Enabled Root User Account

Kategoriename in der API: MFA_ENABLED_ROOT_USER_ACCOUNT

Ergebnisbeschreibung:

Der „Stamm“ Nutzerkonto ist der privilegierteste Nutzer in einem AWS-Konto. Mit der Multi-Faktor-Authentifizierung (MFA) wird der Nutzername und das Passwort zusätzlich geschützt. Wenn MFA aktiviert ist, wird ein Nutzer bei der Anmeldung auf einer AWS-Website aufgefordert, seinen Nutzernamen und sein Passwort sowie einen Authentifizierungscode von seinem AWS-MFA-Gerät einzugeben.

Hinweis: Wenn die virtuelle MFA für Root-Konten verwendet wird, wird empfohlen, dass das verwendete Gerät KEIN privates Gerät ist, sondern ein spezielles Mobilgerät (Tablet oder Smartphone), das unabhängig von einzelnen privaten Geräten aufgeladen und gesichert wird. („nicht persönliche virtuelle MFA“) verringern das Risiko, den Zugriff auf die MFA zu verlieren, wenn ein Gerät verloren geht, ein Gerät eingetauscht wird oder die Person, die das Gerät besitzt, nicht mehr im Unternehmen beschäftigt ist.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.5
  • CIS Controls 8.0: 6.5

Achten Sie darauf, dass MFA für das Root-Nutzerkonto aktiviert ist

  • Echtzeit-Scans: Nein

Multi Factor Authentication Mfa Enabled All Iam Users Console

Kategoriename in der API: MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

Ergebnisbeschreibung:

Die Multi-Faktor-Authentifizierung (MFA) bietet zusätzliche Sicherheit bei der Authentifizierung, die über herkömmliche Anmeldedaten hinausgeht. Wenn MFA aktiviert ist, wird ein Nutzer bei der Anmeldung in der AWS-Konsole aufgefordert, seinen Nutzernamen und sein Passwort sowie einen Authentifizierungscode von seinem physischen oder virtuellen MFA-Token einzugeben. Wir empfehlen, die MFA für alle Konten zu aktivieren, die ein Console-Passwort haben.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.10
  • CIS Controls 8.0: 6.5

Achten Sie darauf, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer mit einem Konsolenpasswort aktiviert ist

  • Echtzeit-Scans: Nein

No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration

Kategoriename in der API: NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Ergebnisbeschreibung:

Die NACL-Funktion (Network Access Control List) bietet zustandslose Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, dass keine NACL den uneingeschränkten Zugriff auf Remote-Server-Verwaltungsports zulässt, z. B. SSH auf Port 22 und RDP auf Port 3389, und zwar weder über das TDP-Protokoll (6), UDP-Protokoll (17) noch über das ALL-Protokoll (-1).

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS AWS Foundation 2.0.0: 5.1

Achten Sie darauf, dass keine Netzwerk-ACLs eingehenden Traffic von 0.0.0.0/0 an Remote-Server-Verwaltungsports zulassen

  • Echtzeit-Scans: Nein

No Root User Account Access Key Exists

Kategoriename in der API: NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

Ergebnisbeschreibung:

Der „Stamm“ Nutzerkonto ist der privilegierteste Nutzer in einem AWS-Konto. AWS-Zugriffsschlüssel ermöglichen programmatischen Zugriff auf ein bestimmtes AWS-Konto. Es wird empfohlen, alle Zugriffsschlüssel, die mit dem Stammverzeichnis verknüpft sind, Nutzerkonto gelöscht werden soll.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 8.1.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.4
  • CIS Controls 8.0: 3.3, 5.4

Achten Sie darauf, dass kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden ist

  • Echtzeit-Scans: Nein

No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration

Kategoriename in der API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Ergebnisbeschreibung:

Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zulässt, z. B. SSH an Port 22 und RDP zu Port 3389, wobei entweder die Protokolle TDP (6), UDP (17) oder ALL (-1) verwendet werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS AWS Foundation 2.0.0: 5.2

Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von 0.0.0.0/0 an Remote-Serververwaltungsports zulassen

  • Echtzeit-Scans: Nein

No Security Groups Allow Ingress 0 Remote Server Administration

Kategoriename in der API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

Ergebnisbeschreibung:

Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zulassen, z. B. SSH an Port 22 und RDP an Port 3389.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • CIS AWS Foundation 2.0.0: 5.3

Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von ::/0 an Remote-Serververwaltungsports zulassen

  • Echtzeit-Scans: Nein

One Active Access Key Available Any Single Iam User

Kategoriename in der API: ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

Ergebnisbeschreibung:

Zugriffsschlüssel sind langfristige Anmeldedaten für einen IAM-Nutzer oder das AWS-Konto „Root“ Nutzer. Mit Zugriffsschlüsseln können Sie programmatische Anfragen an die AWS-Befehlszeile oder die AWS API signieren (direkt oder mit dem AWS SDK).

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS AWS Foundation 2.0.0: 1.13
  • CIS Controls 8.0: 5

Achten Sie darauf, dass für jeden einzelnen IAM-Nutzer nur ein aktiver Zugriffsschlüssel verfügbar ist

  • Echtzeit-Scans: Nein

Public Access Given Rds Instance

Kategoriename in der API: PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

Ergebnisbeschreibung:

Achten Sie darauf, dass in Ihrem AWS-Konto bereitgestellte RDS-Datenbankinstanzen unbefugten Zugriff einschränken, um Sicherheitsrisiken zu minimieren. Wenn Sie den Zugriff auf öffentlich zugängliche RDS-Datenbankinstanzen einschränken möchten, müssen Sie das Flag „Öffentlich zugänglich“ der Datenbank deaktivieren und die mit der Instanz verknüpfte VPC-Sicherheitsgruppe aktualisieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v3.2.1: 2.2.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.3.3
  • CIS Controls 8.0: 3.3

Achten Sie darauf, dass RDS-Instanzen keine öffentliche Zugriffsberechtigung gewährt wird

  • Echtzeit-Scans: Nein

Rds Enhanced Monitoring Enabled

Kategoriename in der API: RDS_ENHANCED_MONITORING_ENABLED

Ergebnisbeschreibung:

Das erweiterte Monitoring bietet über einen in der Instanz installierten Agent Echtzeitmesswerte zum Betriebssystem, auf dem die RDS-Instanz ausgeführt wird.

Weitere Informationen finden Sie unter Betriebssystemmesswerte mit erweitertem Monitoring überwachen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-2

Prüfen Sie, ob erweitertes Monitoring für alle RDS-Datenbankinstanzen aktiviert ist

  • Echtzeit-Scans: Nein

Rds Instance Deletion Protection Enabled

Kategoriename in der API: RDS_INSTANCE_DELETION_PROTECTION_ENABLED

Ergebnisbeschreibung:

Wenn Sie den Schutz vor Instanzlöschungen aktivieren, wird eine zusätzliche Schutzebene gegen das versehentliche Löschen der Datenbank oder das Löschen durch eine nicht autorisierte Entität bereitgestellt.

Wenn der Löschschutz aktiviert ist, kann eine RDS-Datenbankinstanz nicht gelöscht werden. Damit ein Löschantrag erfolgreich sein kann, muss der Löschschutz deaktiviert sein.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Prüfen Sie, ob für alle RDS-Instanzen der Löschschutz aktiviert ist

  • Echtzeit-Scans: Nein

Rds In Backup Plan

Kategoriename in der API: RDS_IN_BACKUP_PLAN

Ergebnisbeschreibung:

Bei dieser Prüfung wird ermittelt, ob für Amazon RDS-Datenbankinstanzen ein Sicherungsplan vorhanden ist. Diese Prüfung schlägt fehl, wenn für eine RDS-Datenbankinstanz kein Sicherungsplan vorhanden ist.

AWS Backup ist ein vollständig verwalteter Sicherungsdienst, der die Sicherung von Daten für alle AWS-Dienste zentralisiert und automatisiert. Mit AWS Backup können Sie Sicherungsrichtlinien erstellen, die als Sicherungspläne bezeichnet werden. Mit diesen Plänen können Sie Ihre Sicherungsanforderungen definieren, z. B. wie oft Ihre Daten gesichert werden sollen und wie lange diese Sicherungen aufbewahrt werden sollen. Wenn Sie RDS-Datenbankinstanzen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Für die RDS-Datenbankinstanzen sollte es einen Sicherungsplan geben

  • Echtzeit-Scans: Nein

Rds Logging Enabled

Kategoriename in der API: RDS_LOGGING_ENABLED

Ergebnisbeschreibung:

Dadurch wird geprüft, ob die folgenden Logs von Amazon RDS aktiviert und an CloudWatch gesendet werden.

Für RDS-Datenbanken sollten die relevanten Protokolle aktiviert sein. Die Datenbankprotokollierung bietet detaillierte Einträge zu Anfragen an RDS. Datenbankprotokolle können bei Sicherheits- und Zugriffsaudits helfen und bei der Diagnose von Verfügbarkeitsproblemen unterstützen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-7(8)

Prüfen Sie, ob exportierte Logs für alle RDS-Datenbankinstanzen aktiviert sind

  • Echtzeit-Scans: Nein

Rds Multi Az Support

Kategoriename in der API: RDS_MULTI_AZ_SUPPORT

Ergebnisbeschreibung:

RDS-Datenbankinstanzen sollten für mehrere Verfügbarkeitszonen (AZs) konfiguriert werden. So wird die Verfügbarkeit der gespeicherten Daten sichergestellt. Multi-AZ-Bereitstellungen ermöglichen einen automatischen Failover bei Problemen mit der Verfügbarkeit der Verfügbarkeitszone und während der regelmäßigen RDS-Wartung.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-13(5)

Prüfen Sie, ob die Hochverfügbarkeit für alle RDS-Datenbankinstanzen aktiviert ist

  • Echtzeit-Scans: Nein

Redshift Cluster Configuration Check

Kategoriename in der API: REDSHIFT_CLUSTER_CONFIGURATION_CHECK

Ergebnisbeschreibung:

Dabei werden die wesentlichen Elemente eines Redshift-Clusters geprüft: Verschlüsselung ruhender Daten, Logging und Knotentyp.

Diese Konfigurationselemente sind wichtig für die Wartung eines sicheren und beobachtbaren Redshift-Clusters.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Prüfen Sie, ob für alle Redshift-Cluster die Verschlüsselung ruhender Daten, das Logging und der Knotentyp konfiguriert sind.

  • Echtzeit-Scans: Nein

Redshift Cluster Maintenancesettings Check

Kategoriename in der API: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

Ergebnisbeschreibung:

Automatische Upgrades der Hauptversion finden je nach Wartungsfenster statt

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-2

Prüfen Sie, ob für alle Redshift-Cluster „allowVersionUpgrade“ aktiviert ist und Werte für „preferredMaintenanceWindow“ sowie „automatedSnapshotRetentionPeriod“ festgelegt sind

  • Echtzeit-Scans: Nein

Redshift Cluster Public Access Check

Kategoriename in der API: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

Ergebnisbeschreibung:

Das PubliclyAccessible-Attribut der Amazon Redshift-Clusterkonfiguration gibt an, ob der Cluster öffentlich zugänglich ist. Wenn für den Cluster „PubliclyAccessible“ auf „true“ festgelegt ist, handelt es sich um eine mit dem Internet verbundene Instanz mit einem öffentlich auflösbaren DNS-Namen, der in eine öffentliche IP-Adresse aufgelöst wird.

Wenn der Cluster nicht öffentlich zugänglich ist, handelt es sich um eine interne Instanz mit einem DNS-Namen, der in eine private IP-Adresse aufgelöst wird. Sofern Sie nicht beabsichtigen, dass Ihr Cluster öffentlich zugänglich ist, sollte die Einstellung „PubliclyAccessible“ nicht auf „true“ festgelegt sein.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Prüfen Sie, ob Redshift-Cluster öffentlich zugänglich sind

  • Echtzeit-Scans: Nein

Restricted Common Ports

Kategoriename in der API: RESTRICTED_COMMON_PORTS

Ergebnisbeschreibung:

Hiermit wird geprüft, ob uneingeschränkter eingehender Traffic für die Sicherheitsgruppen für die angegebenen Ports mit dem höchsten Risiko zugänglich ist. Diese Steuerung schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Traffic von „0.0.0.0/0“ zulässt oder '::/0' für diese Ports.

Ein uneingeschränkter Zugriff (0.0.0.0/0) erhöht die Wahrscheinlichkeit schädlicher Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverlust.

Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten eingehenden Zugriff auf die folgenden Ports zulassen:

  • 20, 21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 25 (SMTP)
  • 110 (POP3)
  • 135 (RPC)
  • 143 (IMAP)
  • 445 (CIFS)
  • 1433, 1434 (MSSQL)
  • 3000 (Go-, Node.js- und Ruby-Frameworks für Webentwicklung)
  • 3306 (MySQL)
  • 3389 (RDP)
  • 4333 (ahsp)
  • 5000 (Python-Frameworks für Webentwicklung)
  • 5432 (PostgreSQL)
  • 5500 (fcp-addr-srvr1)
  • 5601 (OpenSearch-Dashboards)
  • 8080 (Proxy)
  • 8088 (Legacy-HTTP-Port)
  • 8888 (alternativer HTTP-Port)
  • 9200 oder 9300 (OpenSearch)

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen

  • Echtzeit-Scans: Nein

Restricted Ssh

Kategoriename in der API: RESTRICTED_SSH

Ergebnisbeschreibung:

Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen.

CIS empfiehlt, keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf Port 22 zu erlauben. Wenn Sie die uneingeschränkte Konnektivität zu Remote-Konsolendiensten wie SSH entfernen, verringern Sie das Risiko für einen Server.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Sicherheitsgruppen sollten keinen eingehenden Traffic von 0.0.0.0/0 an Port 22 zulassen

  • Echtzeit-Scans: Nein

Rotation Customer Created Cmks Enabled

Kategoriename in der API: ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

Ergebnisbeschreibung:

Prüft, ob die automatische Schlüsselrotation für jeden Schlüssel aktiviert ist und mit der Schlüssel-ID des vom Kunden erstellten AWS KMS-Schlüssels übereinstimmt. Die Regel hat den Status „NICHT KONFORM“, wenn die Rolle „AWS Config-Aufzeichner“ für eine Ressource nicht die Berechtigung „kms:DescribeKey“ hat.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Achten Sie darauf, dass die Rotation für vom Kunden erstellte CMKs aktiviert ist

  • Echtzeit-Scans: Nein

Rotation Customer Created Symmetric Cmks Enabled

Kategoriename in der API: ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

Ergebnisbeschreibung:

Mit AWS Key Management Service (KMS) können Kunden den Sicherungsschlüssel rotieren. Dabei handelt es sich um im KMS gespeichertes Schlüsselmaterial, das mit der Schlüssel-ID des vom Kunden erstellten Masterschlüssels (Customer Created Customer Master Key, CMK) verknüpft ist. Er ist der Sicherungsschlüssel, der für kryptografische Vorgänge wie Verschlüsselung und Entschlüsselung verwendet wird. Bei der automatisierten Schlüsselrotation werden derzeit alle vorherigen Sicherungsschlüssel beibehalten, sodass die Entschlüsselung verschlüsselter Daten transparent erfolgen kann. Es wird empfohlen, die CMK-Schlüsselrotation für symmetrische Schlüssel zu aktivieren. Die Schlüsselrotation kann für einen asymmetrischen CMK nicht aktiviert werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.8
  • CIS Controls 8.0: 3.11

Achten Sie darauf, dass die Rotation für vom Kunden erstellte symmetrische CMKs aktiviert ist

  • Echtzeit-Scans: Nein

Routing Tables Vpc Peering Are Least Access

Kategoriename in der API: ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

Ergebnisbeschreibung:

Prüft, ob Routingtabellen für VPC-Peering mit dem Hauptkonto der geringsten Berechtigung konfiguriert sind.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Achten Sie darauf, dass Routingtabellen für VPC-Peering den geringsten Zugriff gewähren

  • Echtzeit-Scans: Nein

S3 Account Level Public Access Blocks

Kategoriename in der API: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

Ergebnisbeschreibung:

Der öffentliche Zugriff von Amazon S3 Block bietet Einstellungen für Zugangspunkte, Buckets und Konten, mit denen Sie den öffentlichen Zugriff auf Amazon S3-Ressourcen verwalten können. Standardmäßig ist bei neuen Buckets, Zugangspunkten und Objekten kein öffentlicher Zugriff möglich.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet.

Prüfen Sie, ob die erforderlichen S3-Einstellungen zum Blockieren des öffentlichen Zugriffs auf Kontoebene konfiguriert sind

  • Echtzeit-Scans: Nein

S3 Buckets Configured Block Public Access Bucket And Account Settings

Kategoriename in der API: S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

Ergebnisbeschreibung:

Amazon S3 bietet Block public access (bucket settings) und Block public access (account settings) für die Verwaltung des öffentlichen Zugriffs auf Amazon S3-Ressourcen. Standardmäßig werden S3-Buckets und -Objekte mit deaktiviertem öffentlichem Zugriff erstellt. Ein AWS IAM-Hauptkonto mit ausreichenden S3-Berechtigungen kann jedoch den öffentlichen Zugriff auf Bucket- oder Objektebene aktivieren. Wenn Block public access (bucket settings) aktiviert ist, wird verhindert, dass ein einzelner Bucket und die darin enthaltenen Objekte öffentlich zugänglich werden. Ebenso verhindert Block public access (account settings), dass alle Buckets und darin enthaltenen Objekte im gesamten Konto öffentlich zugänglich werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.4
  • CIS Controls 8.0: 3.3

Achten Sie darauf, dass S3-Buckets mit Block public access (bucket settings) konfiguriert sind.

  • Echtzeit-Scans: Nein

S3 Bucket Access Logging Enabled Cloudtrail S3 Bucket

Kategoriename in der API: S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

Ergebnisbeschreibung:

Bei der S3-Bucket-Zugriffsprotokollierung wird ein Log generiert, das Zugriffsdatensätze für jede Anfrage an Ihren S3-Bucket enthält. Ein Zugriffsprotokolleintrag enthält Details zur Anfrage, z. B. den Anfragetyp, die in der Anfrage angegebenen Ressourcen und die Uhrzeit und das Datum, zu dem die Anfrage verarbeitet wurde. Es wird empfohlen, das Bucket-Zugriffs-Logging im CloudTrail S3-Bucket zu aktivieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-6, AU-12, AU-2
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1
  • ISO-27001 v2022: A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • SOC2 v2017: CC6.1.1, CC6.1.10, CC6.1.11, CC6.1.12, CC6.1.13, CC6.1.2, CC6.1.3, CC6.1.4, CC6.1.5, CC6.1.6, CC6.1.7, CC6.1.8, CC6.1.9
  • HIPAA: 164.312(b), 164.312(c)(1), 164.312(c)(2)
  • CIS AWS Foundation 2.0.0: 3.6
  • CIS Controls 8.0: 3.14, 8.2

Achten Sie darauf, dass das S3-Bucket-Zugriffs-Logging im CloudTrail S3-Bucket aktiviert ist

  • Echtzeit-Scans: Nein

S3 Bucket Logging Enabled

Kategoriename in der API: S3_BUCKET_LOGGING_ENABLED

Ergebnisbeschreibung:

Das AWS S3-Serverzugriffs-Logging zeichnet Zugriffsanfragen auf Storage-Buckets auf, was für Sicherheitsaudits nützlich ist. Standardmäßig ist das Serverzugriffs-Logging für S3-Buckets nicht aktiviert.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Prüfen Sie, ob Logging für alle S3-Buckets aktiviert ist

  • Echtzeit-Scans: Nein

S3 Bucket Policy Set Deny Http Requests

Kategoriename in der API: S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

Ergebnisbeschreibung:

Auf Amazon S3-Bucket-Ebene können Sie Berechtigungen über eine Bucket-Richtlinie konfigurieren, sodass die Objekte nur über HTTPS zugänglich sind.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.1.1
  • CIS Controls 8.0: 3.10

Achten Sie darauf, dass die S3-Bucket-Richtlinie auf Ablehnen von HTTP-Anfragen festgelegt ist

  • Echtzeit-Scans: Nein

S3 Bucket Replication Enabled

Kategoriename in der API: S3_BUCKET_REPLICATION_ENABLED

Ergebnisbeschreibung:

Mit dieser Einstellung wird geprüft, ob die regionsübergreifende Replikation für einen Amazon S3-Bucket aktiviert ist. Die Steuerung schlägt fehl, wenn für den Bucket keine regionsübergreifende Replikation oder die Replikation für dieselbe Region ebenfalls aktiviert ist.

Bei der Replikation werden Objekte automatisch und asynchron zwischen Buckets in derselben oder in verschiedenen AWS-Regionen kopiert. Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen oder mehrere Ziel-Buckets kopiert. Gemäß den AWS-Best Practices wird die Replikation für Quell- und Ziel-Buckets empfohlen, die demselben AWS-Konto gehören. Neben der Verfügbarkeit sollten Sie Einstellungen zur Härtung anderer Systeme in Betracht ziehen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-13(5)

Prüfen Sie, ob die regionsübergreifende Replikation für S3-Buckets aktiviert ist

  • Echtzeit-Scans: Nein

S3 Bucket Server Side Encryption Enabled

Kategoriename in der API: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

Ergebnisbeschreibung:

Dadurch wird geprüft, ob für Ihren S3-Bucket entweder die Standardverschlüsselung von Amazon S3 aktiviert ist oder ob die S3-Bucket-Richtlinie „put-object“-Anfragen ohne serverseitige Verschlüsselung explizit ablehnt.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2

Achten Sie darauf, dass alle S3-Buckets die Verschlüsselung ruhender Daten verwenden

  • Echtzeit-Scans: Nein

S3 Bucket Versioning Enabled

Kategoriename in der API: S3_BUCKET_VERSIONING_ENABLED

Ergebnisbeschreibung:

Mit Amazon S3 können Sie mehrere Varianten eines Objekts im selben Bucket speichern. So können Sie sich leichter von unbeabsichtigten Nutzeraktionen und Anwendungsfehlern erholen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-13(5)
  • PCI-DSS v3.2.1: 10.5.5

Prüfen Sie, ob die Versionsverwaltung für alle S3-Buckets aktiviert ist

  • Echtzeit-Scans: Nein

S3 Default Encryption Kms

Kategoriename in der API: S3_DEFAULT_ENCRYPTION_KMS

Ergebnisbeschreibung:

Prüft, ob die Amazon S3-Buckets mit AWS Key Management Service (AWS KMS) verschlüsselt sind

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)

Prüfen Sie, ob alle Buckets mit KMS verschlüsselt sind

  • Echtzeit-Scans: Nein

Sagemaker Notebook Instance Kms Key Configured

Kategoriename in der API: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

Ergebnisbeschreibung:

Prüft, ob ein AWS KMS-Schlüssel (AWS Key Management Service) für eine Amazon SageMaker-Notebookinstanz konfiguriert ist. Die Regel hat den Status „NICHT KONFORM“, wenn „KmsKeyId“ für die SageMaker-Notebookinstanz nicht angegeben ist.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Prüfen Sie, ob für alle SageMaker-Notebookinstanzen die Verwendung von KMS konfiguriert ist

  • Echtzeit-Scans: Nein

Sagemaker Notebook No Direct Internet Access

Kategoriename in der API: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

Ergebnisbeschreibung:

Prüft, ob der direkte Internetzugriff für eine SageMaker-Notebookinstanz deaktiviert ist. Dazu wird geprüft, ob das Feld „DirectInternetAccess“ für die Notebookinstanz deaktiviert ist.

Wenn Sie Ihre SageMaker-Instanz ohne VPC konfigurieren, ist standardmäßig der direkte Internetzugriff auf Ihrer Instanz aktiviert. Konfigurieren Sie Ihre Instanz mit einer VPC und ändern Sie die Standardeinstellung in „Deaktivieren – Zugriff auf das Internet über eine VPC“.

Sie benötigen einen Internetzugang, um Modelle über ein Notebook zu trainieren oder zu hosten. Damit der Internetzugriff möglich ist, muss Ihre VPC ein NAT-Gateway haben und Ihre Sicherheitsgruppe ausgehende Verbindungen zulassen. Weitere Informationen zum Verbinden einer Notebookinstanz mit Ressourcen in einer VPC finden Sie im Amazon SageMaker-Entwicklerleitfaden unter „Notebookinstanz mit Ressourcen in einer VPC verbinden“.

Achten Sie außerdem darauf, dass nur autorisierte Nutzer auf Ihre SageMaker-Konfiguration zugreifen können. Beschränken Sie die IAM-Berechtigungen der Nutzer, um die SageMaker-Einstellungen und ‑Ressourcen zu ändern.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Prüfen Sie, ob der direkte Internetzugriff für alle Amazon SageMaker-Notebookinstanzen deaktiviert ist

  • Echtzeit-Scans: Nein

Secretsmanager Rotation Enabled Check

Kategoriename in der API: SECRETSMANAGER_ROTATION_ENABLED_CHECK

Ergebnisbeschreibung:

Prüft, ob ein in AWS Secrets Manager gespeichertes Secret für die automatische Rotation konfiguriert ist. Die Steuerung schlägt fehl, wenn das Secret nicht für die automatische Rotation konfiguriert ist. Wenn Sie einen benutzerdefinierten Wert für den Parameter maximumAllowedRotationFrequency angeben, wird das Steuerelement nur übergeben, wenn das Secret innerhalb des angegebenen Zeitfensters automatisch rotiert wird.

Mit Secret Manager können Sie den Sicherheitsstatus Ihrer Organisation verbessern. Zu Secrets gehören Datenbankanmeldedaten, Passwörter und API-Schlüssel von Drittanbietern. Mit Secret Manager können Sie Secrets zentral speichern, automatisch verschlüsseln, den Zugriff darauf steuern und Secrets sicher und automatisch rotieren.

Secrets Manager kann Secrets rotieren. Mithilfe der Rotation können Sie langfristige Secrets durch kurzfristige ersetzen. Durch das Rotieren Ihrer Secrets wird begrenzt, wie lange ein nicht autorisierter Nutzer ein manipuliertes Secret verwenden kann. Aus diesem Grund sollten Sie Ihre Secrets regelmäßig wechseln. Weitere Informationen zur Rotation finden Sie unter AWS Secrets Manager-Secrets rotieren im AWS Secrets Manager-Nutzerhandbuch.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4

Prüfen Sie, ob für alle AWS Secrets Manager-Secrets die Rotation aktiviert ist

  • Echtzeit-Scans: Nein

Sns Encrypted Kms

Kategoriename in der API: SNS_ENCRYPTED_KMS

Ergebnisbeschreibung:

Prüft, ob ein SNS-Thema im inaktiven Zustand mit AWS KMS verschlüsselt wird. Die Steuerelemente funktionieren nicht, wenn für ein SNS-Thema kein KMS-Schlüssel für die serverseitige Verschlüsselung (SSE) verwendet wird.

Durch die Verschlüsselung ruhender Daten verringert sich das Risiko, dass auf dem Laufwerk gespeicherte Daten von einem nicht bei AWS authentifizierten Nutzer aufgerufen werden. Außerdem werden weitere Zugriffskontrollen hinzugefügt, um den Zugriff nicht autorisierter Nutzer auf die Daten zu begrenzen. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. Für eine zusätzliche Sicherheitsebene sollten SNS-Themen im Ruhezustand verschlüsselt werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)

Prüfen Sie, ob alle SNS-Themen mit KMS verschlüsselt sind

  • Echtzeit-Scans: Nein

Vpc Default Security Group Closed

Kategoriename in der API: VPC_DEFAULT_SECURITY_GROUP_CLOSED

Ergebnisbeschreibung:

Hier wird geprüft, ob die Standardsicherheitsgruppe einer VPC eingehenden oder ausgehenden Traffic zulässt. Die Prüfung schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Traffic zulässt.

Die Regeln für die Standardsicherheitsgruppe erlauben den gesamten ausgehenden und eingehenden Traffic von Netzwerkschnittstellen (und ihren zugehörigen Instanzen), die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, die Standardsicherheitsgruppe nicht zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Einstellung für die Standardsicherheitsgruppenregeln ändern, um eingehenden und ausgehenden Traffic einzuschränken. Dies verhindert unbeabsichtigten Traffic, wenn die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2-Instanzen konfiguriert wird.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt

  • Echtzeit-Scans: Nein

Vpc Flow Logging Enabled All Vpcs

Kategoriename in der API: VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

Ergebnisbeschreibung:

Mit VPC-Flusslogs können Sie Informationen zum IP-Traffic erfassen, der an Netzwerkschnittstellen in Ihrem VPC ein- und ausgeht. Nachdem Sie ein Flusslog erstellt haben, können Sie die zugehörigen Daten in Amazon CloudWatch Logs ansehen und abrufen. Es wird empfohlen, VPC-Flusslogs für Pakete vom Typ „Abgelehnt“ für VPCs zu aktivieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance standards:

  • NIST 800-53 R5: SI-4, SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS AWS Foundation 2.0.0: 3.9
  • CIS Controls 8.0: 13.6, 8.2

Achten Sie darauf, dass VPC-Fluss-Logging in allen VPCs aktiviert ist

  • Echtzeit-Scans: Nein

Vpc Sg Open Only To Authorized Ports

Kategoriename in der API: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

Ergebnisbeschreibung:

Mit dieser Einstellung wird geprüft, ob eine Amazon EC2-Sicherheitsgruppe uneingeschränkten eingehenden Traffic von nicht autorisierten Ports zulässt. Der Steuerstatus wird so ermittelt:

Wenn Sie den Standardwert für „authorizedTcpPorts“ verwenden, schlägt die Prüfung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem anderen Port als den Ports 80 und 443 zulässt.

Wenn Sie benutzerdefinierte Werte für „authorizedTcpPorts“ oder „authorizedUdpPorts“ angeben, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem nicht aufgeführten Port zulässt.

Wenn kein Parameter verwendet wird, schlägt die Steuerung für alle Sicherheitsgruppen fehl, die eine Regel für uneingeschränkten eingehenden Traffic haben.

Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS. Sicherheitsgruppenregeln sollten dem Prinzip der geringsten Berechtigung folgen. Uneingeschränkter Zugriff (IP-Adresse mit dem Suffix /0) erhöht das Risiko von schädlichen Aktivitäten wie Hacking, Denial-of-Service-Angriffen und Datenverlust. Sofern ein Port nicht ausdrücklich zugelassen ist, sollte er den uneingeschränkten Zugriff verweigern.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Prüfen Sie, ob Sicherheitsgruppen mit 0.0.0.0/0 von VPCs nur bestimmten eingehenden TCP/UDP-Traffic zulassen

  • Echtzeit-Scans: Nein

Both VPC VPN Tunnels Up

Kategoriename in der API: VPC_VPN_2_TUNNELS_UP

Ergebnisbeschreibung:

Ein VPN-Tunnel ist eine verschlüsselte Verbindung, über die Daten innerhalb einer AWS Site-to-Site-VPN-Verbindung vom Kundennetzwerk zu oder von AWS übertragen werden können. Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie gleichzeitig für Hochverfügbarkeit verwenden können. Es ist wichtig, dass beide VPN-Tunnel für eine VPN-Verbindung aktiviert sind, um eine sichere und hochverfügbare Verbindung zwischen einem AWS-VPC und Ihrem Remote-Netzwerk zu gewährleisten.

Mit dieser Prüfung wird überprüft, ob beide VPN-Tunnel, die von AWS Site-to-Site VPN bereitgestellt werden, den Status „UP“ haben. Die Steuerung schlägt fehl, wenn einer oder beide Tunnel den Status „AUS“ haben.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Prüfen Sie, ob beide von AWS Site-to-Site bereitgestellten AWS-VPN-Tunnel den Status UP haben

  • Echtzeit-Scans: Nein

Web Security Scanner-Ergebnisse

Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. Im In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans bereitgestellter Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Kategorie Ergebnisbeschreibung OWASP 2017 Top 10 OWASP 2021 Top 10

Accessible Git repository

Kategoriename in der API: ACCESSIBLE_GIT_REPOSITORY

Ein Git-Repository ist öffentlich zugänglich. Entfernen Sie unbeabsichtigte Elemente, um das Problem zu beheben öffentlichen Zugriff auf das GIT-Repository.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A5 A01

Accessible SVN repository

Kategoriename in der API: ACCESSIBLE_SVN_REPOSITORY

Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A5 A01

Cacheable password input

Kategoriename in der API: CACHEABLE_PASSWORD_INPUT

In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A3 A04

Clear text password

Kategoriename in der API: CLEAR_TEXT_PASSWORD

Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A3 A02

Insecure allow origin ends with validation

Kategoriename in der API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Suffix des Origin Anfrageheader, bevor sie im Access-Control-Allow-Origin widergespiegelt werden -Antwortheader. Um dieses Ergebnis zu beheben, prüfen Sie, ob die erwartete Stammdomain Teil der des Header-Werts Origin, bevor er im Access-Control-Allow-Origin-Antwortheader. Stellen Sie bei Subdomain-Platzhaltern den Punkt zur Stammdomain hinzu, z. B. .endsWith(".google.com").

Preisstufe: Premium

Dieses Ergebnis korrigieren

A5 A01

Insecure allow origin starts with validation

Kategoriename in der API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Präfix des Origin-Anfrageheaders, bevor er es im Access-Control-Allow-Origin-Antwortheader widerspiegelt. Prüfen Sie, ob die erwartete Domain vollständig übereinstimmt, um dieses Ergebnis zu beheben Origin-Headerwert, bevor er im Access-Control-Allow-Origin-Antwortheader, z. B. .equals(".google.com")

Preisstufe: Premium

Dieses Ergebnis korrigieren

A5 A01

Invalid content type

Kategoriename in der API: INVALID_CONTENT_TYPE

Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Bis dieses Ergebnis lösen, geben Sie im HTTP-Header X-Content-Type-Options den richtigen Wert.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05

Invalid header

Kategoriename in der API: INVALID_HEADER

Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Um dieses Ergebnis zu lösen, HTTP-Sicherheitsheader richtig festlegen.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05

Mismatching security header values

Kategoriename in der API: MISMATCHING_SECURITY_HEADER_VALUES

Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05

Misspelled security header name

Kategoriename in der API: MISSPELLED_SECURITY_HEADER_NAME

Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie HTTP fest, um dieses Ergebnis zu lösen. Sicherheitsheader korrekt.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05

Mixed content

Kategoriename in der API: MIXED_CONTENT

Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05

Outdated library

Kategoriename in der API: OUTDATED_LIBRARY

Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Führen Sie ein Upgrade durch, um dieses Ergebnis zu beheben Bibliotheken auf eine neuere Version zu aktualisieren.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A9 A06

Server side request forgery

Kategoriename in der API: SERVER_SIDE_REQUEST_FORGERY

Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

Nicht zutreffend A10

Session ID leak

Kategoriename in der API: SESSION_ID_LEAK

Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzung des Nutzers ID im Referer-Anfrageheader. Diese Sicherheitslücke der Domain-Zugriff auf die Sitzungs-ID, die zur Identitäts- oder den Nutzer eindeutig identifizieren.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A2 A07

SQL injection

Kategoriename in der API: SQL_INJECTION

Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Um dieses Ergebnis zu lösen, verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Benutzereingaben die Struktur des SQL- Abfrage.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A1 A03

Struts insecure deserialization

Kategoriename in der API: STRUTS_INSECURE_DESERIALIZATION

Die Verwendung einer angreifbaren Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A8 A08

XSS

Kategoriename in der API: XSS

Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Bis dieses Ergebnis aufzuklären, zu validieren und nicht vertrauenswürdige, von Nutzern bereitgestellte Daten zu maskieren.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A7 A03

XSS angular callback

Kategoriename in der API: XSS_ANGULAR_CALLBACK

Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A7 A03

XSS error

Kategoriename in der API: XSS_ERROR

Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A7 A03

XXE reflected file leakage

Kategoriename in der API: XXE_REFLECTED_FILE_LEAKAGE

Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann den um eine Datei auf dem Host zu lecken. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A4 A05

Prototype pollution

Kategoriename in der API: PROTOTYPE_POLLUTION

Die Anwendung ist anfällig für Prototypenverschmutzung. Diese Sicherheitslücke tritt auf, können Eigenschaften des Object.prototype-Objekts von Angreifern steuerbare Werte. Von den in diese Prototypen gesetzten Werten wird allgemein angenommen. zu Cross-Site-Scripting oder ähnlichen clientseitigen Schwachstellen führen, Logikfehler.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A1 A03

IAM-Recommender-Ergebnisse

In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die vom IAM-Empfehlungstool generiert werden.

Jedes IAM-Recommender-Ergebnis enthält spezifische Empfehlungen zum Entfernen oder eine Rolle ersetzen, die übermäßige Berechtigungen eines Hauptkontos in Ihrem Google Cloud-Umgebung

Die vom IAM-Recommender generierten Ergebnisse entsprechen die in der Google Cloud Console auf der Seite IAM-Seite des betroffenen Projekts Ordner oder Organisation.

Weitere Informationen zur Einbindung des IAM-Recommenders in Security Command Center finden Sie unter Sicherheitsquellen.

Detektor Fazit

IAM role has excessive permissions

Kategoriename in der API: IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

Ergebnisbeschreibung: Der IAM-Empfehlungstool hat ein Dienstkonto mit einer oder mehreren IAM-Rollen erkannt, die dem Nutzerkonto zu viele Berechtigungen gewähren.

Preisstufe: Premium

Unterstützte Assets:

Beheben Sie das Ergebnis :

Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: diese Schritte:

  1. Gehen Sie in der Google Cloud Console zu den Ergebnisdetails im Abschnitt Nächste Schritte: Kopieren Sie die URL der IAM-Seite und fügen Sie sie in eine Browseradresse ein. und drücken Sie die Eingabetaste. Die Seite IAM wird geladen.
  2. Klicken Sie rechts oben auf der Seite IAM auf Empfehlungen in Tabelle ansehen Die Empfehlungen werden in einer Tabelle angezeigt.
  3. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Empfehlung, die sich auf nicht erforderliche Berechtigungen. Der Bereich mit den Details zur Empfehlung wird geöffnet.
  4. Sehen Sie sich die Empfehlung an, um zu erfahren, wie Sie das Problem beheben können.
  5. Klicken Sie auf Anwenden.

Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf INACTIVE.

Service agent role replaced with basic role

Kategoriename in der API: SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

Ergebnisbeschreibung: IAM-Recommender hat erkannt, dass der ursprüngliche Standardwert Die einem Dienst-Agent gewährte IAM-Rolle wurde durch eine der einfachen Rollen ersetzt IAM-Rollen: Inhaber, Bearbeiter oder Betrachter Einfache Rollen sind Legacy-Rollen mit zu umfangreichen Berechtigungen und sollten Dienst-Agents nicht gewährt werden.

Preisstufe: Premium

Unterstützte Assets:

Dieses Ergebnis korrigieren :

Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:

  1. Gehen Sie in der Google Cloud Console zu den Ergebnisdetails im Abschnitt Nächste Schritte: Kopieren Sie die URL der IAM und fügen Sie sie in die Adressleiste des Browsers ein. und drücken Sie die Eingabetaste. Die Seite IAM wird geladen.
  2. Klicken Sie rechts oben auf der Seite IAM auf Empfehlungen in Tabelle ansehen Die Empfehlungen werden in einer Tabelle angezeigt.
  3. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Berechtigung, die sich auf nicht erforderliche Berechtigungen bezieht. Der Bereich mit den Details zur Empfehlung wird geöffnet.
  4. Prüfen Sie die nicht erforderlichen Berechtigungen.
  5. Klicken Sie auf Anwenden.

Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf INACTIVE.

Service agent granted basic role

Kategoriename in der API: SERVICE_AGENT_GRANTED_BASIC_ROLE

Ergebnisbeschreibung: IAM-Recommender hat in IAM erkannt, dass einem Dienst-Agent eine gewährt wurde der einfachen IAM-Rollen Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind zu weit gefasste ältere Rollen und sollten Dienst-Agents nicht gewährt werden.

Preisstufe: Premium

Unterstützte Assets:

Dieses Ergebnis korrigieren :

Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:

  1. Gehen Sie in der Google Cloud Console zu den Ergebnisdetails im Abschnitt Nächste Schritte: Kopieren Sie die URL der IAM und fügen Sie sie in die Adressleiste des Browsers ein. und drücken Sie die Eingabetaste. Die Seite IAM wird geladen.
  2. Klicken Sie rechts oben auf der Seite IAM auf Empfehlungen in Tabelle ansehen Die Empfehlungen werden in einer Tabelle angezeigt.
  3. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Berechtigung, die sich auf nicht erforderliche Berechtigungen bezieht. Der Bereich mit den Details zur Empfehlung wird geöffnet.
  4. Prüfen Sie die nicht erforderlichen Berechtigungen.
  5. Klicken Sie auf Anwenden.

Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf INACTIVE.

Unused IAM role

Kategoriename in der API: UNUSED_IAM_ROLE

Ergebnisbeschreibung: Der IAM-Recommender hat ein Nutzerkonto erkannt, das ein IAM-Rolle, die in den letzten 90 Tagen nicht verwendet wurde.

Preisstufe: Premium

Unterstützte Assets:

Dieses Ergebnis korrigieren :

Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:

  1. Gehen Sie in der Google Cloud Console zu den Ergebnisdetails im Abschnitt Nächste Schritte: Kopieren Sie die URL der IAM und fügen Sie sie in die Adressleiste des Browsers ein. und drücken Sie die Eingabetaste. Die Seite IAM wird geladen.
  2. Klicken Sie rechts oben auf der Seite IAM auf Empfehlungen in Tabelle ansehen Die Empfehlungen werden in einer Tabelle angezeigt.
  3. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Berechtigung, die sich auf nicht erforderliche Berechtigungen bezieht. Der Bereich mit den Details zur Empfehlung wird geöffnet.
  4. Prüfen Sie die nicht erforderlichen Berechtigungen.
  5. Klicken Sie auf Anwenden.

Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf INACTIVE.

CIEM-Ergebnisse

In der folgenden Tabelle sind die Ergebnisse zu Security Command Center-Identität und -Zugriff aufgeführt für AWS, die von Cloud Infrastructure Entitlement Management (CIEM) generiert werden.

CIEM-Ergebnisse enthalten spezifische Empfehlungen zum Entfernen oder ersetzen Sie strikt restriktive AWS-IAM-Richtlinien, die mit angenommenen Identitäten verknüpft sind, oder Gruppen in Ihrer AWS-Umgebung.

Weitere Informationen zu CIEM finden Sie unter Cloud Infrastructure Entitlement Management.

Detektor Fazit

Assumed identity has excessive permissions

Kategoriename in der API: ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS

Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM ein übernommene IAM-Rolle mit einer oder mehreren strikt eingeschränkten Richtlinien, die gegen die Prinzip der geringsten Berechtigung und erhöhen die Sicherheitsrisiken.

Preisstufe: Enterprise

Beheben Sie das Ergebnis :

Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS Management Console aus:

  • Entfernen Sie die Richtlinie mit den erforderlichen Berechtigungen.
  • Erstellen Sie eine neue Richtlinie mit den Mindestberechtigungen, die für den Nutzer, die Gruppe oder die Rolle erforderlich sind. Hängen Sie dann die neue Richtlinie an den Nutzer, die Gruppe oder die Rolle an und entfernen Sie die Richtlinie mit den sehr permissiven Zugriffsrechten.

In den Details des Befunds finden Sie spezifische Schritte zur Behebung.

Group has excessive permissions

Kategoriename in der API: GROUP_HAS_EXCESSIVE_PERMISSIONS

Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM ein IAM erkannt. Gruppe mit einer oder mehreren strikt eingeschränkten Richtlinien, die gegen das Prinzip der geringsten Entfernung verstoßen und die Sicherheitsrisiken erhöhen.

Preisstufe: Enterprise

Beheben Sie das Ergebnis :

Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS Management Console aus:

  • Entfernen Sie die Richtlinie mit den erforderlichen Berechtigungen.
  • Erstellen Sie eine neue Richtlinie mit den Mindestberechtigungen, die für den Nutzer, die Gruppe oder die Rolle erforderlich sind. Hängen Sie dann die neue Richtlinie an den Nutzer, die Gruppe oder die Rolle an und entfernen Sie die Richtlinie mit den sehr permissiven Zugriffsrechten.

In den Details des Befunds finden Sie spezifische Schritte zur Behebung.

User has excessive permissions

Kategoriename in der API: USER_HAS_EXCESSIVE_PERMISSIONS

Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM ein IAM erkannt. Nutzer mit einer oder mehreren strikt eingeschränkten Richtlinien, die gegen das Prinzip der geringsten Entfernung verstoßen und die Sicherheitsrisiken erhöhen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren :

Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS Management Console aus:

  • Entfernen Sie die Richtlinie mit den erforderlichen Berechtigungen.
  • Erstellen Sie eine neue Richtlinie mit den Mindestberechtigungen, die für den Nutzer, die Gruppe oder die Rolle erforderlich sind. Hängen Sie dann die neue Richtlinie an den Nutzer, die Gruppe oder die Rolle an und entfernen Sie die Richtlinie mit den sehr permissiven Zugriffsrechten.

In den Details des Befunds finden Sie spezifische Schritte zur Behebung.

Ergebnisse des Dienstes „Sicherheitsstatus“

In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die vom Dienst zur Bewertung der Sicherheitslage generiert werden.

Jedes Ergebnis des Sicherheitsstatusdienstes identifiziert eine Driftinstanz von Ihrem definierten Sicherheitsstatus.

Ergebnis Fazit

SHA Canned Module Drifted

Kategoriename in der API: SECURITY_POSTURE_DETECTOR_DRIFT

Beschreibung des Ergebnisses: Der Dienst zur Bewertung der Sicherheitskonfiguration hat eine Änderung an einem Security Health Analytics-Detektor erkannt, die nicht im Rahmen eines Aktualisierungsvorgangs der Sicherheitskonfiguration stattgefunden hat.

Preisstufe: Premium

Beheben Sie das Ergebnis :

Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, sodass das Detektoreinstellungen in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu lösen: Sie können den Security Health Analytics-Detektor oder den Posture- und Posture-Deployment.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie den Security Health Analytics-Detektor in der Google Cloud Console. Anweisungen finden Sie unter Detektoren aktivieren und deaktivieren

Gehen Sie so vor, um die Änderung zu akzeptieren:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Anweisungen finden Sie unter Richtliniendefinitionen in einem Sicherheitsstatus aktualisieren
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

SHA Custom Module Drifted

Kategoriename in der API: SECURITY_POSTURE_DETECTOR_DRIFT

Ergebnisbeschreibung: Der Security Posture-Dienst hat eine Änderung an einer Benutzerdefiniertes Security Health Analytics-Modul, das außerhalb einer Statusaktualisierung aufgetreten ist.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, sodass die benutzerdefinierte Moduleinstellungen in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Security Health Analytics-Modul oder die Position und die Bereitstellung der Position aktualisieren.

Um die Änderung rückgängig zu machen, aktualisieren Sie das benutzerdefinierte Modul für Security Health Analytics im Google Cloud Console Anweisungen finden Sie unter Benutzerdefiniertes Modul aktualisieren

So akzeptieren Sie die Änderung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Anweisungen finden Sie unter Richtliniendefinitionen in einem Sicherheitsstatus aktualisieren
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

SHA Custom Module Deleted

Kategoriename in der API: SECURITY_POSTURE_DETECTOR_DELETE

Beschreibung des Ergebnisses: Der Dienst zur Bewertung der Sicherheitslage hat festgestellt, dass ein benutzerdefiniertes Security Health Analytics-Modul gelöscht wurde. Dieses Löschen erfolgte außerhalb eines Statusupdates.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, sodass die benutzerdefinierte Moduleinstellungen in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Security Health Analytics-Modul oder die Position und die Bereitstellung der Position aktualisieren.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Security Health Analytics-Modul in der Google Cloud Console. Anweisungen finden Sie unter Benutzerdefiniertes Modul aktualisieren

Gehen Sie so vor, um die Änderung zu akzeptieren:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Org Policy Canned Constraint Drifted

Kategoriename in der API: SECURITY_POSTURE_POLICY_DRIFT

Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer Organisationsrichtlinie erkannt, die nicht im Rahmen eines Statusupdates erfolgt ist.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, sodass das Definitionen der Organisationsrichtlinien in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Optionen zur Behebung dieses Ergebnisses: Sie können die Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Für finden Sie unter Richtlinien erstellen und bearbeiten

So akzeptieren Sie die Änderung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Org Policy Canned Constraint Deleted

Kategoriename in der API: SECURITY_POSTURE_POLICY_DELETE

Ergebnisbeschreibung: Der Dienst zum Bestimmen des Sicherheitsstatus hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, sodass das Definitionen der Organisationsrichtlinien in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Optionen zur Behebung dieses Ergebnisses: Sie können die Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Für finden Sie unter Richtlinien erstellen und bearbeiten

Gehen Sie so vor, um die Änderung zu akzeptieren:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Anweisungen finden Sie unter Statusbereitstellung aktualisieren

Org Policy Custom Constraint Drifted

Kategoriename in der API: SECURITY_POSTURE_POLICY_DRIFT

Ergebnisbeschreibung: Der Security Posture-Dienst hat eine Änderung an einer benutzerdefinierte Organisationsrichtlinie, die außerhalb einer Statusaktualisierung erfolgte.

Preisstufe: Premium

Beheben Sie das Ergebnis :

Bei diesem Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Definitionen der Organisationsrichtlinien in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei um dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie aktualisieren oder den Status und die Bereitstellung aktualisieren.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Anweisungen finden Sie unter Benutzerdefinierte Einschränkung aktualisieren

So akzeptieren Sie die Änderung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Anweisungen finden Sie unter Statusbereitstellung aktualisieren

Org Policy Custom Constraint Deleted

Kategoriename in der API: SECURITY_POSTURE_POLICY_DELETE

Ergebnisbeschreibung: Der Dienst zum Bestimmen des Sicherheitsstatus hat erkannt, dass eine benutzerdefinierte Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte nicht im Rahmen eines Statusupdates.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Bei diesem Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Definitionen der Organisationsrichtlinien in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei um dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie aktualisieren oder den Status und die Bereitstellung aktualisieren.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefinierte Einschränkung aktualisieren.

So akzeptieren Sie die Änderung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Anweisungen finden Sie unter Statusbereitstellung aktualisieren

In der folgenden Tabelle sind die Ergebnisse zum Sicherheitsstatus aufgeführt, die Instanzen von Ressourcen, die gegen Ihren definierten Sicherheitsstatus verstoßen.

Ergebnis Fazit

Disable VPC External IPv6

Kategoriename in der API: DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass in einem Subnetz eine externe IPv6-Adresse aktiviert ist.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource löschen oder die Ausrichtung aktualisieren und neu bereitstellen.

So löschen Sie die Ressource:

  1. Öffnen Sie die Ergebniszusammenfassung.
  2. Suchen Sie im Abschnitt der betroffenen Ressource nach dem vollständigen Namen der Ressource, die gegen die Richtlinien verstößt. die Status-Richtlinie anpassen.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die zugehörigen Details zu öffnen.
  4. Löschen Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Körperhaltung. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Anweisungen finden Sie unter Statusbereitstellung aktualisieren

Disable VPC Internal IPv6

Kategoriename in der API: DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

Ergebnisbeschreibung: Der Security Posture-Dienst hat festgestellt, dass eine für das Subnetzwerk eine interne IPv6-Adresse aktiviert ist.

Preisstufe: Premium

Beheben Sie das Ergebnis :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource löschen oder die Ausrichtung aktualisieren und neu bereitstellen.

So löschen Sie die Ressource:

  1. Öffnen Sie die Ergebniszusammenfassung.
  2. Suchen Sie im Abschnitt der betroffenen Ressource nach dem vollständigen Namen der Ressource, die gegen die Richtlinien verstößt. die Status-Richtlinie anpassen.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die zugehörigen Details zu öffnen.
  4. Löschen Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Körperhaltung. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Anweisungen finden Sie unter Richtliniendefinitionen in einem Sicherheitsstatus aktualisieren
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Require OS Login

Kategoriename in der API: REQUIRE_OS_LOGIN_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass das OS-Anmeldeverfahren in einer VM-Instanz deaktiviert ist.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt der betroffenen Ressource nach dem vollständigen Namen der Ressource, die gegen die Richtlinien verstößt. die Status-Richtlinie anpassen.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Bearbeiten Sie die Ressource. Suchen Sie den Metadatenbereich und ändern Sie den Eintrag mit dem Schlüssel enable-oslogin in TRUE.
  5. Speichern Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. Führen Sie die folgenden Schritte aus, um den Status zu aktualisieren:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Anweisungen finden Sie unter Richtliniendefinitionen in einem Sicherheitsstatus aktualisieren
  3. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Anweisungen finden Sie unter Statusbereitstellung aktualisieren

Restrict Authorized Networks

Kategoriename in der API: RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitslage hat erkannt, dass einer SQL-Instanz ein autorisiertes Netzwerk hinzugefügt wurde.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Dieses Ergebnis erfordert, dass Sie den Verstoß beheben oder den Sicherheitsstatus aktualisieren. Sie haben zwei Optionen zur Behebung dieses Ergebnisses: Sie können die Ressource aktualisieren, die einen Verstoß darstellt, oder Sie und stellen Sie den Sicherheitsstatus noch einmal bereit.

Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt der betroffenen Ressource nach dem vollständigen Namen der Ressource, die gegen die Richtlinien verstößt. die Status-Richtlinie anpassen.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Bearbeiten Sie die Ressource. Gehen Sie unter „Verbindungen“ zum Bereich „Autorisiertes Netzwerk“. alle Einträge löschen.
  5. Speichern Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. Führen Sie die folgenden Schritte aus, um den Status zu aktualisieren:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Anweisungen finden Sie unter Richtliniendefinitionen in einem Sicherheitsstatus aktualisieren
  3. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Require VPC Connector

Kategoriename in der API: REQUIRE_VPC_CONNECTOR_ORG_POLICY

Ergebnisbeschreibung: Der Security Posture-Dienst hat erkannt, dass eine VPC Connector ist nicht für eine Cloud Run-Funktionsinstanz aktiviert.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt der betroffenen Ressource nach dem vollständigen Namen der Ressource, die gegen die Richtlinien verstößt. die Status-Richtlinie anpassen.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die zugehörigen Details zu öffnen.
  4. Klicken Sie auf Bearbeiten.
  5. Klicken Sie auf den Tab Verbindungen.
  6. Suchen Sie den Abschnitt Einstellungen für ausgehenden Traffic. Wählen Sie im Menü Netzwerk einen geeigneten VPC-Connector aus.
  7. Klicken Sie auf Weiter.
  8. Klicken Sie auf Bereitstellen.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Anweisungen finden Sie unter Richtliniendefinitionen in einem Sicherheitsstatus aktualisieren
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Disabled Serial Port Access

Kategoriename in der API: DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

Ergebnisbeschreibung: Der Security Posture-Dienst hat festgestellt, dass serielle ist der Portzugriff auf eine VM-Instanz aktiviert.

Preisstufe: Premium

Beheben Sie das Ergebnis :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt der betroffenen Ressource nach dem vollständigen Namen der Ressource, die gegen die Richtlinien verstößt. die Status-Richtlinie anpassen.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Bearbeiten Sie die Ressource. Suchen Sie den Bereich „Remotezugriff“ und entfernen Sie das Häkchen aus dem Kästchen Verbindung zu seriellen Ports aktivieren.
  5. Speichern Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. Führen Sie die folgenden Schritte aus, um den Status zu aktualisieren:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Skip Default Network Creation

Kategoriename in der API: SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

Ergebnisbeschreibung: Der Security Posture-Dienst hat erkannt, dass ein Standard- Netzwerk erstellt wird.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource löschen oder die Ausrichtung aktualisieren und neu bereitstellen.

So löschen Sie die Ressource:

  1. Öffnen Sie die Ergebniszusammenfassung.
  2. Suchen Sie im Abschnitt der betroffenen Ressource nach dem vollständigen Namen der Ressource, die gegen die Richtlinien verstößt. die Status-Richtlinie anpassen.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die zugehörigen Details zu öffnen.
  4. Löschen Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Körperhaltung. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Allowed Ingress

Kategoriename in der API: ALLOWED_INGRESS_ORG_POLICY

Ergebnisbeschreibung: Der Security Posture-Dienst hat festgestellt, dass eine Der Cloud Run-Dienst entspricht nicht den angegebenen Einstellungen für eingehenden Traffic.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt der betroffenen Ressource nach dem vollständigen Namen der Ressource, die gegen die Richtlinien verstößt. die Status-Richtlinie anpassen.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Klicken Sie auf den Tab Netzwerk. Einstellungen so ändern, dass sie dem zugelassenen eingehenden Traffic entsprechen .
  5. Speichern Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. Führen Sie die folgenden Schritte aus, um den Status zu aktualisieren:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Anweisungen finden Sie unter Statusbereitstellung aktualisieren

Uniform Bucket Level Access

Kategoriename in der API: UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

Ergebnisbeschreibung: Der Security Posture-Dienst hat festgestellt, dass eine Der Zugriff auf Bucket-Ebene ist engmaschig und nicht einheitlich.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt der betroffenen Ressource nach dem vollständigen Namen der Ressource, die gegen die Richtlinien verstößt. die Status-Richtlinie anpassen.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Klicken Sie auf den Tab Berechtigungen. Klicken Sie auf der Karte Zugriffssteuerung auf Zu einheitlich wechseln.
  5. Wählen Sie „Uniform“ aus und speichern Sie die Änderungen.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Körperhaltung. Führen Sie die folgenden Schritte aus, um den Status zu aktualisieren:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie den aktualisierten Status mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Allowed VPC Egress

Kategoriename in der API: ALLOWED_VPC_EGRESS_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitslage hat festgestellt, dass ein Cloud Run-Dienst nicht den angegebenen Einstellungen für ausgehenden Traffic entspricht.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt der betroffenen Ressource nach dem vollständigen Namen der Ressource, die gegen die Richtlinien verstößt. die Status-Richtlinie anpassen.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die zugehörigen Details zu öffnen.
  4. Klicken Sie auf Bearbeiten und Stellen Sie die neue Version bereit und klicken Sie dann auf den Tab Netzwerk. Ändern Sie die Einstellung Traffic-Routing im Bereich Mit einer VPC für ausgehenden Traffic verbinden so, dass sie der zulässigen ausgehenden Richtlinie entspricht.
  5. Stellen Sie die Ressource bereit.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Körperhaltung. Führen Sie die folgenden Schritte aus, um den Status zu aktualisieren:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

VM Manager

VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.

Wenn Sie VM Manager mit Security Command Center Premium auf Organisationsebene aktivieren, schreibt VM Manager Ergebnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, in Security Command Center. Die Berichte enthalten Informationen zu Sicherheitslücken in Betriebssystemen, die auf VMs installiert sind, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs).

So verwenden Sie VM Manager mit Aktivierungen auf Projektebene der Security Command Center Premium, aktivieren Sie Security Command Center Standard in der Dachorganisation.

Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.

Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit dieser Funktion können Sie Patchverwaltung auf Organisationsebene für alle Ihre Projekte.

Der Schweregrad der Ergebnisse zu Sicherheitslücken, die von VM Manager ist immer entweder CRITICAL oder HIGH.

VM Manager-Ergebnisse

Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.

Detektor Fazit Asset-Scaneinstellungen

OS vulnerability

Kategoriename in der API: OS_VULNERABILITY

Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt.

Preisstufe: Premium

Unterstützte Assets

compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

VM Manager Berichte zu Sicherheitslücken Details zu Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine VMs, einschließlich Common Vulnerabilities and Exposures (CVEs).

Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter Details zu Betriebssystemen.

Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt:

  • Wenn ein Paket im Betriebssystem einer VM installiert oder aktualisiert wird, können Sie davon ausgehen, dass Informationen zu Common Vulnerabilities and Exposures (CVEs) für die VM im Security Command Center innerhalb von zwei Stunden nach der Änderung angezeigt werden.
  • Wenn neue Sicherheitshinweise für ein Betriebssystem veröffentlicht werden, werden aktualisierte CVEs normalerweise innerhalb von 24 Stunden nach der Veröffentlichung des Betriebssystems verfügbar. nicht empfohlen.

Ergebnisse in der Console ansehen

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option VM Manager: Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Security Operations-Konsole

  1. Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Klicken Sie im Abschnitt Aggregationen, um den Anzeigenamen der Quelle zu maximieren. Unterabschnitt.
  3. Wählen Sie VM Manager aus. Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
  4. Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
  6. Optional: Um die vollständige JSON-Definition des Ergebnisses anzusehen, klicken Sie auf den Tab JSON.

Korrekturmaßnahmen für VM-Manager-Ergebnisse

Ein OS_VULNERABILITY-Ergebnis gibt an, dass VM Manager eine Sicherheitslücke in den installierten Betriebssystempaketen in einer Compute Engine-VM gefunden hat.

So können Sie dieses Ergebnis beheben:

  1. Ein OS vulnerability-Ergebnis öffnen und dessen JSON-Datei ansehen Definition.

  2. Kopieren Sie den Wert des Felds externalUri. Dieser Wert ist der URI für die Seite OS-Informationen der Compute Engine-VM-Instanz, auf der das anfällige Betriebssystem installiert ist.

  3. Wenden Sie alle erforderlichen Patches für das Betriebssystem an, das unter Allgemeine Informationen angezeigt wird. . Eine Anleitung zum Bereitstellen von Patches finden Sie unter Patchjobs erstellen.

Weitere Informationen zu diesem Ergebnistyp unterstützte Einstellungen für Assets und Scans.

VM Manager-Ergebnisse stummschalten

Sie können einige oder alle VM Manager-Ergebnisse im Security Command Center ausblenden, wenn sie für Ihre Sicherheitsanforderungen nicht relevant sind.

Sie können VM Manager-Ergebnisse ausblenden, indem Sie Ausblendungsregel erstellen und spezifische Abfrageattribute für die VM Manager-Ergebnisse hinzufügen die Sie ausblenden möchten.

So erstellen Sie eine Ausblendungsregel für VM Manager mithilfe der Methode Führen Sie in der Google Cloud Console die folgenden Schritte aus:

  1. Rufen Sie in der Google Cloud Console die Security Command Center-Seite Ergebnisse auf.

    Zu Ergebnissen

  2. Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.

  3. Klicken Sie auf Ausblendungsoptionen und wählen Sie dann Ausblendungsregel erstellen aus.

  4. Geben Sie eine ID für eine Ausblendungs-Regel ein. Dieser Wert ist erforderlich.

  5. Geben Sie eine Beschreibung der Ausblendungsregel ein, die den Kontext dafür enthält, warum die Ergebnisse ausgeblendet werden. Dieser Wert ist optional, wird aber empfohlen.

  6. Prüfe den Geltungsbereich der Stummschaltungsregel anhand des Werts für Übergeordnete Ressource.

  7. Erstellen Sie im Feld Ergebnisabfrage Ihre Abfrageanweisungen, indem Sie auf Filter hinzufügen: Alternativ können Sie die Abfrageanweisungen auch manuell eingeben.

    1. Wählen Sie im Dialogfeld Filter auswählen Ergebnisse > Anzeigename der Quelle > VM Manager

    2. Klicken Sie auf Anwenden.

    3. Wiederholen Sie diesen Vorgang, bis die Anfrage zum Stummschalten alle Attribute enthält, die Sie ausblenden möchten.

    Wenn Sie beispielsweise bestimmte CVE-IDs im Ergebnisse zu VM Manager-Sicherheitslücken, auswählen Sicherheitslücke > CVE-ID. Wählen Sie dann die CVE-IDs aus, die Sie ausblenden.

    Die Ergebnisabfrage sieht in etwa so aus:

    VM Manager-Ergebnisse stummschalten

  8. Klicken Sie auf Vorschau der übereinstimmenden Ergebnisse anzeigen.

    Eine Tabelle zeigt Ergebnisse an, die Ihrer Abfrage entsprechen.

  9. Klicken Sie auf Speichern.

Schutz sensibler Daten

In diesem Abschnitt werden die Sicherheitslücken beschrieben, die vom Sensitive Data Protection-Modul generiert werden, welche Compliance-Standards sie unterstützen und wie sie behoben werden können.

Sensitive Data Protection sendet Beobachtungsergebnisse auch an Security Command Center. Weitere Informationen zu den Beobachtungsergebnissen und Sensitive Data Protection finden Sie unter Schutz sensibler Daten

Informationen zum Aufrufen der Ergebnisse finden Sie unter Ergebnisse zum Schutz sensibler Daten in der Google Cloud Console prüfen

Mit dem Dienst zur Erkennung sensibler Daten können Sie feststellen, ob Sie höchst sensible Daten speichern, die nicht geschützt sind.

Kategorie Fazit

Public sensitive data

Kategoriename in der API:

PUBLIC_SENSITIVE_DATA

Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher Vertraulichkeit, auf die jeder im Internet zugreifen kann.

Unterstützte Assets:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket

Abhilfe:

Entfernen Sie für Google Cloud-Daten allUsers und allAuthenticatedUsers aus der IAM-Richtlinie des Daten-Assets.

Bei Amazon S3-Daten Einstellungen zum Blockieren des öffentlichen Zugriffs konfigurieren oder aktualisieren Sie die ACL des Objekts, um den öffentlichen Lesezugriff zu verhindern.

Compliance-Standards: Nicht zugeordnet

Secrets in environment variables

Kategoriename in der API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Ergebnisbeschreibung: In den Umgebungsvariablen von Cloud Run-Funktionen befinden sich Geheimnisse, z. B. Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten.

Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Geheimnisse in Umgebungsvariablen an Security Command Center melden.

Unterstützte Assets: cloudfunctions.googleapis.com/CloudFunction

Behebung: Entfernen Sie das Secret aus der Umgebungsvariablen und speichern Sie es stattdessen in Secret Manager.

Compliance-Standards:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Kategoriename in der API:

SECRETS_IN_STORAGE

Ergebnisbeschreibung: In der angegebenen Ressource befinden sich Secrets wie Passwörter, Authentifizierungstokens und Cloud-Anmeldedaten.

Unterstützte Assets:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket

Behebung:

  1. Verwenden Sie für Google Cloud-Daten den Schutz sensibler Daten, um einen Deep-Inspection-Scan der angegebenen Ressource auszuführen und alle betroffenen Ressourcen zu identifizieren. Exportieren Sie Cloud SQL-Daten in eine CSV- oder AVRO-Datei in einem Cloud Storage-Bucket und führen Sie eine Deep-Inspection-Suche auf den Bucket aus.

    Prüfen Sie bei Amazon S3-Daten den angegebenen Bucket manuell.

  2. Entfernen Sie die erkannten Secrets.
  3. Setzen Sie gegebenenfalls die Anmeldedaten zurück.
  4. Bei Google Cloud-Daten sollten Sie die erkannten Secrets in folgendem Verzeichnis speichern: Secret Manager.

Compliancestandards: Nicht zugeordnet

Policy Controller

Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster, die als Flottenmitgliedschaften registriert sind. Diese Richtlinien dienen als Schutzmaßnahmen und kann Sie bei Best Practices, Sicherheit und Compliance unterstützen. Verwaltung Ihrer Cluster und Ihrer Flotte.

Auf dieser Seite sind nicht alle einzelnen Policy Controller-Ergebnisse aufgeführt. Die Informationen zu den Misconfiguration-Klassenergebnissen, die Policy Controller in das Security Command Center schreibt, stimmen jedoch mit den Clusterverstößen überein, die für jedes Policy Controller-Bundle dokumentiert sind. Die Dokumentation zu den einzelnen Policy Controller-Ergebnistypen finden Sie in den folgenden Policy Controller-Bundles:

Diese Funktion ist nicht mit VPC Service Controls-Dienstperimetern für die Stackdriver API kompatibel.

Ergebnisse des Policy Controllers finden und beheben

Die Policy Controller-Kategorien entsprechen den Einschränkungsnamen, die unter in der Dokumentation zu Policy Controller-Bundles. Ein require-namespace-network-policies-Ergebnis gibt beispielsweise an, dass ein Namespace gegen die Richtlinie verstößt, dass jeder Namespace in einem Cluster eine NetworkPolicy haben muss.

So korrigieren Sie ein Ergebnis:

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Policy Controller im Cluster. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Security Operations-Konsole

  1. Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
  3. Wählen Sie Policy Controller On-Cluster aus. Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
  4. Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Nächste Schritte