Security Health Analytics- und Web Security Scanner-Detektoren generieren Ergebnisse zu Sicherheitslücken, sind in Security Command Center verfügbar. Wenn sie in Security Command Center aktiviert sind, generieren integrierte Dienste wie VM Manager auch Ergebnisse zu Sicherheitslücken.
Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) und Berechtigungen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu IAM-Rollen im Security Command Center finden Sie unter Zugriffssteuerung.
Detektoren und Compliance
Security Command Center-Überwachung Ihre Compliance mit Detektoren, die den Kontrollen einer Vielzahl von Sicherheitsfunktionen entsprechen zu entwickeln.
Für jeden unterstützten Sicherheitsstandard Security Command Center prüft eine ausgewählt werden. Für die geprüften Steuerelemente zeigt Security Command Center an, wie viele bestanden werden. Für die nicht bestandenen Kontrollen wird in Security Command Center eine Liste mit Ergebnissen angezeigt, die die Kontrollfehler beschreiben.
Das CIS prüft und zertifiziert die Zuordnungen der Security Command Center-Detektoren zu den einzelnen unterstützten Versionen des CIS Google Cloud Foundations Benchmarks. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.
Security Command Center regelmäßig werden neue Benchmark-Versionen und -Standards unterstützt. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, den neuesten unterstützten Benchmark oder Standard zu verwenden.
Mit dem Dienst zum Bestimmen des Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.
Weitere Informationen zum Verwalten der Compliance finden Sie unter Sicherheitskonformität bewerten und melden .
Unterstützte Sicherheitsstandards
Google Cloud
Security Command Center Ordnet Detektoren für Google Cloud einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:
- CIS Controls 8.0 (Center for Information Security)
- CIS Google Cloud Computing Foundations-Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix (CCM) 4
- US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- ISO 27001, 2022 und 2013 (International Organization for Standardization)
- National Institute of Standards and Technology (NIST) 800-53 R5 und R4
- NIST CSF 1.0
- Top Ten des Open Web Application Security Project (OWASP), 2021 und 2017
- Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
- System- und Organisationskontrollen (SOC) 2 2017 Trust Services Criteria (TSC)
AWS
In Security Command Center werden Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zugeordnet:
Eine Anleitung zum Aufrufen und Exportieren von Compliance-Berichten finden Sie in der Abschnitt Compliance in Security Command Center in der Google Cloud Console verwenden
Deaktivierung nach der Behebung von Problemen
Nachdem Sie eine Sicherheitslücke oder Fehlkonfiguration behoben haben, setzt der Security Command Center-Dienst, der das Ergebnis erkannt hat, den Status des Ergebnisses beim nächsten Scan des Erkennungsdienstes automatisch auf INACTIVE. Wie lange es dauert, bis ein behobenes Ergebnis in Security Command Center auf INACTIVE gesetzt wird, hängt vom Zeitplan des Scans ab, bei dem das Ergebnis erkannt wurde.
Die Security Command Center-Dienste legen auch den Status
fehlerhafte Konfiguration auf INACTIVE, wenn ein Scan erkennt, dass die Ressource
das vom Ergebnis betroffen ist, gelöscht wird.
Weitere Informationen zu Scanintervallen finden Sie in den folgenden Themen:
Ergebnisse von Security Health Analytics
Detektoren von Security Health Analytics überwachen einen Teil der Ressourcen aus Cloud Asset Inventory (CAI), wobei sie Benachrichtigungen über Ressourcenänderungen und Richtlinienänderungen der Identitäts- und Zugriffsverwaltung (IAM) erhalten. Einige Detektoren rufen Daten ab, indem sie Google Cloud APIs direkt aufrufen, wie in Tabellen weiter unten auf dieser Seite angegeben.
Weitere Informationen zu Security Health Analytics, Scanzeitplänen und der Security Health Analytics-Unterstützung für integrierte und benutzerdefinierte Modul-Detektoren finden Sie unter Security Health Analytics – Übersicht.
In den folgenden Tabellen werden die Detektoren von Security Health Analytics, die unterstützten Assets und Compliance-Standards, die für Scans verwendeten Einstellungen und die generierten Ergebnistypen beschrieben. Sie können Ergebnisse nach verschiedenen Attributen filtern, indem Sie auf der Security Command Center-Seite Vulnerabilities (Sicherheitslücken) in der Google Cloud Console.
Eine Anleitung zum Beheben von Problemen und zum Schutz Ihrer Ressourcen finden Sie unter Ergebnisse von Security Health Analytics beheben.
Ergebnisse zu Sicherheitslücken beim API-Schlüssel
Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
API key APIs unrestricted
Kategoriename in der API: |
Ergebnisbeschreibung: API-Schlüssel werden zu häufig verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft das Attribut
|
API key apps unrestricted
Kategoriename in der API: |
Ergebnisbeschreibung: API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Ruft des Attribut
|
API key exists
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Ruft alle API-Schlüssel ab, die zu einem Projekt gehören.
|
API key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft den im Attribut
|
Ergebnisse zu Sicherheitslücken in Cloud Asset Inventory
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Asset Inventory-Konfigurationen und gehören zum Typ CLOUD_ASSET_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Cloud Asset API disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Erfassung von Google Cloud-Ressourcen und IAM-Richtlinien durch Cloud Asset Inventory ermöglicht Sicherheitsanalysen, das Tracking von Ressourcenänderungen und die Complianceprüfung. Wir empfehlen, den Cloud Asset Inventory-Dienst für alle Projekte zu aktivieren. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der Cloud Asset Inventory-Dienst aktiviert ist.
|
Ergebnisse zu Sicherheitslücken bei Compute-Images
Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Public Compute image
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Compute Engine-Image ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.
COMPUTE_INSTANCE_SCANNER-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Der Name solcher Instanzen beginnt mit "gke-" und kann von Nutzern nicht bearbeitet werden. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Confidential Computing disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Confidential Computing ist auf Compute Engine-Instanzen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Compute project wide SSH keys allowed
Kategoriename in der API: |
Ergebnisbeschreibung: Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
Compute Secure Boot disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen. Preisstufe: Premium Unterstützte Assets Compliance standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft das Attribut
|
Compute serial ports enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Serielle Ports sind für eine Instanz aktiviert und ermöglichen Verbindungen zur seriellen Konsole der Instanz. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Objekt
|
Default service account used
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Disk CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft das Feld
|
Disk CSEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Sonderfalldetektor. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
Full API access
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft das Feld
|
HTTP load balancer
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Bestimmt, ob das Attribut
|
Instance OS Login disabled
Kategoriename in der API: |
Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets
Compliance-Standards:
|
Prüft, ob das Attribut
|
IP forwarding enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die IP-Weiterleitung ist für Instanzen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
OS login disabled
Kategoriename in der API: |
Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Objekt
|
Public IP address
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz hat eine öffentliche IP-Adresse. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Shielded VM disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Auf dieser Instanz ist Shielded VM deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Weak SSL policy
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz hat eine schwache SSL-Richtlinie. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob
|
Ergebnisse zu Container-Sicherheitslücken
Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Alpha cluster enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Alphacluster-Features sind für einen GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Auto repair disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das automatische Reparaturfeature eines GKE-Clusters, das Knoten in einem fehlerfreien, laufenden Zustand hält, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Auto upgrade disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Feature für automatische Upgrades eines GKE-Clusters, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Binary authorization disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Binärautorisierung ist entweder im GKE-Cluster deaktiviert oder die Richtlinie für die Binärautorisierung ist so konfiguriert, dass alle Images bereitgestellt werden können. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüfen Sie Folgendes:
|
Cluster logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Logging ist für einen GKE-Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Cluster monitoring disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Monitoring ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Cluster private Google access disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Clusterhosts sind nicht so konfiguriert, dass nur private interne IP-Adressen für den Zugriff auf Google APIs verwendet werden. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Cluster secrets encryption disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Cluster shielded nodes disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Shielded GKE-Knoten sind für einen Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
COS not used
Kategoriename in der API: |
Ergebnisbeschreibung: Compute Engine-VMs nutzen nicht Container-Optimzed OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Integrity monitoring disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Integritätsmonitoring ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Intranode visibility disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
IP alias disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Legacy authorization enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Legacy-Autorisierung ist in GKE-Clustern aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Legacy metadata enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Legacy-Metadaten sind für GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Master authorized networks disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Autorisierte Control Plane Authorized Networks ist in GKE-Clustern nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Network policy disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Netzwerkrichtlinie ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
Nodepool boot CMEK disabled
Kategoriename in der API: |
Beschreibung: Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft das Attribut
|
Nodepool secure boot disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Secure Boot ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Over privileged account
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkonto hat in einem Cluster übermäßig Zugriff auf das Projekt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Wertet das Attribut
|
Over privileged scopes
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Knotendienstkonto hat große Zugriffsbereiche. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der im Attribut config.oauthScopes eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich des Dienstkontos ist: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write oder https://www.googleapis.com/auth/monitoring.
|
Pod security policy disabled
Kategoriename in der API: |
Ergebnisbeschreibung: PodSecurityPolicy ist in einem GKE-Cluster deaktiviert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Private cluster disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen GKE-Cluster ist ein privater Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Release channel disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein GKE-Cluster ist nicht auf eine Release-Version abonniert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Web UI enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die GKE-Web-UI (Dashboard) ist aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
Workload Identity disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Workload Identity ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Dataproc-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Dataproc und gehören zum Detektortyp DATAPROC_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Dataproc CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dataproc-Cluster wurde ohne CMEK-Verschlüsselungskonfiguration erstellt. Mit CMEK werden die von Ihnen in Cloud KMS erstellten und verwalteten Schlüssel mit den Schlüsseln umschlossen, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Dataproc image outdated
Kategoriename in der API: |
Ergebnis-Beschreibung: Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228) und CVE-2021-45046). Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft, ob das Feld
|
Ergebnisse zu Dataset-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
BigQuery table CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Dataset CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein BigQuery-Dataset ist nicht für die Verwendung eines standardmäßigen CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Public dataset
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dataset ist für den öffentlichen Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu DNS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
DNSSEC disabled
Kategoriename in der API: |
Ergebnisbeschreibung: DNSSEC ist für Cloud DNS-Zonen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
RSASHA1 for signing
Kategoriename in der API: |
Ergebnisbeschreibung: RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Objekt
|
Ergebnisse zu Firewall-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Egress deny rule not set
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Firewall wurde keine Regel für ausgehenden Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Firewall rule logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Logging von Firewallregeln ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open Cassandra port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CASSANDRA-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open ciscosecure websm port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open directory services port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DIRECTORY_SERVICE-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open DNS port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DNS-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open elasticsearch port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ELASTICSEARCH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open firewall
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie öffentlich zugänglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft die Attribute
|
Open FTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen FTP-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open HTTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open LDAP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open Memcached port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open MongoDB port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open MySQL port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen MySQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open NetBIOS port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open OracleDB port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open pop3 port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open PostgreSQL port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open RDP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open Redis port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Open SMTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Open SSH port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Open Telnet port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu IAM-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Access Transparency disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Google Cloud Access Transparency ist für Ihre Organisation deaktiviert. Access Transparency wenn Google Cloud-Mitarbeiter auf Projekte in Ihrer Organisation zugreifen, zu unterstützen. Aktivieren Sie Access Transparency, um zu protokollieren, wer von Google Cloud wann und warum auf Ihre Daten zugreift. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob Access Transparency für Ihre Organisation aktiviert ist.
|
Admin service account
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkonto hat die Berechtigung Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle vom Nutzer erstellten Dienstkonten (angezeigt durch das Präfix iam.gserviceaccount.com), denen
|
Essential Contacts Not Configured
Kategoriename in der API: |
Beschreibung der Abweichung: Ihre Organisation hat keine Person oder Gruppe benannt, die Benachrichtigungen von Google Cloud zu wichtigen Ereignissen wie Angriffen, Sicherheitslücken und Datenpannen innerhalb Ihrer Google Cloud-Organisation erhält. Wir empfehlen, eine oder mehrere Personen oder Gruppen in Ihrem Unternehmen als wichtigen Kontakt anzugeben. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob ein Kontakt für die folgenden wichtigen Kontaktkategorien angegeben ist:
|
KMS role separation
Kategoriename in der API: |
Ergebnisbeschreibung: Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) hat: CryptoKey-Verschlüsseler/Entschlüsseler, Entschlüsseler oder Verschlüsseler. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft IAM-Zulassungsrichtlinien in Ressourcenmetadaten und ruft Hauptkonten ab, denen gleichzeitig eine der folgenden Rollen zugewiesen ist: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter und roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
|
Non org IAM member
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 lösen derzeit nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Vergleicht @gmail.com-E-Mail-Adressen im Feld
|
Open group IAM member
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft die IAM-Richtlinie in Ressourcenmetadaten auf alle Bindungen, die ein Mitglied (Hauptkonto) mit dem Präfix group enthalten. Wenn die Gruppe eine offene Gruppe ist, generiert Security Health Analytics dieses Ergebnis.
|
Over privileged service account user
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene, statt für ein bestimmtes Dienstkonto. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf alle Hauptkonten, denen roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator auf Projektebene zugewiesen ist.
|
Primitive roles used
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat eine der folgenden einfachen Rollen:
Diese Rollen sind zu moderat und sollten nicht verwendet werden. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen eine
|
Redis role used on org
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets
Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf Hauptkonten, denen
|
Service account role separation
Kategoriename in der API: |
Ergebnisbeschreibung: Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung". Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen sowohl roles/iam.serviceAccountUser als auch roles/iam.serviceAccountAdmin zugewiesen ist.
|
Service account key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Wertet den Zeitstempel der Schlüsselerstellung aus, der im Attribut
|
User managed service account key
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer verwaltet einen Dienstkontoschlüssel. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu KMS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
KMS key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Verschlüsselungsschlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft Ressourcenmetadaten auf das Vorhandensein von
|
KMS project has owner
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in Projektmetadaten auf Hauptkonten, denen
|
KMS public key
Kategoriename in der API: |
Ergebnisbeschreibung: Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Too many KMS users
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft IAM-Zulassungsrichtlinien auf Schlüsselbunde, Projekte und Organisationen und ruft Hauptkonten mit Rollen ab, mit denen sie Daten mithilfe von Cloud KMS-Schlüsseln verschlüsseln, entschlüsseln oder signieren können: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer und roles/cloudkms.signerVerifier.
|
Ergebnisse zu Logging-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Audit logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Audit-Logging wurde für diese Ressource deaktiviert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf das Vorhandensein eines
|
Bucket logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt einen Storage-Bucket ohne aktiviertes Logging. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Locked retention policy not set
Kategoriename in der API: |
Ergebnisbeschreibung: Für Logs ist keine gesperrte Aufbewahrungsrichtlinie festgelegt. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Log not exported
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Ressource ist keine geeignete Logsenke konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets
Compliance standards:
|
Ruft ein
|
Object versioning disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Ergebnisse zu Monitoring-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:
- Den
RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll. - Die
QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken. - Die
AlertPolicyFailureReasons, die angeben, ob für das Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder ob die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Audit config not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Audit-Konfigurationsänderungen konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Bucket IAM not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen der Cloud Storage-IAM-Berechtigungen konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Custom role not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen benutzerdefinierter Rollen konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Firewall not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an VPC-Netzwerk-Firewallregeln konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Network not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Owner not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Route not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
SQL instance not monitored
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud SQL-Instanzen konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Ergebnisse zur Multi-Faktor-Authentifizierung
Der MFA_SCANNER-Detektor erkennt Sicherheitslücken bei der Multi-Faktor-Authentifizierung für Nutzer.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
MFA not enforced
Kategoriename in der API: |
Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. Sie können in Google Workspace einen Kulanzzeitraum für die Registrierung für neue Nutzer festlegen. in dem sie sich für die Bestätigung in zwei Schritten anmelden müssen. Dieser Detektor erstellt während des Kulanzzeitraums für die Registrierung Ergebnisse für Nutzer. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Wertet Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity aus.
|
Ergebnisse zu Netzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Default network
Kategoriename in der API: |
Ergebnisbeschreibung: Das Standardnetzwerk ist in einem Projekt vorhanden. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
DNS logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft alle
|
Legacy network
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Legacy-Netzwerk ist in einem Projekt vorhanden. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs
|
Load balancer logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Logging ist für den Load-Balancer deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Sicherheitslücken in Organisationsrichtlinien
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Org policy Confidential VM policy
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien in Confidential VM durchsetzen.
Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft, ob das Attribut
|
Org policy location restriction
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Einschränkung constraints/gcp.resourceLocations. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien durchsetzen.
Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Attribut
|
|
Unterstützte Assets für ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Protokollierung
Pub/Sub
Vertex AI
Artifact Registry 1 Da Cloud KMS-Assets nicht gelöscht werden können, gilt das Asset nicht als außerhalb der Region, wenn die Daten des Assets zerstört wurden. 2 Da Cloud KMS-Importjobs einen gesteuerten Lebenszyklus haben und nicht vorzeitig beendet werden können, gilt ein ImportJob nicht als außerhalb der Region, wenn er abgelaufen ist und nicht mehr verwendet werden kann, um Schlüssel zu importieren. 3 Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, gilt ein Job nicht als außerhalb der Region, wenn er einen Endstatus (beendet oder per Drain beendet) erreicht hat, in dem er nicht mehr zur Verarbeitung von Daten verwendet werden kann. |
||
Pub/Sub-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Pub/Sub-Konfigurationen und gehören zum Typ PUBSUB_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Pubsub CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft das Feld
|
Ergebnisse zu SQL-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
AlloyDB auto backup disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen AlloyDB for PostgreSQL-Cluster sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
AlloyDB backups disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen AlloyDB for PostgreSQL-Cluster sind keine Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob die
|
AlloyDB CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein AlloyDB-Cluster ist nicht verschlüsselt mit vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs). Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
AlloyDB log min error statement severity
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Damit alle Nachrichtentypen in den Protokollen abgedeckt sind, wird eine Meldung ausgegeben, wenn das Feld
|
AlloyDB log min messages
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Damit alle Nachrichtentypen in den Protokollen abgedeckt sind, wird eine Meldung ausgegeben, wenn das Feld
|
AlloyDB log error verbosity
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Um eine ausreichende Abdeckung der Nachrichtentypen in den Protokollen zu gewährleisten, wird eine Meldung ausgegeben, wenn das Feld
|
AlloyDB public IP
Kategoriename in der API: |
Ergebnisbeschreibung: Eine AlloyDB for PostgreSQL-Datenbankinstanz hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
AlloyDB SSL not enforced
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine AlloyDB for PostgreSQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüfen Sie, ob das Attribut
|
Auto backup disabled
Kategoriename in der API: |
Ergebnisbeschreibung: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Public SQL instance
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob für das Attribut
|
SSL not enforced
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Cloud SQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
SQL CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Eine SQL-Datenbankinstanz wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft das Feld
|
SQL contained database authentication
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL cross DB ownership chaining
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL external scripts enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL local infile
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log checkpoints disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log connections disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log disconnections disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log duration disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log error verbosity
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log lock waits disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log min duration statement enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log min error statement
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
SQL log min error statement severity
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log min messages
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Damit alle Nachrichtentypen in den Protokollen abgedeckt sind, wird eine Meldung ausgegeben, wenn das Feld
|
SQL log executor stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log hostname enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log parser stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log planner stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log statement
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log statement stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log temp files
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL no root password
Kategoriename in der API: |
Ergebnisbeschreibung:Eine Cloud SQL-Datenbank mit dass eine öffentliche IP-Adresse das für das Root-Konto konfiguriert ist. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
SQL public IP
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob der IP-Adresstyp einer Cloud SQL-Datenbank auf
|
SQL remote access enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL skip show database disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL trace flag 3625
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL user connections configured
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL user options configured
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL weak root password
Kategoriename in der API: |
Ergebnisbeschreibung:Eine Cloud SQL-Datenbank mit Eine öffentliche IP-Adresse hat auch ein schwaches Passwort für das Root-Konto konfiguriert ist. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Vergleicht das Passwort für das Root-Konto der Cloud SQL-Datenbank mit einer Liste gängiger Passwörter.
|
Ergebnisse zu Speichersicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Bucket CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Feld
|
Bucket policy only disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Der einheitliche Zugriff auf Bucket-Ebene, zuvor "Nur Bucket-Richtlinie" genannt, ist nicht konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Public bucket ACL
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Cloud Storage-Bucket ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets auf öffentliche Rollen,
|
Public log bucket
Kategoriename in der API: |
Ergebnisbeschreibung: Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets für die Hauptkonten
|
Ergebnisse zu Subnetzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Flow logs disabled
Kategoriename in der API: |
Ergebnisbeschreibung: In einem VPC-Subnetzwerk sind Flusslogs deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Flow logs settings not recommended
Kategoriename in der API: |
Ergebnisbeschreibung: In einem VPC-Subnetzwerk sind VPC-Flusslogs entweder deaktiviert oder nicht gemäß CIS Benchmark 1.3-Empfehlungen konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Private Google access disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
AWS-Ergebnisse
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudShell ist eine praktische Möglichkeit, Befehle für die Befehlszeile für AWS-Dienste auszuführen. Eine verwaltete IAM-Richtlinie (AWSCloudShellFullAccess) gewährt vollen Zugriff auf CloudShell, was das Hoch- und Herunterladen von Dateien zwischen dem lokalen System eines Nutzers und der CloudShell-Umgebung ermöglicht. In der Cloud Shell-Umgebung verfügt ein Nutzer über sudo-Berechtigungen und kann auf das Internet zugreifen. So ist es beispielsweise möglich, Software zur Dateiübertragung zu installieren und Daten von CloudShell auf externe Internetserver zu verschieben. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass der Zugriff auf AWSCloudShellFullAccess eingeschränkt ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, die zum Signieren programmatischer Anfragen an AWS verwendet werden. AWS-Nutzer benötigen eigene Zugriffsschlüssel, um AWS programmatisch über die AWS-Befehlszeile, Tools für Windows PowerShell, die AWS SDKs oder direkte HTTP-Aufrufe mithilfe der APIs für einzelne AWS-Dienste aufzurufen. Es wird empfohlen, alle Zugriffsschlüssel regelmäßig zu rotieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass Zugriffsschlüssel mindestens alle 90 Tage rotiert werden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Um HTTPS-Verbindungen zu Ihrer Website oder Anwendung in AWS zu ermöglichen, benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können ACM oder IAM verwenden, um Serverzertifikate zu speichern und bereitzustellen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass alle abgelaufenen SSL-/TLS-Zertifikate entfernt werden, die in AWS IAM gespeichert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Hier wird geprüft, ob Ihre Autoscaling-Gruppen, die mit einem Load Balancer verknüpft sind, Elastic Load Balancing-Systemdiagnosen verwenden. Dadurch wird sichergestellt, dass die Gruppe den Zustand einer Instanz anhand zusätzlicher Tests ermitteln kann, die vom Load-Balancer bereitgestellt werden. Die Verwendung von Systemdiagnosen für Elastic Load Balancing kann die Verfügbarkeit von Anwendungen unterstützen, die EC2-Autoscaling-Gruppen verwenden. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle mit einem Load Balancer verknüpften Autoscaling-Gruppen Systemdiagnosen verwenden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Achten Sie darauf, dass für RDS-Datenbankinstanzen das Flag „Auto Minor Version Upgrade“ aktiviert ist, damit während des angegebenen Wartungszeitraums automatisch Engine-Nebenversionen installiert werden. So erhalten RDS-Instanzen die neuen Funktionen, Fehlerkorrekturen und Sicherheitspatches für ihre Datenbank-Engines. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass das automatische Upgrade von Nebenversionen für RDS-Instanzen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: AWS Config ist ein Webdienst, der die Konfigurationsverwaltung unterstützter AWS-Ressourcen in Ihrem Konto ausführt und Ihnen Protokolldateien bereitstellt. Die aufgezeichneten Informationen umfassen das Konfigurationselement (AWS-Ressource), Beziehungen zwischen Konfigurationselementen (AWS-Ressourcen) und alle Konfigurationsänderungen zwischen Ressourcen. Wir empfehlen, AWS Config in allen Regionen zu aktivieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass AWS Config in allen Regionen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Sicherheits-Hub erfasst Sicherheitsdaten aus AWS-Konten, ‑Diensten und unterstützten Drittanbieterprodukten und hilft Ihnen, Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität zu identifizieren. Wenn Sie Security Hub aktivieren, werden Ergebnisse aus aktivierten AWS-Diensten wie Amazon GuardDuty, Amazon Inspector und Amazon Macie erfasst, zusammengefasst, organisiert und priorisiert. Sie können auch Integrationen in Sicherheitsprodukte von AWS-Partnern aktivieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass AWS Security Hub aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe für ein Konto aufzeichnet und diese Logs Nutzern und Ressourcen gemäß IAM-Richtlinien zur Verfügung stellt. Der AWS Key Management Service (KMS) ist ein verwalteter Dienst, mit dem Sie die Verschlüsselungsschlüssel zum Verschlüsseln von Kontodaten erstellen und steuern können. Er verwendet Hardware Security Modules (HSMs), um die Sicherheit der Verschlüsselungsschlüssel zu schützen. CloudTrail-Logs können so konfiguriert werden, dass sie die serverseitige Verschlüsselung (SSE) und vom Kunden erstellte KMS-Masterschlüssel (Customer-Managed Master Keys, CMK) nutzen, um CloudTrail-Logs weiter zu schützen. Es wird empfohlen, CloudTrail für die Verwendung von SSE-KMS zu konfigurieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass CloudTrail-Logs im Ruhezustand mit KMS-CMKs verschlüsselt werden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Bei der Validierung der CloudTrail-Logdatei wird eine digital signierte Digestdatei erstellt, die einen Hash jedes Logs enthält, das CloudTrail in S3 schreibt. Anhand dieser Dateien lässt sich feststellen, ob eine Logdatei nach der Übermittlung durch CloudTrail geändert, gelöscht oder unverändert geblieben ist. Es wird empfohlen, die Dateivalidierung für alle CloudTrails zu aktivieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Validierung der CloudTrail-Logdatei aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudTrail ist ein Webdienst, mit dem AWS API-Aufrufe in einem bestimmten AWS-Konto aufgezeichnet werden. Zu den aufgezeichneten Informationen gehören die Identität des API-Aufrufers, die Uhrzeit des API-Aufrufs, die Quell-IP-Adresse des API-Aufrufers, die Anfrageparameter und die Antwortelemente, die vom AWS-Dienst zurückgegeben werden. CloudTrail verwendet Amazon S3 für die Speicherung und Übermittlung von Protokolldateien. Protokolldateien werden daher dauerhaft gespeichert. Sie können CloudTrail-Logs nicht nur in einem bestimmten S3-Bucket für die langfristige Analyse erfassen, sondern auch Echtzeitanalysen durchführen, indem Sie CloudTrail so konfigurieren, dass Logs an CloudWatch-Logs gesendet werden. Wenn ein Pfad in allen Regionen eines Kontos aktiviert ist, sendet CloudTrail Protokolldateien aus allen diesen Regionen an eine CloudWatch Logs-Protokollgruppe. Es wird empfohlen, CloudTrail-Logs an CloudWatch-Logs zu senden. Hinweis: Mit dieser Empfehlung soll sichergestellt werden, dass AWS-Kontoaktivitäten erfasst, überwacht und bei Bedarf entsprechend alarmiert werden. CloudWatch Logs bietet hierfür eine native Möglichkeit mithilfe von AWS-Diensten, schließt die Verwendung einer alternativen Lösung jedoch nicht aus. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass CloudTrail-Pfade in CloudWatch-Logs eingebunden sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Hiermit wird geprüft, ob bei Amazon Cloudwatch Aktionen definiert wurden, wenn ein Alarm zwischen den Status „OK“ und „ALARM“ wechselt und "INSUFFICIENT_DATA". Es ist sehr wichtig, Aktionen für den ALARM-Status in Amazon CloudWatch-Benachrichtigungen zu konfigurieren, um eine sofortige Reaktion auszulösen, wenn die überwachten Messwerte Schwellenwerte überschreiten. Wecker haben mindestens eine Aktion. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für CloudWatch-Alarme mindestens eine Alarmaktion, eine INSUFFICIENT_DATA-Aktion oder eine OK-Aktion aktiviert ist.
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Prüfung wird sichergestellt, dass CloudWatch-Protokolle mit KMS konfiguriert sind. Loggruppendaten werden in CloudWatch-Logs immer verschlüsselt. Standardmäßig verwendet CloudWatch Logs für die inaktiven Logdaten die serverseitige Verschlüsselung. Alternativ können Sie AWS Key Management Service für diese Verschlüsselung verwenden. In diesem Fall erfolgt die Verschlüsselung mit einem AWS KMS-Schlüssel. Die Verschlüsselung mit AWS KMS wird auf Protokollgruppenebene aktiviert, indem Sie einer Protokollgruppe einen KMS-Schlüssel zuweisen, entweder beim Erstellen der Protokollgruppe oder danach. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle Loggruppen in Amazon CloudWatch-Logs mit KMS verschlüsselt sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Diese Steuerung prüft, ob CloudTrail-Pfade für das Senden von Logs an CloudWatch-Logs konfiguriert sind. Das Steuerelement schlägt fehl, wenn die Eigenschaft „CloudWatchLogsLogGroupArn“ des Pfads leer ist. CloudTrail zeichnet AWS API-Aufrufe auf, die in einem bestimmten Konto getätigt werden. Zu den aufgezeichneten Informationen gehören:
CloudTrail verwendet Amazon S3 zum Speichern und Bereitstellen von Logdateien. Sie können CloudTrail-Logs zur Langzeitanalyse in einem bestimmten S3-Bucket erfassen. Wenn Sie eine Echtzeitanalyse durchführen möchten, können Sie CloudTrail so konfigurieren, dass Protokolle an CloudWatch Logs gesendet werden. Für einen Weg, der in allen Regionen in einem Konto aktiviert ist, sendet CloudTrail Protokolldateien aus allen diesen Regionen an eine CloudWatch Logs-Loggruppe. Security Hub empfiehlt, CloudTrail-Protokolle an CloudWatch-Protokolle zu senden. Diese Empfehlung soll dafür sorgen, dass Kontoaktivitäten erfasst, überwacht und bei Bedarf entsprechend alarmiert werden. Sie können CloudWatch-Logs verwenden, um dies mit Ihren AWS-Diensten einzurichten. Diese Empfehlung schließt die Verwendung einer anderen Lösung nicht aus. Das Senden von CloudTrail-Logs an CloudWatch-Logs ermöglicht das Logging von Aktivitäten in Echtzeit und des Verlaufs basierend auf Nutzer, API, Ressource und IP-Adresse. Auf diese Weise können Sie Alarme und Benachrichtigungen für ungewöhnliche oder empfindliche Kontoaktivitäten einrichten. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle CloudTrail-Pfade für das Senden von Logs an AWS CloudWatch konfiguriert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Damit wird geprüft, ob das Projekt die Umgebungsvariablen Authentifizierungsdaten für Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle Projekte, die die Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY enthalten, nicht im Klartext vorliegen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Hier wird geprüft, ob die URL des Bitbucket-Quellrepositories eines AWS CodeBuild-Projekts persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Die Kontrolle schlägt fehl, wenn die Bitbucket-Quell-Repository-URL persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Anmeldedaten dürfen nicht im Klartext gespeichert oder übertragen werden und dürfen nicht in der URL des Quell-Repositorys erscheinen. Anstelle von persönlichen Zugriffstokens oder Anmeldedaten sollten Sie in CodeBuild auf Ihren Quellanbieter zugreifen und die URL des Quell-Repositorys so ändern, dass sie nur den Pfad zum Speicherort des Bitbucket-Repositorys enthält. Die Verwendung von persönlichen Zugriffstokens oder Anmeldedaten kann zu unbeabsichtigten Datenlecks oder unbefugtem Zugriff führen. Preisstufe: Enterprise Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüfen Sie, ob alle Projekte, die GitHub oder Bitbucket als Quelle nutzen, OAuth verwenden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: AWS IAM-Nutzer können mit verschiedenen Anmeldedaten wie Passwörtern oder Zugriffsschlüsseln auf AWS-Ressourcen zugreifen. Wir empfehlen, alle Anmeldedaten zu deaktivieren oder zu entfernen, die seit mindestens 45 Tagen nicht verwendet wurden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass Anmeldedaten, die seit mindestens 45 Tagen nicht verwendet wurden, deaktiviert werden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Eine VPC wird mit einer Standardsicherheitsgruppe geliefert, deren anfängliche Einstellungen den gesamten eingehenden Traffic ablehnen, den gesamten ausgehenden Traffic zulassen und den gesamten Traffic zwischen den der Sicherheitsgruppe zugewiesenen Instanzen zulassen. Wenn Sie beim Starten einer Instanz keine Sicherheitsgruppe angeben, wird die Instanz automatisch dieser Standardsicherheitsgruppe zugewiesen. Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von ein- und ausgehendem Netzwerkverkehr zu AWS-Ressourcen. Es wird empfohlen, dass die Standardsicherheitsgruppe den gesamten Traffic einschränkt. Die Standard-VPC in jeder Region sollte entsprechend aktualisiert werden. Alle neu erstellten VPCs enthalten automatisch eine Standardsicherheitsgruppe, die korrigiert werden muss, um dieser Empfehlung zu entsprechen. HINWEIS:Bei der Umsetzung dieser Empfehlung ist das VPC-Fluss-Logging von unschätzbarem Wert, um den Portzugriff mit den geringsten Berechtigungen zu bestimmen, der für ein ordnungsgemäßes Funktionieren der Systeme erforderlich ist, da es alle Annahmen und Ablehnungen von Paketen unter den aktuellen Sicherheitsgruppen protokollieren kann. Dadurch wird die Hauptbarriere für die Zugriffssteuerung nach dem Prinzip der geringsten Berechtigung erheblich reduziert: die Ermittlung der Mindestanzahl von Ports, die von den Systemen in der Umgebung benötigt werden. Auch wenn die Empfehlung für die VPC-Flussisolierung in diesem Benchmark nicht als dauerhafte Sicherheitsmaßnahme übernommen wird, sollte sie während der gesamten Phase der Ermittlung und Entwicklung für Sicherheitsgruppen mit den geringsten Berechtigungen verwendet werden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob AWS DMS-Replikationsinstanzen öffentlich sind. Dazu wird der Wert des Felds Eine private Replikationsinstanz hat eine private IP-Adresse, auf die Sie nicht außerhalb des Replikationsnetzwerks zugreifen können. Eine Replikationsinstanz sollte eine private IP-Adresse haben, wenn sich die Quell- und die Zieldatenbank im selben Netzwerk befinden. Das Netzwerk muss außerdem über VPN, AWS Direct Connect oder VPC-Peering mit der VPC der Replikationsinstanz verbunden sein. Weitere Informationen zu öffentlichen und privaten Replikationsinstanzen finden Sie im AWS Database Migration Service-Benutzerhandbuch unter Öffentliche und private Replikationsinstanzen. Außerdem sollten Sie dafür sorgen, dass der Zugriff auf die Konfiguration Ihrer AWS DMS-Instanz nur autorisierten Nutzern gewährt wird. Dazu müssen Sie die IAM-Berechtigungen der Nutzer einschränken, damit sie die AWS DMS-Einstellungen und ‑Ressourcen nicht ändern können. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Replikationsinstanzen von AWS Database Migration Service öffentlich sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: In der AWS-Konsole sind beim Erstellen eines neuen IAM-Nutzers standardmäßig keine Kästchen angeklickt. Beim Erstellen der IAM-Nutzeranmeldedaten müssen Sie festlegen, welche Art von Zugriff sie benötigen. Programmzugriff: Der IAM-Nutzer muss möglicherweise API-Aufrufe ausführen, die AWS CLI oder die Tools für Windows PowerShell verwenden. Erstellen Sie in diesem Fall einen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für diesen Nutzer. Zugriff auf AWS Management Console: Wenn der Nutzer Zugriff auf die AWS Management Console benötigt, erstellen Sie ein Passwort für den Nutzer. Preisstufe: Enterprise Compliance-Standards:
|
Richten Sie während der anfänglichen Nutzereinrichtung für alle IAM-Nutzer, die ein Console-Passwort haben, keine Zugriffsschlüssel ein
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Hier wird geprüft, ob die Lese- und Schreibkapazität einer Amazon DynamoDB-Tabelle nach Bedarf skaliert werden kann. Diese Steuerung gilt, wenn die Tabelle entweder den On-Demand-Kapazitätsmodus oder den Bereitstellungsmodus mit konfiguriertem Autoscaling verwendet. Durch die bedarfsgerechte Skalierung der Kapazität werden Ausnahmen gedrosselt, wodurch die Verfügbarkeit Ihrer Anwendungen aufrechterhalten wird. DynamoDB-Tabellen im Modus „On-Demand-Kapazität“ sind nur durch die Standardtabellenkontingente für den DynamoDB-Durchsatz begrenzt. Wenn Sie diese Kontingente erhöhen möchten, können Sie ein Support-Ticket über den AWS-Support einreichen. DynamoDB-Tabellen im bereitgestellten Modus mit Autoscaling passen die bereitgestellte Durchsatzkapazität dynamisch in Reaktion auf Traffic-Muster an. Weitere Informationen zur Drosselung von DynamoDB-Anfragen finden Sie im Amazon DynamoDB Developer Guide unter „Anfragedrosselung und Burst-Kapazität“. Preisstufe: Enterprise Compliance-Standards:
|
DynamoDB-Tabellen sollten die Kapazität gemäß Nachfrage automatisch skalieren
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit diesem Steuerelement wird ausgewertet, ob eine DynamoDB-Tabelle durch einen Sicherungsplan abgedeckt ist. Die Steuerung schlägt fehl, wenn eine DynamoDB-Tabelle nicht durch einen Sicherungsplan abgedeckt ist. Mit dieser Einstellung werden nur DynamoDB-Tabellen ausgewertet, die den Status „AKTIV“ haben. Mithilfe von Sicherungen können Sie sich nach einem Sicherheitsvorfall schneller erholen. Außerdem erhöhen sie die Ausfallsicherheit Ihrer Systeme. Wenn Sie DynamoDB-Tabellen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen. Preisstufe: Enterprise Compliance standards:
|
Für DynamoDB-Tabellen sollte es einen Sicherungsplan geben
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Die Wiederherstellung zu einem bestimmten Zeitpunkt ist einer der verfügbaren Mechanismen zum Sichern von DynamoDB-Tabellen. Eine Sicherung eines bestimmten Zeitpunkts wird 35 Tage lang aufbewahrt. Wenn Sie eine längere Aufbewahrungsdauer benötigen, lesen Sie den Artikel Geplante Sicherungen für Amazon DynamoDB mit AWS Backup einrichten in der AWS-Dokumentation. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob die Wiederherstellung zu einem bestimmten Zeitpunkt für alle AWS DynamoDB-Tabellen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob alle DynamoDB-Tabellen mit einem vom Kunden verwalteten KMS-Schlüssel (nicht standardmäßig) verschlüsselt sind. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle DynamoDB-Tabellen mit AWS Key Management Service (KMS) verschlüsselt sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüfen Sie, ob die EBS-Optimierung für Ihre EC2-Instanzen aktiviert ist, die EBS-optimiert werden können Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die EBS-Optimierung für alle Instanzen aktiviert ist, die diese unterstützen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Kontrolle schlägt fehl, wenn Amazon EBS-Snapshots von jemandem wiederhergestellt werden können. Mit EBS-Snapshots werden die Daten auf Ihren EBS-Volumes zu einem bestimmten Zeitpunkt in Amazon S3 gesichert. Sie können die Snapshots verwenden, um vorherige Status von EBS-Volumes wiederherzustellen. Es ist selten akzeptabel, eine Momentaufnahme mit der Öffentlichkeit zu teilen. In der Regel wurde die Entscheidung, einen Snapshot öffentlich zu teilen, irrtümlich oder ohne vollständige Kenntnis der Auswirkungen getroffen. So wird sichergestellt, dass das Teilen dieser Inhalte vollständig geplant und beabsichtigt war. Preisstufe: Enterprise Compliance standards:
|
Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Elastic Compute Cloud (EC2) unterstützt die Verschlüsselung ruhender Daten, wenn der Elastic Block Store-Dienst (EBS) verwendet wird. Wenn diese Option standardmäßig deaktiviert ist, wird das Erzwingen der Verschlüsselung bei der Erstellung eines EBS-Volumes unterstützt. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die EBS-Volume-Verschlüsselung in allen Regionen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon VPC bietet mehr Sicherheitsfunktionen als EC2 Classic. Es wird empfohlen, dass alle Knoten zu einer Amazon VPC gehören. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass alle Instanzen zu einer VPC gehören
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Bei EC2-Instanzen mit öffentlicher IP-Adresse besteht ein erhöhtes Risiko einer Manipulation. Es wird empfohlen, EC2-Instanzen nicht mit einer öffentlichen IP-Adresse zu konfigurieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass keine Instanz eine öffentliche IP-Adresse hat
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Eine State Manager-Verknüpfung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. In der Konfiguration wird der Status definiert, der auf Ihren Instanzen beibehalten werden soll. Eine Verknüpfung kann beispielsweise angeben, dass Antivirensoftware auf Ihren Instanzen installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen. EC2-Instanzen, die eine Verknüpfung mit AWS Systems Manager haben, werden von Systems Manager verwaltet, was das Anwenden von Patches, das Beheben von Fehlkonfigurationen und das Reagieren auf Sicherheitsereignisse erleichtert. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie den Compliancestatus der AWS Systems Manager-Verknüpfung
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Steuerung wird geprüft, ob der Status der AWS Systems Manager-Verknüpfung „COMPLIANT“ (Einhaltung) oder „NON_COMPLIANT“ (Nichteinhaltung) ist, nachdem die Verknüpfung auf einer Instanz ausgeführt wurde. Die Steuerung schlägt fehl, wenn der Compliancestatus der Verknüpfung NON_COMPLIANT ist. Eine State Manager-Verknüpfung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. Die Konfiguration definiert den Status, den Sie auf Ihren Instanzen beibehalten möchten. Beispielsweise kann eine Verknüpfung angeben, dass auf Ihren Instanzen Antivirensoftware installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen werden müssen. Nachdem Sie eine oder mehrere State Manager-Verknüpfungen erstellt haben, sind Informationen zum Compliance-Status sofort verfügbar. Sie können den Compliancestatus in der Console oder als Reaktion auf AWS CLI-Befehle oder entsprechende Systems Manager API-Aktionen ansehen. Bei Verknüpfungen wird unter „Konfigurationskonformität“ der Konformitätsstatus angezeigt („Konform“ oder „Nicht konform“). Außerdem wird der Schweregrad angezeigt, der der Verknüpfung zugewiesen ist, z. B. „Kritisch“ oder „Mittel“. Weitere Informationen zur Compliance von State Manager-Verknüpfungen finden Sie im AWS Systems Manager-Benutzerhandbuch unter Compliance von State Manager-Verknüpfungen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie den Status der AWS Systems Manager-Patchcompliance
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Wenn Sie den Metadatendienst auf AWS EC2-Instanzen aktivieren, haben Sie die Möglichkeit, entweder die Instanzmetadatendienst-Version 1 (IMDSv1; eine Anfrage/Antwort-Methode) oder die Instanzmetadatendienst-Version 2 (IMDSv2; eine sitzungsorientierte Methode) zu verwenden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass der EC2-Metadatendienst nur IMDSv2 zulässt
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Erkennen und Entfernen nicht angehängter (nicht verwendeter) Elastic Block Store-Volumes (EBS-Volumes) in Ihrem AWS-Konto, um die Kosten Ihrer monatlichen AWS-Rechnung zu senken. Durch das Löschen nicht verwendeter EBS-Volumes verringern Sie auch das Risiko, dass vertrauliche/sensible Daten Ihre Räumlichkeiten verlassen. Außerdem wird geprüft, ob archivierte EC2-Instanzen so konfiguriert sind, dass Volumes bei der Beendigung gelöscht werden. EC2-Instanzen sind standardmäßig so konfiguriert, dass sie die Daten in allen mit der Instanz verknüpften EBS-Volumes und das Root-EBS-Volume der Instanz löschen. Alle nicht-root-EBS-Volumes, die der Instanz beim Start oder während der Ausführung bereitgestellt wurden, werden jedoch standardmäßig nach der Beendigung beibehalten. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob EBS-Volumes an EC2-Instanzen angehängt und zum Löschen bei Instanzbeendigung konfiguriert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon EFS unterstützt zwei Formen der Verschlüsselung für Dateisysteme: die Verschlüsselung von Daten während der Übertragung und die Verschlüsselung inaktiver Daten. Dabei wird geprüft, ob alle EFS-Dateisysteme in allen aktivierten Regionen im Konto mit der Ruhedatenträgerverschlüsselung konfiguriert sind. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob EFS zum Verschlüsseln von Dateidaten mit KMS konfiguriert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: In den Best Practices für Amazon wird empfohlen, Sicherungen für Ihre Elastic File Systems (EFS) zu konfigurieren. Dadurch wird in allen EFS in allen aktivierten Regionen in Ihrem AWS-Konto nach aktivierten Sicherungen gesucht. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob EFS-Dateisysteme in AWS-Sicherungsplänen enthalten sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob der klassische Load Balancer HTTPS-/SSL-Zertifikate verwendet, die von AWS Certificate Manager (ACM) bereitgestellt wurden. Die Prüfung schlägt fehl, wenn der mit einem HTTPS-/SSL-Listener konfigurierte klassische Load Balancer kein von ACM bereitgestelltes Zertifikat verwendet. Zum Erstellen eines Zertifikats können Sie entweder ACM oder ein Tool verwenden, das die SSL- und TLS-Protokolle unterstützt, z. B. OpenSSL. Security Hub empfiehlt, Zertifikate für Ihren Load Balancer mit ACM zu erstellen oder zu importieren. ACM lässt sich in klassische Load Balancer einbinden, sodass Sie das Zertifikat auf Ihrem Load Balancer bereitstellen können. Außerdem sollten Sie diese Zertifikate automatisch verlängern. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle klassischen Load Balancer SSL-Zertifikate verwenden, die von AWS Certificate Manager bereitgestellt wurden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob für einen Application Load Balancer der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn der Löschschutz nicht konfiguriert ist. Aktivieren Sie den Löschschutz, um den Application Load Balancer vor dem Löschen zu schützen. Preisstufe: Enterprise Compliance standards:
|
Der Löschschutz für Application Load Balancer sollte aktiviert sein
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob Logging für den Application Load Balancer und den klassischen Load Balancer aktiviert ist. Die Steuerung schlägt fehl, wenn access_logs.s3.enabled auf „false“ gesetzt ist. Elastic Load Balancing bietet Zugriffsprotokolle, die detaillierte Informationen zu Anfragen enthalten, die an Ihren Load Balancer gesendet werden. Jedes Protokoll enthält Informationen wie den Zeitpunkt, zu dem die Anfrage empfangen wurde, die IP-Adresse des Clients, Latenzen, Anfragepfade und Serverantworten. Sie können diese Zugriffslogs verwenden, um Traffic-Muster zu analysieren und Probleme zu beheben. Weitere Informationen finden Sie unter Zugriffslogs für Ihren klassischen Load Balancer im Nutzerhandbuch für klassische Load Balancer. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Logging für klassische und Application Load Balancer aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Prüfung wird sichergestellt, dass alle klassischen Load Balancer für die Verwendung einer sicheren Kommunikation konfiguriert sind. Ein Listener ist ein Prozess, der nach Verbindungsanfragen sucht. Er ist mit einem Protokoll und einem Port für Front-End-Verbindungen (Client zum Load Balancer) und einem Protokoll und einem Port für Back-End-Verbindungen (Load Balancer zur Instanz) konfiguriert. Informationen zu den Ports, Protokollen und Listener-Konfigurationen, die von Elastic Load Balancing unterstützt werden, finden Sie unter Listener für Ihren klassischen Load Balancer. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob SSL- oder HTTPS-Listener für alle klassischen Load Balancer konfiguriert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die angehängten EBS-Volumes verschlüsselt sind. Damit diese Prüfung bestanden wird, müssen EBS-Volumes verwendet und verschlüsselt sein. Wenn das EBS-Volume nicht angehängt ist, unterliegt es dieser Prüfung nicht. Für zusätzlichen Schutz Ihrer sensiblen Daten in EBS-Volumes sollten Sie die EBS-Verschlüsselung inaktiver Daten aktivieren. Die Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Ressourcen, bei der Sie keine eigene Schlüsselverwaltungsinfrastruktur erstellen, pflegen und schützen müssen. Zum Erstellen verschlüsselter Volumes und Snapshots werden KMS-Schlüssel verwendet. Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie im Amazon EC2-Nutzerhandbuch für Linux-Instanzen. Preisstufe: Enterprise Compliance standards:
|
Ruhende Daten von angehängten Amazon EBS-Volumes sollten verschlüsselt sein
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Bei verschlüsselten Amazon RDS-Datenbankinstanzen werden Ihre Daten auf dem Server, auf dem Ihre Amazon RDS-Datenbankinstanzen gehostet werden, mit dem branchenüblichen AES-256-Verschlüsselungsalgorithmus verschlüsselt. Nach der Verschlüsselung Ihrer Daten führt Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent mit minimaler Auswirkung auf die Leistung durch. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Verschlüsselung ruhender Daten für RDS-Instanzen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: EFS-Daten sollten im Ruhezustand mit AWS KMS (Key Management Service) verschlüsselt werden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Verschlüsselung für EFS-Dateisysteme aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: AWS ermöglicht benutzerdefinierte Passwortrichtlinien für Ihr AWS-Konto, um Komplexitätsanforderungen und obligatorische Rotationszeiträume für die Passwörter Ihrer IAM-Nutzer anzugeben. Wenn Sie keine benutzerdefinierte Passwortrichtlinie festlegen, müssen die IAM-Nutzerpasswörter der AWS-Standard-Passwortrichtlinie entsprechen. Gemäß den Best Practices für die Sicherheit von AWS gelten die folgenden Anforderungen an die Passwortkomplexität:
Hier werden alle angegebenen Anforderungen an die Passwortrichtlinie geprüft. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob die Richtlinie für Kontopasswörter für IAM-Nutzer den angegebenen Anforderungen entspricht
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Passwortrichtlinien können die Wiederverwendung eines bestimmten Passworts durch denselben Nutzer verhindern. Es wird empfohlen, die Wiederverwendung von Passwörtern durch die Passwortrichtlinie zu verhindern. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Passwortrichtlinien werden unter anderem verwendet, um Anforderungen an die Passwortkomplexität durchzusetzen. Mit IAM-Passwortrichtlinien können Sie dafür sorgen, dass Passwörter mindestens eine bestimmte Länge haben. Die Passwortrichtlinie sollte eine Mindestpasswortlänge von 14 Zeichen voraussetzen. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die IAM-Passwortrichtlinie eine Mindestlänge von 14 Zeichen verlangt
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit IAM-Richtlinien werden Nutzern, Gruppen oder Rollen Berechtigungen gewährt. Es wird empfohlen und gilt als Standardsicherheitsratschlag, die geringste Berechtigung zu gewähren, d. h. nur die Berechtigungen zu gewähren, die für die Ausführung einer Aufgabe erforderlich sind. Bestimmen Sie, was Nutzer tun müssen, und erstellen Sie dann Richtlinien, mit denen Nutzer nur diese Aufgaben ausführen können, anstatt vollständige Administratorberechtigungen zu erteilen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine IAM-Richtlinien angehängt sind, die uneingeschränkte „*:*“-Administratorberechtigungen gewähren
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Nutzern wird über IAM-Richtlinien Zugriff auf Dienste, Funktionen und Daten gewährt. Es gibt vier Möglichkeiten, Richtlinien für einen Nutzer zu definieren: 1) Nutzerrichtlinie direkt bearbeiten (Inline-Richtlinie oder Nutzerrichtlinie); 2) Richtlinie direkt mit einem Nutzer verknüpfen; 3) Nutzer einer IAM-Gruppe mit einer verknüpften Richtlinie hinzufügen; 4) Nutzer einer IAM-Gruppe mit einer Inline-Richtlinie hinzufügen. Es wird nur die dritte Implementierung empfohlen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass IAM-Nutzer Berechtigungen nur über Gruppen erhalten
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Nutzer sollten immer zu einer IAM-Gruppe gehören, um die Best Practices für die IAM-Sicherheit einzuhalten. Durch das Hinzufügen von Nutzern zu einer Gruppe können Richtlinien für verschiedene Nutzertypen freigegeben werden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob IAM-Nutzer Mitglieder von mindestens einer IAM-Gruppe sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Die Multi-Faktor-Authentifizierung (MFA) ist eine Best Practice, bei der Nutzernamen und Passwörter zusätzlich geschützt werden. Bei der MFA muss ein Nutzer, der sich in der AWS-Verwaltungskonsole anmeldet, einen zeitlich begrenzten Authentifizierungscode angeben, der von einem registrierten virtuellen oder physischen Gerät bereitgestellt wird. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für AWS IAM-Nutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Dabei werden IAM-Passwörter oder aktive Zugriffsschlüssel geprüft, die in den letzten 90 Tagen nicht verwendet wurden. In den Best Practices wird empfohlen, alle Anmeldedaten zu entfernen, zu deaktivieren oder zu rotieren, die 90 Tage oder länger nicht verwendet wurden. So können Anmeldedaten, die mit einem manipulierten oder nicht mehr genutzten Konto verknüpft sind, schneller verwendet werden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle AWS IAM-Nutzer Passwörter oder aktive Zugriffsschlüssel haben, die in der unter „maxCredentialUsageAge“ angegebenen Anzahl von Tagen nicht verwendet wurden (Standardeinstellung: 90)
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Einstellung wird geprüft, ob KMS-Schlüssel zum Löschen geplant sind. Die Prüfung schlägt fehl, wenn ein KMS-Schlüssel zum Löschen geplant ist. KMS-Schlüssel können nach dem Löschen nicht wiederhergestellt werden. Daten, die mit einem KMS-Schlüssel verschlüsselt wurden, sind auch dauerhaft nicht wiederherstellbar, wenn der KMS-Schlüssel gelöscht wird. Wenn wichtige Daten mit einem KMS-Schlüssel verschlüsselt wurden, der zum Löschen vorgemerkt ist, sollten Sie die Daten entschlüsseln oder unter einem neuen KMS-Schlüssel neu verschlüsseln, es sei denn, Sie führen absichtlich eine kryptografische Löschung aus. Wenn ein KMS-Schlüssel zum Löschen geplant ist, wird eine obligatorische Wartezeit erzwungen, damit das Löschen rückgängig gemacht werden kann, falls es irrtümlich geplant wurde. Die Standardwartezeit beträgt 30 Tage, kann aber auf bis zu 7 Tage reduziert werden, wenn das Löschen des KMS-Schlüssels geplant ist. Während der Wartezeit kann die geplante Löschung abgebrochen werden und der KMS-Schlüssel wird nicht gelöscht. Weitere Informationen zum Löschen von KMS-Schlüsseln finden Sie unter KMS-Schlüssel löschen im AWS Key Management Service-Entwicklerhandbuch. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie alle CMKs darauf, dass sie nicht zum Löschen geplant sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob für die Lambda-Funktion ein Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Die Regel ist NON_COMPLIANT, wenn die Lambda-Funktion nicht mit einem Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Preisstufe: Enterprise Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüfen Sie, ob für Lambda-Funktionen das Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob eine Lambda-Funktion mit einer Dead-Letter-Warteschlange konfiguriert ist. Die Regel hat den Status „NICHT KONFORM“, wenn die Lambda-Funktion nicht mit einer Dead-Letter-Warteschlange konfiguriert ist. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Lambda-Funktionen mit einer Dead-Letter-Warteschlange konfiguriert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: In den Best Practices von AWS wird empfohlen, die Lambda-Funktion nicht öffentlich zugänglich zu machen. Mit dieser Richtlinie werden alle Lambda-Funktionen geprüft, die in allen aktivierten Regionen in Ihrem Konto bereitgestellt werden. Sie schlägt fehl, wenn sie den öffentlichen Zugriff nicht zulassen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob die an die Lambda-Funktion angehängte Richtlinie den öffentlichen Zugriff verhindert
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob sich eine Lambda-Funktion in einer VPC befindet. Möglicherweise werden für Lambda@Edge-Ressourcen Fehler angezeigt. Die Konfiguration des VPC-Subnetz-Routings wird nicht ausgewertet, um die öffentliche Erreichbarkeit zu bestimmen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Lambda-Funktionen in einer VPC vorhanden sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Sobald MFA Delete für Ihren vertraulichen und klassifizierten S3-Bucket aktiviert ist, müssen Nutzer zwei Authentifizierungsformen haben. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass MFA-Löschungen für S3-Buckets aktiviert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der „Stamm“ Nutzerkonto ist der privilegierteste Nutzer in einem AWS-Konto. Mit der Multi-Faktor-Authentifizierung (MFA) wird der Nutzername und das Passwort zusätzlich geschützt. Wenn MFA aktiviert ist, wird ein Nutzer bei der Anmeldung auf einer AWS-Website aufgefordert, seinen Nutzernamen und sein Passwort sowie einen Authentifizierungscode von seinem AWS-MFA-Gerät einzugeben. Hinweis: Wenn die virtuelle MFA für Root-Konten verwendet wird, wird empfohlen, dass das verwendete Gerät KEIN privates Gerät ist, sondern ein spezielles Mobilgerät (Tablet oder Smartphone), das unabhängig von einzelnen privaten Geräten aufgeladen und gesichert wird. („nicht persönliche virtuelle MFA“) verringern das Risiko, den Zugriff auf die MFA zu verlieren, wenn ein Gerät verloren geht, ein Gerät eingetauscht wird oder die Person, die das Gerät besitzt, nicht mehr im Unternehmen beschäftigt ist. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass MFA für das Root-Nutzerkonto aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Die Multi-Faktor-Authentifizierung (MFA) bietet zusätzliche Sicherheit bei der Authentifizierung, die über herkömmliche Anmeldedaten hinausgeht. Wenn MFA aktiviert ist, wird ein Nutzer bei der Anmeldung in der AWS-Konsole aufgefordert, seinen Nutzernamen und sein Passwort sowie einen Authentifizierungscode von seinem physischen oder virtuellen MFA-Token einzugeben. Wir empfehlen, die MFA für alle Konten zu aktivieren, die ein Console-Passwort haben. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer mit einem Konsolenpasswort aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Die NACL-Funktion (Network Access Control List) bietet zustandslose Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, dass keine NACL den uneingeschränkten Zugriff auf Remote-Server-Verwaltungsports zulässt, z. B. SSH auf Port Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass keine Netzwerk-ACLs eingehenden Traffic von 0.0.0.0/0 an Remote-Server-Verwaltungsports zulassen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der „Stamm“ Nutzerkonto ist der privilegierteste Nutzer in einem AWS-Konto. AWS-Zugriffsschlüssel ermöglichen programmatischen Zugriff auf ein bestimmtes AWS-Konto. Es wird empfohlen, alle Zugriffsschlüssel, die mit dem Stammverzeichnis verknüpft sind, Nutzerkonto gelöscht werden soll. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zulässt, z. B. SSH an Port Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von 0.0.0.0/0 an Remote-Serververwaltungsports zulassen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zulassen, z. B. SSH an Port Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von ::/0 an Remote-Serververwaltungsports zulassen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Zugriffsschlüssel sind langfristige Anmeldedaten für einen IAM-Nutzer oder das AWS-Konto „Root“ Nutzer. Mit Zugriffsschlüsseln können Sie programmatische Anfragen an die AWS-Befehlszeile oder die AWS API signieren (direkt oder mit dem AWS SDK). Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass für jeden einzelnen IAM-Nutzer nur ein aktiver Zugriffsschlüssel verfügbar ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Achten Sie darauf, dass in Ihrem AWS-Konto bereitgestellte RDS-Datenbankinstanzen unbefugten Zugriff einschränken, um Sicherheitsrisiken zu minimieren. Wenn Sie den Zugriff auf öffentlich zugängliche RDS-Datenbankinstanzen einschränken möchten, müssen Sie das Flag „Öffentlich zugänglich“ der Datenbank deaktivieren und die mit der Instanz verknüpfte VPC-Sicherheitsgruppe aktualisieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass RDS-Instanzen keine öffentliche Zugriffsberechtigung gewährt wird
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Das erweiterte Monitoring bietet über einen in der Instanz installierten Agent Echtzeitmesswerte zum Betriebssystem, auf dem die RDS-Instanz ausgeführt wird. Weitere Informationen finden Sie unter Betriebssystemmesswerte mit erweitertem Monitoring überwachen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob erweitertes Monitoring für alle RDS-Datenbankinstanzen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Wenn Sie den Schutz vor Instanzlöschungen aktivieren, wird eine zusätzliche Schutzebene gegen das versehentliche Löschen der Datenbank oder das Löschen durch eine nicht autorisierte Entität bereitgestellt. Wenn der Löschschutz aktiviert ist, kann eine RDS-Datenbankinstanz nicht gelöscht werden. Damit ein Löschantrag erfolgreich sein kann, muss der Löschschutz deaktiviert sein. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für alle RDS-Instanzen der Löschschutz aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Bei dieser Prüfung wird ermittelt, ob für Amazon RDS-Datenbankinstanzen ein Sicherungsplan vorhanden ist. Diese Prüfung schlägt fehl, wenn für eine RDS-Datenbankinstanz kein Sicherungsplan vorhanden ist. AWS Backup ist ein vollständig verwalteter Sicherungsdienst, der die Sicherung von Daten für alle AWS-Dienste zentralisiert und automatisiert. Mit AWS Backup können Sie Sicherungsrichtlinien erstellen, die als Sicherungspläne bezeichnet werden. Mit diesen Plänen können Sie Ihre Sicherungsanforderungen definieren, z. B. wie oft Ihre Daten gesichert werden sollen und wie lange diese Sicherungen aufbewahrt werden sollen. Wenn Sie RDS-Datenbankinstanzen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen. Preisstufe: Enterprise Compliance-Standards:
|
Für die RDS-Datenbankinstanzen sollte es einen Sicherungsplan geben
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob die folgenden Logs von Amazon RDS aktiviert und an CloudWatch gesendet werden. Für RDS-Datenbanken sollten die relevanten Protokolle aktiviert sein. Die Datenbankprotokollierung bietet detaillierte Einträge zu Anfragen an RDS. Datenbankprotokolle können bei Sicherheits- und Zugriffsaudits helfen und bei der Diagnose von Verfügbarkeitsproblemen unterstützen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob exportierte Logs für alle RDS-Datenbankinstanzen aktiviert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: RDS-Datenbankinstanzen sollten für mehrere Verfügbarkeitszonen (AZs) konfiguriert werden. So wird die Verfügbarkeit der gespeicherten Daten sichergestellt. Multi-AZ-Bereitstellungen ermöglichen einen automatischen Failover bei Problemen mit der Verfügbarkeit der Verfügbarkeitszone und während der regelmäßigen RDS-Wartung. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die Hochverfügbarkeit für alle RDS-Datenbankinstanzen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Dabei werden die wesentlichen Elemente eines Redshift-Clusters geprüft: Verschlüsselung ruhender Daten, Logging und Knotentyp. Diese Konfigurationselemente sind wichtig für die Wartung eines sicheren und beobachtbaren Redshift-Clusters. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für alle Redshift-Cluster die Verschlüsselung ruhender Daten, das Logging und der Knotentyp konfiguriert sind.
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Automatische Upgrades der Hauptversion finden je nach Wartungsfenster statt Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für alle Redshift-Cluster „allowVersionUpgrade“ aktiviert ist und Werte für „preferredMaintenanceWindow“ sowie „automatedSnapshotRetentionPeriod“ festgelegt sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Das PubliclyAccessible-Attribut der Amazon Redshift-Clusterkonfiguration gibt an, ob der Cluster öffentlich zugänglich ist. Wenn für den Cluster „PubliclyAccessible“ auf „true“ festgelegt ist, handelt es sich um eine mit dem Internet verbundene Instanz mit einem öffentlich auflösbaren DNS-Namen, der in eine öffentliche IP-Adresse aufgelöst wird. Wenn der Cluster nicht öffentlich zugänglich ist, handelt es sich um eine interne Instanz mit einem DNS-Namen, der in eine private IP-Adresse aufgelöst wird. Sofern Sie nicht beabsichtigen, dass Ihr Cluster öffentlich zugänglich ist, sollte die Einstellung „PubliclyAccessible“ nicht auf „true“ festgelegt sein. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Redshift-Cluster öffentlich zugänglich sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Hiermit wird geprüft, ob uneingeschränkter eingehender Traffic für die Sicherheitsgruppen für die angegebenen Ports mit dem höchsten Risiko zugänglich ist. Diese Steuerung schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Traffic von „0.0.0.0/0“ zulässt oder '::/0' für diese Ports. Ein uneingeschränkter Zugriff (0.0.0.0/0) erhöht die Wahrscheinlichkeit schädlicher Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverlust. Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten eingehenden Zugriff auf die folgenden Ports zulassen:
Preisstufe: Enterprise Compliance standards:
|
Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen. CIS empfiehlt, keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf Port 22 zu erlauben. Wenn Sie die uneingeschränkte Konnektivität zu Remote-Konsolendiensten wie SSH entfernen, verringern Sie das Risiko für einen Server. Preisstufe: Enterprise Compliance standards:
|
Sicherheitsgruppen sollten keinen eingehenden Traffic von 0.0.0.0/0 an Port 22 zulassen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die automatische Schlüsselrotation für jeden Schlüssel aktiviert ist und mit der Schlüssel-ID des vom Kunden erstellten AWS KMS-Schlüssels übereinstimmt. Die Regel hat den Status „NICHT KONFORM“, wenn die Rolle „AWS Config-Aufzeichner“ für eine Ressource nicht die Berechtigung „kms:DescribeKey“ hat. Preisstufe: Enterprise Compliance standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Achten Sie darauf, dass die Rotation für vom Kunden erstellte CMKs aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit AWS Key Management Service (KMS) können Kunden den Sicherungsschlüssel rotieren. Dabei handelt es sich um im KMS gespeichertes Schlüsselmaterial, das mit der Schlüssel-ID des vom Kunden erstellten Masterschlüssels (Customer Created Customer Master Key, CMK) verknüpft ist. Er ist der Sicherungsschlüssel, der für kryptografische Vorgänge wie Verschlüsselung und Entschlüsselung verwendet wird. Bei der automatisierten Schlüsselrotation werden derzeit alle vorherigen Sicherungsschlüssel beibehalten, sodass die Entschlüsselung verschlüsselter Daten transparent erfolgen kann. Es wird empfohlen, die CMK-Schlüsselrotation für symmetrische Schlüssel zu aktivieren. Die Schlüsselrotation kann für einen asymmetrischen CMK nicht aktiviert werden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Rotation für vom Kunden erstellte symmetrische CMKs aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob Routingtabellen für VPC-Peering mit dem Hauptkonto der geringsten Berechtigung konfiguriert sind. Preisstufe: Enterprise Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Achten Sie darauf, dass Routingtabellen für VPC-Peering den geringsten Zugriff gewähren
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der öffentliche Zugriff von Amazon S3 Block bietet Einstellungen für Zugangspunkte, Buckets und Konten, mit denen Sie den öffentlichen Zugriff auf Amazon S3-Ressourcen verwalten können. Standardmäßig ist bei neuen Buckets, Zugangspunkten und Objekten kein öffentlicher Zugriff möglich. Preisstufe: Enterprise Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüfen Sie, ob die erforderlichen S3-Einstellungen zum Blockieren des öffentlichen Zugriffs auf Kontoebene konfiguriert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon S3 bietet Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass S3-Buckets mit
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Bei der S3-Bucket-Zugriffsprotokollierung wird ein Log generiert, das Zugriffsdatensätze für jede Anfrage an Ihren S3-Bucket enthält. Ein Zugriffsprotokolleintrag enthält Details zur Anfrage, z. B. den Anfragetyp, die in der Anfrage angegebenen Ressourcen und die Uhrzeit und das Datum, zu dem die Anfrage verarbeitet wurde. Es wird empfohlen, das Bucket-Zugriffs-Logging im CloudTrail S3-Bucket zu aktivieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass das S3-Bucket-Zugriffs-Logging im CloudTrail S3-Bucket aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Das AWS S3-Serverzugriffs-Logging zeichnet Zugriffsanfragen auf Storage-Buckets auf, was für Sicherheitsaudits nützlich ist. Standardmäßig ist das Serverzugriffs-Logging für S3-Buckets nicht aktiviert. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Logging für alle S3-Buckets aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Auf Amazon S3-Bucket-Ebene können Sie Berechtigungen über eine Bucket-Richtlinie konfigurieren, sodass die Objekte nur über HTTPS zugänglich sind. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die S3-Bucket-Richtlinie auf Ablehnen von HTTP-Anfragen festgelegt ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Einstellung wird geprüft, ob die regionsübergreifende Replikation für einen Amazon S3-Bucket aktiviert ist. Die Steuerung schlägt fehl, wenn für den Bucket keine regionsübergreifende Replikation oder die Replikation für dieselbe Region ebenfalls aktiviert ist. Bei der Replikation werden Objekte automatisch und asynchron zwischen Buckets in derselben oder in verschiedenen AWS-Regionen kopiert. Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen oder mehrere Ziel-Buckets kopiert. Gemäß den AWS-Best Practices wird die Replikation für Quell- und Ziel-Buckets empfohlen, die demselben AWS-Konto gehören. Neben der Verfügbarkeit sollten Sie Einstellungen zur Härtung anderer Systeme in Betracht ziehen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die regionsübergreifende Replikation für S3-Buckets aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob für Ihren S3-Bucket entweder die Standardverschlüsselung von Amazon S3 aktiviert ist oder ob die S3-Bucket-Richtlinie „put-object“-Anfragen ohne serverseitige Verschlüsselung explizit ablehnt. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass alle S3-Buckets die Verschlüsselung ruhender Daten verwenden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit Amazon S3 können Sie mehrere Varianten eines Objekts im selben Bucket speichern. So können Sie sich leichter von unbeabsichtigten Nutzeraktionen und Anwendungsfehlern erholen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die Versionsverwaltung für alle S3-Buckets aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die Amazon S3-Buckets mit AWS Key Management Service (AWS KMS) verschlüsselt sind Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle Buckets mit KMS verschlüsselt sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein AWS KMS-Schlüssel (AWS Key Management Service) für eine Amazon SageMaker-Notebookinstanz konfiguriert ist. Die Regel hat den Status „NICHT KONFORM“, wenn „KmsKeyId“ für die SageMaker-Notebookinstanz nicht angegeben ist. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für alle SageMaker-Notebookinstanzen die Verwendung von KMS konfiguriert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob der direkte Internetzugriff für eine SageMaker-Notebookinstanz deaktiviert ist. Dazu wird geprüft, ob das Feld „DirectInternetAccess“ für die Notebookinstanz deaktiviert ist. Wenn Sie Ihre SageMaker-Instanz ohne VPC konfigurieren, ist standardmäßig der direkte Internetzugriff auf Ihrer Instanz aktiviert. Konfigurieren Sie Ihre Instanz mit einer VPC und ändern Sie die Standardeinstellung in „Deaktivieren – Zugriff auf das Internet über eine VPC“. Sie benötigen einen Internetzugang, um Modelle über ein Notebook zu trainieren oder zu hosten. Damit der Internetzugriff möglich ist, muss Ihre VPC ein NAT-Gateway haben und Ihre Sicherheitsgruppe ausgehende Verbindungen zulassen. Weitere Informationen zum Verbinden einer Notebookinstanz mit Ressourcen in einer VPC finden Sie im Amazon SageMaker-Entwicklerleitfaden unter „Notebookinstanz mit Ressourcen in einer VPC verbinden“. Achten Sie außerdem darauf, dass nur autorisierte Nutzer auf Ihre SageMaker-Konfiguration zugreifen können. Beschränken Sie die IAM-Berechtigungen der Nutzer, um die SageMaker-Einstellungen und ‑Ressourcen zu ändern. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob der direkte Internetzugriff für alle Amazon SageMaker-Notebookinstanzen deaktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein in AWS Secrets Manager gespeichertes Secret für die automatische Rotation konfiguriert ist. Die Steuerung schlägt fehl, wenn das Secret nicht für die automatische Rotation konfiguriert ist. Wenn Sie einen benutzerdefinierten Wert für den Parameter Mit Secret Manager können Sie den Sicherheitsstatus Ihrer Organisation verbessern. Zu Secrets gehören Datenbankanmeldedaten, Passwörter und API-Schlüssel von Drittanbietern. Mit Secret Manager können Sie Secrets zentral speichern, automatisch verschlüsseln, den Zugriff darauf steuern und Secrets sicher und automatisch rotieren. Secrets Manager kann Secrets rotieren. Mithilfe der Rotation können Sie langfristige Secrets durch kurzfristige ersetzen. Durch das Rotieren Ihrer Secrets wird begrenzt, wie lange ein nicht autorisierter Nutzer ein manipuliertes Secret verwenden kann. Aus diesem Grund sollten Sie Ihre Secrets regelmäßig wechseln. Weitere Informationen zur Rotation finden Sie unter AWS Secrets Manager-Secrets rotieren im AWS Secrets Manager-Nutzerhandbuch. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für alle AWS Secrets Manager-Secrets die Rotation aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein SNS-Thema im inaktiven Zustand mit AWS KMS verschlüsselt wird. Die Steuerelemente funktionieren nicht, wenn für ein SNS-Thema kein KMS-Schlüssel für die serverseitige Verschlüsselung (SSE) verwendet wird. Durch die Verschlüsselung ruhender Daten verringert sich das Risiko, dass auf dem Laufwerk gespeicherte Daten von einem nicht bei AWS authentifizierten Nutzer aufgerufen werden. Außerdem werden weitere Zugriffskontrollen hinzugefügt, um den Zugriff nicht autorisierter Nutzer auf die Daten zu begrenzen. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. Für eine zusätzliche Sicherheitsebene sollten SNS-Themen im Ruhezustand verschlüsselt werden. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle SNS-Themen mit KMS verschlüsselt sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Hier wird geprüft, ob die Standardsicherheitsgruppe einer VPC eingehenden oder ausgehenden Traffic zulässt. Die Prüfung schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Traffic zulässt. Die Regeln für die Standardsicherheitsgruppe erlauben den gesamten ausgehenden und eingehenden Traffic von Netzwerkschnittstellen (und ihren zugehörigen Instanzen), die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, die Standardsicherheitsgruppe nicht zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Einstellung für die Standardsicherheitsgruppenregeln ändern, um eingehenden und ausgehenden Traffic einzuschränken. Dies verhindert unbeabsichtigten Traffic, wenn die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2-Instanzen konfiguriert wird. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit VPC-Flusslogs können Sie Informationen zum IP-Traffic erfassen, der an Netzwerkschnittstellen in Ihrem VPC ein- und ausgeht. Nachdem Sie ein Flusslog erstellt haben, können Sie die zugehörigen Daten in Amazon CloudWatch Logs ansehen und abrufen. Es wird empfohlen, VPC-Flusslogs für Pakete vom Typ „Abgelehnt“ für VPCs zu aktivieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass VPC-Fluss-Logging in allen VPCs aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Einstellung wird geprüft, ob eine Amazon EC2-Sicherheitsgruppe uneingeschränkten eingehenden Traffic von nicht autorisierten Ports zulässt. Der Steuerstatus wird so ermittelt: Wenn Sie den Standardwert für „authorizedTcpPorts“ verwenden, schlägt die Prüfung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem anderen Port als den Ports 80 und 443 zulässt. Wenn Sie benutzerdefinierte Werte für „authorizedTcpPorts“ oder „authorizedUdpPorts“ angeben, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem nicht aufgeführten Port zulässt. Wenn kein Parameter verwendet wird, schlägt die Steuerung für alle Sicherheitsgruppen fehl, die eine Regel für uneingeschränkten eingehenden Traffic haben. Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS. Sicherheitsgruppenregeln sollten dem Prinzip der geringsten Berechtigung folgen. Uneingeschränkter Zugriff (IP-Adresse mit dem Suffix /0) erhöht das Risiko von schädlichen Aktivitäten wie Hacking, Denial-of-Service-Angriffen und Datenverlust. Sofern ein Port nicht ausdrücklich zugelassen ist, sollte er den uneingeschränkten Zugriff verweigern. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Sicherheitsgruppen mit 0.0.0.0/0 von VPCs nur bestimmten eingehenden TCP/UDP-Traffic zulassen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Ein VPN-Tunnel ist eine verschlüsselte Verbindung, über die Daten innerhalb einer AWS Site-to-Site-VPN-Verbindung vom Kundennetzwerk zu oder von AWS übertragen werden können. Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie gleichzeitig für Hochverfügbarkeit verwenden können. Es ist wichtig, dass beide VPN-Tunnel für eine VPN-Verbindung aktiviert sind, um eine sichere und hochverfügbare Verbindung zwischen einem AWS-VPC und Ihrem Remote-Netzwerk zu gewährleisten. Mit dieser Prüfung wird überprüft, ob beide VPN-Tunnel, die von AWS Site-to-Site VPN bereitgestellt werden, den Status „UP“ haben. Die Steuerung schlägt fehl, wenn einer oder beide Tunnel den Status „AUS“ haben. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob beide von AWS Site-to-Site bereitgestellten AWS-VPN-Tunnel den Status UP haben
|
Web Security Scanner-Ergebnisse
Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. Im In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans bereitgestellter Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.
| Kategorie | Ergebnisbeschreibung | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
|---|---|---|---|
|
Kategoriename in der API: |
Ein Git-Repository ist öffentlich zugänglich. Entfernen Sie unbeabsichtigte Elemente, um das Problem zu beheben öffentlichen Zugriff auf das GIT-Repository. Preisstufe: Standard |
A5 | A01 |
|
Kategoriename in der API: |
Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository. Preisstufe: Standard |
A5 | A01 |
|
Kategoriename in der API: |
In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden. Preisstufe: Premium |
A3 | A04 |
|
Kategoriename in der API: |
Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort. Preisstufe: Standard |
A3 | A02 |
|
Kategoriename in der API: |
Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Suffix des Preisstufe: Premium |
A5 | A01 |
|
Kategoriename in der API: |
Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Präfix des Preisstufe: Premium |
A5 | A01 |
|
Kategoriename in der API: |
Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Bis
dieses Ergebnis lösen, geben Sie im HTTP-Header Preisstufe: Standard |
A6 | A05 |
|
Kategoriename in der API: |
Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Um dieses Ergebnis zu lösen, HTTP-Sicherheitsheader richtig festlegen. Preisstufe: Standard |
A6 | A05 |
|
Kategoriename in der API: |
Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Standard |
A6 | A05 |
|
Kategoriename in der API: |
Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie HTTP fest, um dieses Ergebnis zu lösen. Sicherheitsheader korrekt. Preisstufe: Standard |
A6 | A05 |
|
Kategoriename in der API: |
Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden. Preisstufe: Standard |
A6 | A05 |
|
Kategoriename in der API: |
Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Führen Sie ein Upgrade durch, um dieses Ergebnis zu beheben Bibliotheken auf eine neuere Version zu aktualisieren. Preisstufe: Standard |
A9 | A06 |
|
Kategoriename in der API: |
Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben. Preisstufe: Standard |
Nicht zutreffend | A10 |
|
Kategoriename in der API: |
Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzung des Nutzers
ID im Preisstufe: Premium |
A2 | A07 |
|
Kategoriename in der API: |
Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Um dieses Ergebnis zu lösen, verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Benutzereingaben die Struktur des SQL- Abfrage. Preisstufe: Premium |
A1 | A03 |
|
Kategoriename in der API: |
Die Verwendung einer angreifbaren Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren. Preisstufe: Premium |
A8 | A08 |
|
Kategoriename in der API: |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Bis dieses Ergebnis aufzuklären, zu validieren und nicht vertrauenswürdige, von Nutzern bereitgestellte Daten zu maskieren. Preisstufe: Standard |
A7 | A03 |
|
Kategoriename in der API: |
Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden. Preisstufe: Standard |
A7 | A03 |
|
Kategoriename in der API: |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten. Preisstufe: Standard |
A7 | A03 |
|
Kategoriename in der API: |
Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann den um eine Datei auf dem Host zu lecken. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben. Preisstufe: Premium |
A4 | A05 |
|
Kategoriename in der API: |
Die Anwendung ist anfällig für Prototypenverschmutzung. Diese Sicherheitslücke tritt auf,
können Eigenschaften des Preisstufe: Standard |
A1 | A03 |
IAM-Recommender-Ergebnisse
In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die vom IAM-Empfehlungstool generiert werden.
Jedes IAM-Recommender-Ergebnis enthält spezifische Empfehlungen zum Entfernen oder eine Rolle ersetzen, die übermäßige Berechtigungen eines Hauptkontos in Ihrem Google Cloud-Umgebung
Die vom IAM-Recommender generierten Ergebnisse entsprechen die in der Google Cloud Console auf der Seite IAM-Seite des betroffenen Projekts Ordner oder Organisation.
Weitere Informationen zur Einbindung des IAM-Recommenders in Security Command Center finden Sie unter Sicherheitsquellen.
| Detektor | Fazit |
|---|---|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Empfehlungstool hat ein Dienstkonto mit einer oder mehreren IAM-Rollen erkannt, die dem Nutzerkonto zu viele Berechtigungen gewähren. Preisstufe: Premium Unterstützte Assets:
Beheben Sie das Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: diese Schritte:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf |
|
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Recommender hat erkannt, dass der ursprüngliche Standardwert Die einem Dienst-Agent gewährte IAM-Rolle wurde durch eine der einfachen Rollen ersetzt IAM-Rollen: Inhaber, Bearbeiter oder Betrachter Einfache Rollen sind Legacy-Rollen mit zu umfangreichen Berechtigungen und sollten Dienst-Agents nicht gewährt werden. Preisstufe: Premium Unterstützte Assets:
Dieses Ergebnis korrigieren : Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf |
|
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Recommender hat in IAM erkannt, dass einem Dienst-Agent eine gewährt wurde der einfachen IAM-Rollen Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind zu weit gefasste ältere Rollen und sollten Dienst-Agents nicht gewährt werden. Preisstufe: Premium Unterstützte Assets:
Dieses Ergebnis korrigieren : Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf |
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Recommender hat ein Nutzerkonto erkannt, das ein IAM-Rolle, die in den letzten 90 Tagen nicht verwendet wurde. Preisstufe: Premium Unterstützte Assets:
Dieses Ergebnis korrigieren : Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf |
CIEM-Ergebnisse
In der folgenden Tabelle sind die Ergebnisse zu Security Command Center-Identität und -Zugriff aufgeführt für AWS, die von Cloud Infrastructure Entitlement Management (CIEM) generiert werden.
CIEM-Ergebnisse enthalten spezifische Empfehlungen zum Entfernen oder ersetzen Sie strikt restriktive AWS-IAM-Richtlinien, die mit angenommenen Identitäten verknüpft sind, oder Gruppen in Ihrer AWS-Umgebung.
Weitere Informationen zu CIEM finden Sie unter Cloud Infrastructure Entitlement Management.
| Detektor | Fazit |
|---|---|
|
Kategoriename in der API: |
Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM ein übernommene IAM-Rolle mit einer oder mehreren strikt eingeschränkten Richtlinien, die gegen die Prinzip der geringsten Berechtigung und erhöhen die Sicherheitsrisiken. Preisstufe: Enterprise Beheben Sie das Ergebnis : Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS Management Console aus:
In den Details des Befunds finden Sie spezifische Schritte zur Behebung. |
|
Kategoriename in der API: |
Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM ein IAM erkannt. Gruppe mit einer oder mehreren strikt eingeschränkten Richtlinien, die gegen das Prinzip der geringsten Entfernung verstoßen und die Sicherheitsrisiken erhöhen. Preisstufe: Enterprise Beheben Sie das Ergebnis : Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS Management Console aus:
In den Details des Befunds finden Sie spezifische Schritte zur Behebung. |
|
Kategoriename in der API: |
Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM ein IAM erkannt. Nutzer mit einer oder mehreren strikt eingeschränkten Richtlinien, die gegen das Prinzip der geringsten Entfernung verstoßen und die Sicherheitsrisiken erhöhen. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS Management Console aus:
In den Details des Befunds finden Sie spezifische Schritte zur Behebung. |
Ergebnisse des Dienstes „Sicherheitsstatus“
In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die vom Dienst zur Bewertung der Sicherheitslage generiert werden.
Jedes Ergebnis des Sicherheitsstatusdienstes identifiziert eine Driftinstanz von Ihrem definierten Sicherheitsstatus.
| Ergebnis | Fazit |
|---|---|
|
Kategoriename in der API: |
Beschreibung des Ergebnisses: Der Dienst zur Bewertung der Sicherheitskonfiguration hat eine Änderung an einem Security Health Analytics-Detektor erkannt, die nicht im Rahmen eines Aktualisierungsvorgangs der Sicherheitskonfiguration stattgefunden hat. Preisstufe: Premium
Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, sodass das Detektoreinstellungen in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu lösen: Sie können den Security Health Analytics-Detektor oder den Posture- und Posture-Deployment. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie den Security Health Analytics-Detektor in der Google Cloud Console. Anweisungen finden Sie unter Detektoren aktivieren und deaktivieren Gehen Sie so vor, um die Änderung zu akzeptieren:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Security Posture-Dienst hat eine Änderung an einer Benutzerdefiniertes Security Health Analytics-Modul, das außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, sodass die benutzerdefinierte Moduleinstellungen in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Security Health Analytics-Modul oder die Position und die Bereitstellung der Position aktualisieren. Um die Änderung rückgängig zu machen, aktualisieren Sie das benutzerdefinierte Modul für Security Health Analytics im Google Cloud Console Anweisungen finden Sie unter Benutzerdefiniertes Modul aktualisieren So akzeptieren Sie die Änderung:
|
|
Kategoriename in der API: |
Beschreibung des Ergebnisses: Der Dienst zur Bewertung der Sicherheitslage hat festgestellt, dass ein benutzerdefiniertes Security Health Analytics-Modul gelöscht wurde. Dieses Löschen erfolgte außerhalb eines Statusupdates. Preisstufe: Premium Dieses Ergebnis korrigieren : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, sodass die benutzerdefinierte Moduleinstellungen in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Security Health Analytics-Modul oder die Position und die Bereitstellung der Position aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Security Health Analytics-Modul in der Google Cloud Console. Anweisungen finden Sie unter Benutzerdefiniertes Modul aktualisieren Gehen Sie so vor, um die Änderung zu akzeptieren:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer Organisationsrichtlinie erkannt, die nicht im Rahmen eines Statusupdates erfolgt ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, sodass das Definitionen der Organisationsrichtlinien in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Optionen zur Behebung dieses Ergebnisses: Sie können die Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Für finden Sie unter Richtlinien erstellen und bearbeiten So akzeptieren Sie die Änderung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zum Bestimmen des Sicherheitsstatus hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung. Preisstufe: Premium Dieses Ergebnis korrigieren : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, sodass das Definitionen der Organisationsrichtlinien in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Optionen zur Behebung dieses Ergebnisses: Sie können die Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Für finden Sie unter Richtlinien erstellen und bearbeiten Gehen Sie so vor, um die Änderung zu akzeptieren:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Security Posture-Dienst hat eine Änderung an einer benutzerdefinierte Organisationsrichtlinie, die außerhalb einer Statusaktualisierung erfolgte. Preisstufe: Premium Beheben Sie das Ergebnis : Bei diesem Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Definitionen der Organisationsrichtlinien in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei um dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie aktualisieren oder den Status und die Bereitstellung aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Anweisungen finden Sie unter Benutzerdefinierte Einschränkung aktualisieren So akzeptieren Sie die Änderung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zum Bestimmen des Sicherheitsstatus hat erkannt, dass eine benutzerdefinierte Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte nicht im Rahmen eines Statusupdates. Preisstufe: Premium Dieses Ergebnis korrigieren : Bei diesem Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Definitionen der Organisationsrichtlinien in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei um dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie aktualisieren oder den Status und die Bereitstellung aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. So akzeptieren Sie die Änderung:
|
In der folgenden Tabelle sind die Ergebnisse zum Sicherheitsstatus aufgeführt, die Instanzen von Ressourcen, die gegen Ihren definierten Sicherheitsstatus verstoßen.
| Ergebnis | Fazit |
|---|---|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass in einem Subnetz eine externe IPv6-Adresse aktiviert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource löschen oder die Ausrichtung aktualisieren und neu bereitstellen. So löschen Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Körperhaltung. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Security Posture-Dienst hat festgestellt, dass eine für das Subnetzwerk eine interne IPv6-Adresse aktiviert ist. Preisstufe: Premium Beheben Sie das Ergebnis : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource löschen oder die Ausrichtung aktualisieren und neu bereitstellen. So löschen Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Körperhaltung. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass das OS-Anmeldeverfahren in einer VM-Instanz deaktiviert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. Führen Sie die folgenden Schritte aus, um den Status zu aktualisieren:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitslage hat erkannt, dass einer SQL-Instanz ein autorisiertes Netzwerk hinzugefügt wurde. Preisstufe: Premium Dieses Ergebnis korrigieren : Dieses Ergebnis erfordert, dass Sie den Verstoß beheben oder den Sicherheitsstatus aktualisieren. Sie haben zwei Optionen zur Behebung dieses Ergebnisses: Sie können die Ressource aktualisieren, die einen Verstoß darstellt, oder Sie und stellen Sie den Sicherheitsstatus noch einmal bereit. Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. Führen Sie die folgenden Schritte aus, um den Status zu aktualisieren:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Security Posture-Dienst hat erkannt, dass eine VPC Connector ist nicht für eine Cloud Run-Funktionsinstanz aktiviert. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Security Posture-Dienst hat festgestellt, dass serielle ist der Portzugriff auf eine VM-Instanz aktiviert. Preisstufe: Premium Beheben Sie das Ergebnis : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. Führen Sie die folgenden Schritte aus, um den Status zu aktualisieren:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Security Posture-Dienst hat erkannt, dass ein Standard- Netzwerk erstellt wird. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource löschen oder die Ausrichtung aktualisieren und neu bereitstellen. So löschen Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Körperhaltung. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Security Posture-Dienst hat festgestellt, dass eine Der Cloud Run-Dienst entspricht nicht den angegebenen Einstellungen für eingehenden Traffic. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. Führen Sie die folgenden Schritte aus, um den Status zu aktualisieren:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Security Posture-Dienst hat festgestellt, dass eine Der Zugriff auf Bucket-Ebene ist engmaschig und nicht einheitlich. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Körperhaltung. Führen Sie die folgenden Schritte aus, um den Status zu aktualisieren:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitslage hat festgestellt, dass ein Cloud Run-Dienst nicht den angegebenen Einstellungen für ausgehenden Traffic entspricht. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. Führen Sie die folgenden Schritte aus, um die Ressource zu aktualisieren:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Körperhaltung. Führen Sie die folgenden Schritte aus, um den Status zu aktualisieren:
|
VM Manager
VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.
Wenn Sie VM Manager mit Security Command Center Premium auf Organisationsebene aktivieren, schreibt VM Manager Ergebnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, in Security Command Center. Die Berichte enthalten Informationen zu Sicherheitslücken in Betriebssystemen, die auf VMs installiert sind, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs).
So verwenden Sie VM Manager mit Aktivierungen auf Projektebene der Security Command Center Premium, aktivieren Sie Security Command Center Standard in der Dachorganisation.
Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.
Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit dieser Funktion können Sie Patchverwaltung auf Organisationsebene für alle Ihre Projekte.
Der Schweregrad der Ergebnisse zu Sicherheitslücken, die von
VM Manager ist immer entweder CRITICAL oder HIGH.
VM Manager-Ergebnisse
Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Kategoriename in der API: |
Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt. Preisstufe: Premium Unterstützte Assets |
VM Manager Berichte zu Sicherheitslücken Details zu Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine VMs, einschließlich Common Vulnerabilities and Exposures (CVEs). Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter Details zu Betriebssystemen. Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt:
|
Ergebnisse in der Console ansehen
Google Cloud Console
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option VM Manager: Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Security Operations-Konsole
-
Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ersetzen Sie
CUSTOMER_SUBDOMAINdurch Ihre kundenspezifische Kennung. - Klicken Sie im Abschnitt Aggregationen, um den Anzeigenamen der Quelle zu maximieren. Unterabschnitt.
- Wählen Sie VM Manager aus. Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
- Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
- Optional: Um die vollständige JSON-Definition des Ergebnisses anzusehen, klicken Sie auf den Tab JSON.
Korrekturmaßnahmen für VM-Manager-Ergebnisse
Ein OS_VULNERABILITY-Ergebnis gibt an, dass VM Manager eine Sicherheitslücke in den installierten Betriebssystempaketen in einer Compute Engine-VM gefunden hat.
So können Sie dieses Ergebnis beheben:
Ein
OS vulnerability-Ergebnis öffnen und dessen JSON-Datei ansehen Definition.Kopieren Sie den Wert des Felds
externalUri. Dieser Wert ist der URI für die Seite OS-Informationen der Compute Engine-VM-Instanz, auf der das anfällige Betriebssystem installiert ist.Wenden Sie alle erforderlichen Patches für das Betriebssystem an, das unter Allgemeine Informationen angezeigt wird. . Eine Anleitung zum Bereitstellen von Patches finden Sie unter Patchjobs erstellen.
Weitere Informationen zu diesem Ergebnistyp unterstützte Einstellungen für Assets und Scans.
VM Manager-Ergebnisse stummschalten
Sie können einige oder alle VM Manager-Ergebnisse im Security Command Center ausblenden, wenn sie für Ihre Sicherheitsanforderungen nicht relevant sind.
Sie können VM Manager-Ergebnisse ausblenden, indem Sie Ausblendungsregel erstellen und spezifische Abfrageattribute für die VM Manager-Ergebnisse hinzufügen die Sie ausblenden möchten.
So erstellen Sie eine Ausblendungsregel für VM Manager mithilfe der Methode Führen Sie in der Google Cloud Console die folgenden Schritte aus:
Rufen Sie in der Google Cloud Console die Security Command Center-Seite Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Klicken Sie auf Ausblendungsoptionen und wählen Sie dann Ausblendungsregel erstellen aus.
Geben Sie eine ID für eine Ausblendungs-Regel ein. Dieser Wert ist erforderlich.
Geben Sie eine Beschreibung der Ausblendungsregel ein, die den Kontext dafür enthält, warum die Ergebnisse ausgeblendet werden. Dieser Wert ist optional, wird aber empfohlen.
Prüfe den Geltungsbereich der Stummschaltungsregel anhand des Werts für Übergeordnete Ressource.
Erstellen Sie im Feld Ergebnisabfrage Ihre Abfrageanweisungen, indem Sie auf Filter hinzufügen: Alternativ können Sie die Abfrageanweisungen auch manuell eingeben.
Wählen Sie im Dialogfeld Filter auswählen Ergebnisse > Anzeigename der Quelle > VM Manager
Klicken Sie auf Anwenden.
Wiederholen Sie diesen Vorgang, bis die Anfrage zum Stummschalten alle Attribute enthält, die Sie ausblenden möchten.
Wenn Sie beispielsweise bestimmte CVE-IDs im Ergebnisse zu VM Manager-Sicherheitslücken, auswählen Sicherheitslücke > CVE-ID. Wählen Sie dann die CVE-IDs aus, die Sie ausblenden.
Die Ergebnisabfrage sieht in etwa so aus:
Klicken Sie auf Vorschau der übereinstimmenden Ergebnisse anzeigen.
Eine Tabelle zeigt Ergebnisse an, die Ihrer Abfrage entsprechen.
Klicken Sie auf Speichern.
Schutz sensibler Daten
In diesem Abschnitt werden die Sicherheitslücken beschrieben, die vom Sensitive Data Protection-Modul generiert werden, welche Compliance-Standards sie unterstützen und wie sie behoben werden können.
Sensitive Data Protection sendet Beobachtungsergebnisse auch an Security Command Center. Weitere Informationen zu den Beobachtungsergebnissen und Sensitive Data Protection finden Sie unter Schutz sensibler Daten
Informationen zum Aufrufen der Ergebnisse finden Sie unter Ergebnisse zum Schutz sensibler Daten in der Google Cloud Console prüfen
Mit dem Dienst zur Erkennung sensibler Daten können Sie feststellen, ob Sie höchst sensible Daten speichern, die nicht geschützt sind.
| Kategorie | Fazit |
|---|---|
|
Kategoriename in der API:
|
Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher Vertraulichkeit, auf die jeder im Internet zugreifen kann. Unterstützte Assets:
Abhilfe: Entfernen Sie für Google Cloud-Daten Bei Amazon S3-Daten Einstellungen zum Blockieren des öffentlichen Zugriffs konfigurieren oder aktualisieren Sie die ACL des Objekts, um den öffentlichen Lesezugriff zu verhindern. Compliance-Standards: Nicht zugeordnet |
|
Kategoriename in der API:
|
Ergebnisbeschreibung: In den Umgebungsvariablen von Cloud Run-Funktionen befinden sich Geheimnisse, z. B. Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten. Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Geheimnisse in Umgebungsvariablen an Security Command Center melden. Unterstützte Assets:
Behebung: Entfernen Sie das Secret aus der Umgebungsvariablen und speichern Sie es stattdessen in Secret Manager. Compliance-Standards:
|
|
Kategoriename in der API:
|
Ergebnisbeschreibung: In der angegebenen Ressource befinden sich Secrets wie Passwörter, Authentifizierungstokens und Cloud-Anmeldedaten. Unterstützte Assets:
Behebung:
Compliancestandards: Nicht zugeordnet |
Policy Controller
Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster, die als Flottenmitgliedschaften registriert sind. Diese Richtlinien dienen als Schutzmaßnahmen und kann Sie bei Best Practices, Sicherheit und Compliance unterstützen. Verwaltung Ihrer Cluster und Ihrer Flotte.
Auf dieser Seite sind nicht alle einzelnen Policy Controller-Ergebnisse aufgeführt. Die Informationen zu den Misconfiguration-Klassenergebnissen, die Policy Controller in das Security Command Center schreibt, stimmen jedoch mit den Clusterverstößen überein, die für jedes Policy Controller-Bundle dokumentiert sind. Die Dokumentation zu den einzelnen Policy Controller-Ergebnistypen finden Sie in den folgenden Policy Controller-Bundles:
CIS-Kubernetes-Benchmark v1.5.1, eine Reihe von Empfehlungen für die Konfiguration von Kubernetes, um ein hohes Sicherheitsniveau zu gewährleisten. Informationen zu diesem Bundle finden Sie auch im GitHub-Repository für
cis-k8s-v1.5.1.PCI-DSS v3.2.1: Ein Bundle, mit dem die Compliance Ihrer Clusterressourcen mit einigen Aspekten des Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1 bewertet wird. Informationen zu diesem Bundle finden Sie auch im GitHub-Repository für
pci-dss-v3.
Diese Funktion ist nicht mit VPC Service Controls-Dienstperimetern für die Stackdriver API kompatibel.
Ergebnisse des Policy Controllers finden und beheben
Die Policy Controller-Kategorien entsprechen den Einschränkungsnamen, die unter
in der Dokumentation zu Policy Controller-Bundles. Ein require-namespace-network-policies-Ergebnis gibt beispielsweise an, dass ein Namespace gegen die Richtlinie verstößt, dass jeder Namespace in einem Cluster eine NetworkPolicy haben muss.
So korrigieren Sie ein Ergebnis:
Google Cloud Console
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Policy Controller im Cluster. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Security Operations-Konsole
-
Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ersetzen Sie
CUSTOMER_SUBDOMAINdurch Ihre kundenspezifische Kennung. - Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
- Wählen Sie Policy Controller On-Cluster aus. Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
- Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Nächste Schritte
Weitere Informationen zur Verwendung von Web Security Scanner
Vorschläge lesen für Probleme von Security Health Analytics beheben und Web Security Scanner-Ergebnisse beheben.