漏洞发现结果

Security Health Analytics 和 Web Security Scanner 检测器会生成漏洞发现结果, Security Command Center在 Security Command Center 中启用它们后, 虚拟机管理器等集成服务 结果。

您能否查看和修改发现结果取决于 分配给您的 Identity and Access Management (IAM) 角色和权限。如需详细了解 Security Command Center 中的 IAM 角色,请参阅访问权限控制

检测器与合规性

Security Command Center 可监控您是否符合多种检测器的合规性,这些检测器映射到各种控件的 各种安全标准

对于每种受支持的安全标准 Security Command Center 检查一部分控件 对于已选中的控件,Security Command Center 会显示有多少控件通过测试。对于 Security Command Center 会显示未通过的发现结果列表, 来描述控制机制的失败情况

CIS 会审核和认证 Security Command Center 每个受支持的 CIS Google Cloud Foundations Benchmark 的版本。其他合规性映射仅供参考。

Security Command Center 定期增加对新的基准版本和标准的支持。较早 版本仍然受支持,但最终会被弃用。 我们建议您使用最新的受支持基准或标准。

借助安全状况服务,您可以将组织政策和 Security Health Analytics 检测器映射到适用于贵商家的标准和控制措施。 创建安全状况后,您可以监控 任何可能影响企业合规性的环境变化。

如需详细了解如何管理合规性,请参阅 评估和报告安全性合规性 标准

Google Cloud 支持的安全标准

Security Command Center 会将 Google Cloud 的检测器映射到以下一个或多个合规性标准:

AWS 支持的安全标准

Security Command Center 将 Amazon Web Services (AWS) 的检测器映射到以下一项或多项合规性 标准:

有关查看和导出合规性报告的说明,请参阅 合规性部分 在 Google Cloud 控制台中使用 Security Command Center

修复后停用发现结果

在您修复漏洞或配置错误的发现结果后, 检测到发现结果的 Security Command Center 服务会自动设置 下次检测服务扫描查找完毕后,将发现结果的状态设为 INACTIVE 找到该发现结果。Security Command Center 将修复后的发现结果设为 INACTIVE 取决于检测到发现结果的扫描的时间表。

Security Command Center 服务还会设置漏洞或 INACTIVE当扫描检测到该资源 将被删除

如需详细了解扫描间隔时间,请参阅以下主题:

发现的 Security Health Analytics 问题

Security Health Analytics 检测器监控 Cloud Asset Inventory (CAI) 中的部分资源,接收资源和 Identity and Access Management (IAM) 政策更改的通知。某些检测器直接调用 Google Cloud API 来检索数据,如本页面后面的表格中所示。

如需详细了解 Security Health Analytics、扫描时间表以及 Security Health Analytics 对内置和自定义模块检测器的支持,请参阅 Security Health Analytics 概览

下面的表格介绍 Security Health Analytics 检测器、支持的资源和合规标准、用于扫描的设置以及生成的发现结果类型。您可以使用 Google Cloud 控制台中的 Security Command Center 漏洞页面按各种属性过滤发现结果。

有关解决问题和保护资源的说明,请参阅 修复 Security Health Analytics 发现结果

API 密钥漏洞发现结果

API_KEY_SCANNER 检测器可识别与云部署中使用的 API 密钥相关的漏洞。

检测器 摘要 资源扫描设置
API key APIs unrestricted

API 中的类别名称:API_KEY_APIS_UNRESTRICTED

发现结果说明:有过于广泛使用的 API 密钥。如需解决此问题,请限制 API 密钥的使用,仅允许使用应用需要的 API。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

检索项目中所有 API 密钥的 restrictions 属性,检查是否有任何密钥设置为 cloudapis.googleapis.com

  • 实时扫描:否
API key apps unrestricted

API 中的类别名称:API_KEY_APPS_UNRESTRICTED

发现结果说明:有些 API 密钥可以不受限制地使用,允许任何不受信任的应用使用。

价格层级付费方案

支持的资源
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13

检索项目中所有 API 密钥的 restrictions 属性,检查是否设置了 browserKeyRestrictionsserverKeyRestrictionsandroidKeyRestrictionsiosKeyRestrictions

  • 实时扫描:否
API key exists

API 中的类别名称:API_KEY_EXISTS

发现结果说明:项目使用 API 密钥,而不是标准身份验证。

价格层级付费方案

支持的资源
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

检索项目拥有的所有 API 密钥。

  • 实时扫描:否
API key not rotated

API 中的类别名称:API_KEY_NOT_ROTATED

发现结果说明:该 API 密钥超过 90 天未轮替。

价格层级付费方案

支持的资源
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

检索所有 API 密钥的 createTime 属性中所包含的时间戳,检查是否已过去 90 天。

  • 实时扫描:否

Cloud Asset Inventory 漏洞发现结果

此检测器类型的漏洞均与 Cloud Asset Inventory 配置相关,属于 CLOUD_ASSET_SCANNER 类型。

检测器 摘要 资源扫描设置
Cloud Asset API disabled

API 中的类别名称:CLOUD_ASSET_API_DISABLED

发现结果说明:Cloud Asset Inventory 捕获 Google Cloud 资源和 IAM 政策可支持安全分析、资源更改跟踪和合规性审核。 我们建议为所有项目启用 Cloud Asset Inventory 服务。 此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器

价格层级付费方案

支持的素材资源
pubsub.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

检查 Cloud Asset Inventory 服务是否已启用。

  • 实时扫描:是

计算映像漏洞发现结果

COMPUTE_IMAGE_SCANNER 检测器可识别与 Google Cloud 映像配置相关的漏洞。

检测器 摘要 资源扫描设置
Public Compute image

API 中的类别名称:PUBLIC_COMPUTE_IMAGE

发现结果说明:Compute Engine 映像可公开访问。

价格层级付费方案或标准方案

支持的资源
compute.googleapis.com/Image

修正 此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

检查资源元数据中的 IAM 允许政策以找出可授予公开访问权限的主账号 allUsersallAuthenticatedUsers

  • 实时扫描:是

计算实例漏洞发现结果

COMPUTE_INSTANCE_SCANNER 检测器可识别与 Compute Engine 实例配置相关的漏洞。

COMPUTE_INSTANCE_SCANNER 检测器不会报告 GKE 创建的 Compute Engine 实例上的发现结果。此类实例的名称以“gke-”开头,用户无法进行修改。要保护这些实例,请参阅“容器漏洞发现结果”部分。

检测器 摘要 资源扫描设置
Confidential Computing disabled

API 中的类别名称:CONFIDENTIAL_COMPUTING_DISABLED

发现结果说明:Compute Engine 实例上已停用机密计算。

价格层级付费方案

支持的资源
compute.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

检查实例元数据的 confidentialInstanceConfig 属性以找出键值对 "enableConfidentialCompute":true

  • 从扫描中排除的资产
    • GKE 实例
    • 无服务器 VPC 访问通道
    • 与 Dataflow 作业相关的实例
    • N2D 类型的 Compute Engine 实例
  • 实时扫描:是
Compute project wide SSH keys allowed

API 中的类别名称:COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

发现结果说明:使用项目范围的 SSH 密钥,允许登录项目中的所有实例。

价格层级付费方案

支持的资源
compute.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

检查实例元数据中的 metadata.items[] 对象以找出键值对 "key": "block-project-ssh-keys", "value": TRUE

  • 从扫描中排除的资源:GKE 实例、Dataflow 作业、Windows 实例
  • 其他 IAM 权限roles/compute.Viewer
  • 其他输入:从 Compute Engine 读取元数据
  • 实时扫描:否
Compute Secure Boot disabled

API 中的类别名称:COMPUTE_SECURE_BOOT_DISABLED

发现结果说明:此安全强化型虚拟机未启用安全启动。使用安全启动功能可帮助保护虚拟机实例免受 rootkit 和 bootkit 等高级威胁。

价格层级付费方案

支持的资源
compute.googleapis.com/Instance

修正 此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

检查 Compute Engine 实例上的 shieldedInstanceConfig 属性,确定 enableSecureBoot 是否设置为 true。此检测器会检查挂接的磁盘是否与安全启动兼容以及安全启动是否已启用。

  • 从扫描中排除的资源:GKE 实例、具有 GPU 加速器并且不使用 Container-Optimized OS 的 Compute Engine 磁盘、无服务器 VPC 访问通道
  • 实时扫描:是
Compute serial ports enabled

API 中的类别名称:COMPUTE_SERIAL_PORTS_ENABLED

发现结果说明:为实例启用串行端口,允许连接到实例的串行控制台。

价格层级付费方案

支持的资源
compute.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

检查实例元数据中的 metadata.items[] 对象以找出键值对 "key": "serial-port-enable", "value": TRUE

  • 从扫描中排除的资源:GKE 实例
  • 其他 IAM 权限roles/compute.Viewer
  • 其他输入:从 Compute Engine 读取元数据
  • 实时扫描:是
Default service account used

API 中的类别名称:DEFAULT_SERVICE_ACCOUNT_USED

发现结果说明:实例配置为使用默认服务账号。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

检查实例元数据中任何前缀为 PROJECT_NUMBER-compute@developer.gserviceaccount.comserviceAccounts 属性,该属性指示 Google 创建的默认服务账号。

  • 从扫描中排除的资源:GKE 实例、Dataflow 作业
  • 实时扫描:是
Disk CMEK disabled

API 中的类别名称:DISK_CMEK_DISABLED

发现结果说明:此虚拟机上的磁盘未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器

价格层级付费方案

支持的素材资源
compute.googleapis.com/Disk

修正此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

在磁盘元数据中检查 diskEncryptionKey 对象的 kmsKeyName 字段,查看 CMEK 的资源名称。

  • 从扫描中排除的资源:与 Cloud Composer 环境、Dataflow 作业和 GKE 实例相关的磁盘
  • 实时扫描:是
Disk CSEK disabled

API 中的类别名称:DISK_CSEK_DISABLED

发现结果说明:此虚拟机上的磁盘未使用客户提供的加密密钥 (CSEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅特殊案例检测器

价格层级付费方案

支持的素材资源
compute.googleapis.com/Disk

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

检查 CSEK 资源名称的 diskEncryptionKey 对象中的 kmsKeyName 字段。

  • 从扫描中排除的资源
    未将 trueenforce_customer_supplied_disk_encryption_keys 安全标记设置为 的 Compute Engine 磁盘
  • 其他 IAM 权限roles/compute.Viewer
  • 其他输入:从 Compute Engine 读取元数据
  • 实时扫描:是
Full API access

API 中的类别名称:FULL_API_ACCESS

发现结果说明:实例配置为使用具有所有 Google Cloud API 的完整访问权限的默认服务账号。

价格层级付费方案

支持的资源
compute.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

检索 serviceAccounts 属性中的 scopes 字段,检查使用的默认服务账号是否已存在,以及是否分配了 cloud-platform 范围。

  • 从扫描中排除的资源:GKE 实例、Dataflow 作业
  • 实时扫描:是
HTTP load balancer

API 中的类别名称:HTTP_LOAD_BALANCER

发现结果说明:实例使用的负载均衡器被配置为使用目标 HTTP 代理,而不是使用目标 HTTPS 代理。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的资源
compute.googleapis.com/TargetHttpProxy

修正 此发现结果

合规性标准

  • PCI-DSS v3.2.1: 2.3

确定 targetHttpProxy 资源的 selfLink 属性是否与转发规则中的 target 属性匹配,以及转发规则是否包含设置为 ExternalloadBalancingScheme 字段。

  • 其他 IAM 权限roles/compute.Viewer
  • 其他输入:从 Compute Engine 读取目标 HTTP 代理的转发规则,检查是否存在外部规则
  • 实时扫描:是
Instance OS Login disabled

API 中的类别名称:INSTANCE_OS_LOGIN_DISABLED

发现结果说明:此实例已停用 OS Login。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的资源
compute.googleapis.com/Instance

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

检查 enable-oslogin 属性是否来自 实例的 Custom metadata 设置为 TRUE

  • 从扫描中排除的资产:GKE 实例、 与 Dataflow 作业相关的实例、无服务器 VPC 访问通道
  • 其他 IAM 权限roles/compute.Viewer
  • 其他输入:从 Compute Engine 读取元数据。
  • 实时扫描:否
IP forwarding enabled

API 中的类别名称:IP_FORWARDING_ENABLED

发现结果说明:已在实例上启用 IP 转发。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

检查实例的 canIpForward 属性是否已设置为 true

  • 从扫描中排除的资源:GKE 实例、无服务器 VPC 访问通道
  • 实时扫描:是
OS login disabled

API 中的类别名称:OS_LOGIN_DISABLED

发现结果说明:此实例已停用 OS Login。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

检查项目元数据中的 commonInstanceMetadata.items[] 对象以找出键值对 "key": "enable-oslogin""value": TRUE。检测器还会检查 Compute Engine 项目中的所有实例,以确定是否已为个别实例停用 OS Login。

  • 从扫描中排除的资产:GKE 实例、与 Dataflow 作业相关的实例
  • 其他 IAM 权限roles/compute.Viewer
  • 其他输入:从 Compute Engine 读取元数据。检测器还会检查项目中的 Compute Engine 实例
  • 实时扫描:否
Public IP address

API 中的类别名称:PUBLIC_IP_ADDRESS

发现结果说明:实例具有公共 IP 地址。

价格层级付费方案或标准方案

支持的素材资源
compute.googleapis.com/Instance

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

检查 networkInterfaces 属性是否包含 accessConfigs 字段,指示它已配置为使用公共 IP 地址。

  • 从扫描中排除的资源:GKE 实例、与 Dataflow 作业相关的实例
  • 实时扫描:是
Shielded VM disabled

API 中的类别名称:SHIELDED_VM_DISABLED

发现结果说明:此实例已停用安全强化型虚拟机。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8

检查 Compute Engine 实例中的 shieldedInstanceConfig 属性,以确定 enableIntegrityMonitoringenableVtpm 字段是否设置为 true。这些字段指示安全强化型虚拟机是否处于启用状态。

  • 从扫描中排除的资源:GKE 实例和无服务器 VPC 访问通道
  • 实时扫描:是
Weak SSL policy

API 中的类别名称:WEAK_SSL_POLICY

发现结果说明:实例具有弱 SSL 政策。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

检查资产元数据中的 sslPolicy 为空还是使用 Google Cloud 默认政策;对于附加的 sslPolicies 资源,检查 profile 设置为 Restricted 还是 Modern;检查 minTlsVersion 是否设置为 TLS 1.2;检查 customFeatures 为空还是不包含以下加密方式:TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_3DES_EDE_CBC_SHA

  • 其他 IAM 权限roles/compute.Viewer
  • 其他输入:读取目标代理存储的 SSL 政策,检查是否存在弱政策
  • 实时扫描:是,但仅扫描 TargetSslProxy 的 TargetHttpsProxy 更新,不扫描 SSL 政策更新。

容器漏洞发现结果

这些发现结果类型均与 GKE 容器配置相关,并且属于 CONTAINER_SCANNER 检测器类型。

检测器 摘要 资源扫描设置
Alpha cluster enabled

API 中的类别名称:ALPHA_CLUSTER_ENABLED

发现结果说明:GKE 集群启用了 Alpha 版集群功能。

价格层级付费方案

支持的资源
container.googleapis.com/Cluster

修正此发现结果

合规性标准

  • CIS GKE 1.0: 6.10.2

检查集群的 enableKubernetesAlpha 属性是否设置为 true

  • 实时扫描:是
Auto repair disabled

API 中的类别名称:AUTO_REPAIR_DISABLED

发现结果说明:已停用 GKE 集群的自动修复功能,此功能可使节点保持正常运行状态。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

检查节点池的 management 属性以找出键值对:"key": "autoRepair""value": true

  • 实时扫描:是
Auto upgrade disabled

API 中的类别名称:AUTO_UPGRADE_DISABLED

发现结果说明:GKE 集群的自动升级功能已停用,此功能会保持集群和节点池使用 Kubernetes 的最新稳定版。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

检查节点池的 management 属性以找出键值对:"key": "autoUpgrade""value": true

  • 实时扫描:是
Binary authorization disabled

API 中的类别名称:BINARY_AUTHORIZATION_DISABLED

发现结果说明:Binary Authorization 在 GKE 集群上已停用,或者 Binary Authorization 政策配置为允许部署所有映像。

价格层级付费方案

支持的资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

此发现类别未映射到任何合规性标准控件。

检查以下各项:

  • 检查 binaryAuthorization 属性是否具有以下键值对之一:
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • 检查 defaultAdmissionRule 政策属性是否包含键值对 evaluationMode: ALWAYS_ALLOW

  • 实时扫描:是
Cluster logging disabled

API 中的类别名称:CLUSTER_LOGGING_DISABLED

发现结果说明:GKE 集群未启用 Logging。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

检查集群的 loggingService 属性是否包含 Cloud Logging 用于写入日志的位置。

  • 实时扫描:是
Cluster monitoring disabled

API 中的类别名称:CLUSTER_MONITORING_DISABLED

发现结果说明:GKE 集群上已停用 Monitoring。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

检查集群的 monitoringService 属性是否包含 Cloud Monitoring 用于写入指标的位置。

  • 实时扫描:是
Cluster private Google access disabled

API 中的类别名称:CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

发现结果说明:集群主机未配置为仅使用专用内部 IP 地址来访问 Google API。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

检查子网的 privateIpGoogleAccess 属性是否设置为 false

  • 其他输入:从存储中读取子网,仅为包含子网的集群提交发现结果
  • 实时扫描:是,但仅扫描集群更新,不扫描子网更新
Cluster secrets encryption disabled

API 中的类别名称:CLUSTER_SECRETS_ENCRYPTION_DISABLED

发现结果说明:GKE 集群上已停用应用层 Secret 加密。

价格层级付费方案

支持的资源
container.googleapis.com/Cluster

修正此发现结果

合规性标准

  • CIS GKE 1.0: 6.3.1

检查 databaseEncryption 对象的 keyName 属性是否包含键值对 "state": ENCRYPTED

  • 实时扫描:是
Cluster shielded nodes disabled

API 中的类别名称:CLUSTER_SHIELDED_NODES_DISABLED

发现结果说明:集群未启用安全强化型 GKE 节点。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GKE 1.0: 6.5.5

检查 shieldedNodes 属性是否包含键值对 "enabled": true

  • 实时扫描:是
COS not used

API 中的类别名称:COS_NOT_USED

发现结果说明:Compute Engine 虚拟机未使用为在 Google Cloud 上安全运行 Docker 容器而设计的 Container-Optimized OS。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

检查节点池的 config 属性以找出键值对:"imageType": "COS"

  • 实时扫描:是
Integrity monitoring disabled

API 中的类别名称:INTEGRITY_MONITORING_DISABLED

发现结果说明:GKE 集群已停用完整性监控。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GKE 1.0: 6.5.6

检查 nodeConfig 对象的 shieldedInstanceConfig 属性是否包含键值对 "enableIntegrityMonitoring": true

  • 实时扫描:是
Intranode visibility disabled

API 中的类别名称:INTRANODE_VISIBILITY_DISABLED

发现结果说明:GKE 集群已停用节点内可见性。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GKE 1.0: 6.6.1

检查 networkConfig 属性是否包含键值对 "enableIntraNodeVisibility": true

  • 实时扫描:是
IP alias disabled

API 中的类别名称:IP_ALIAS_DISABLED

发现结果说明:创建的 GKE 集群已停用别名 IP 地址范围。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

检查集群中 ipAllocationPolicyuseIPAliases 字段是否已设置为 false

  • 实时扫描:是
Legacy authorization enabled

API 中的类别名称:LEGACY_AUTHORIZATION_ENABLED

发现结果说明:GKE 集群上启用了旧版授权。

价格层级付费方案或标准方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

检查集群的 legacyAbac 属性以找出键值对:"enabled": true

  • 实时扫描:是
Legacy metadata enabled

API 中的类别名称:LEGACY_METADATA_ENABLED

发现结果说明:GKE 集群上启用了旧版元数据。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正此发现结果

合规性标准

  • CIS GKE 1.0: 6.4.1

检查节点池的 config 属性以找出键值对:"disable-legacy-endpoints": "false"

  • 实时扫描:是
Master authorized networks disabled

API 中的类别名称:MASTER_AUTHORIZED_NETWORKS_DISABLED

发现结果说明:GKE 集群上未启用控制平面授权的网络。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

检查集群的 masterAuthorizedNetworksConfig 属性以找出键值对:"enabled": false

  • 实时扫描:是
Network policy disabled

API 中的类别名称:NETWORK_POLICY_DISABLED

发现结果说明:GKE 集群上停用了网络政策。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

检查 addonsConfig 属性的 networkPolicy 字段以找出键值对:"disabled": true

  • 实时扫描:是
Nodepool boot CMEK disabled

API 中的类别名称:NODEPOOL_BOOT_CMEK_DISABLED

发现结果说明:此节点池中的启动磁盘未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

检查节点池的 bootDiskKmsKey 属性以找出 CMEK 的资源名称。

  • 实时扫描:是
Nodepool secure boot disabled

API 中的类别名称:NODEPOOL_SECURE_BOOT_DISABLED

发现结果说明:GKE 集群已停用安全启动。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正此发现结果

合规性标准

  • CIS GKE 1.0: 6.5.7

检查 nodeConfig 对象的 shieldedInstanceConfig 属性是否包含键值对 "enableSecureBoot": true

  • 实时扫描:是
Over privileged account

API 中的类别名称:OVER_PRIVILEGED_ACCOUNT

发现结果说明:服务账号在集群中的项目访问权限过于广泛。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

评估节点池的 config 属性,检查是否未指定服务账号或使用的是默认服务账号。

  • 实时扫描:是
Over privileged scopes

API 中的类别名称:OVER_PRIVILEGED_SCOPES

发现结果说明:节点服务账号具有广泛的访问权限范围。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
检查节点池的 config.oauthScopes 属性中列出的访问权限范围是否为受限服务账号访问权限范围:https://www.googleapis.com/auth/devstorage.read_onlyhttps://www.googleapis.com/auth/logging.writehttps://www.googleapis.com/auth/monitoring
  • 实时扫描:是
Pod security policy disabled

API 中的类别名称:POD_SECURITY_POLICY_DISABLED

发现结果说明:GKE 集群上已停用 PodSecurityPolicy

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

检查集群的 podSecurityPolicyConfig 属性以找出键值对 "enabled": false

  • 其他 IAM 权限roles/container.clusterViewer
  • 其他输入:从 GKE 读取集群信息,因为 pod 安全政策是一项 Beta 版功能。Kubernetes 在 1.21 版中已正式弃用 PodSecurityPolicy。PodSecurityPolicy 将在 1.25 版中关停。如需了解替代方案,请参阅 PodSecurityPolicy 弃用
  • 实时扫描:否
Private cluster disabled

API 中的类别名称:PRIVATE_CLUSTER_DISABLED

发现结果说明:GKE 集群已停用专用集群。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

检查 privateClusterConfig 属性的 enablePrivateNodes 字段是否已设置为 false

  • 实时扫描:是
Release channel disabled

API 中的类别名称:RELEASE_CHANNEL_DISABLED

发现结果说明:GKE 集群未订阅发布渠道。

价格层级付费方案

支持的资源
container.googleapis.com/Cluster

修正此发现结果

合规性标准

  • CIS GKE 1.0: 6.5.4

检查 releaseChannel 属性是否包含键值对 "channel": UNSPECIFIED

  • 实时扫描:是
Web UI enabled

API 中的类别名称:WEB_UI_ENABLED

发现结果说明:已启用 GKE 网页界面(信息中心)。

价格层级付费方案或标准方案

支持的素材资源
container.googleapis.com/Cluster

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

检查 addonsConfig 属性的 kubernetesDashboard 字段以找出键值对 "disabled": false

  • 实时扫描:是
Workload Identity disabled

API 中的类别名称:WORKLOAD_IDENTITY_DISABLED

发现结果说明:GKE 集群上已停用 Workload Identity。

价格层级付费方案

支持的素材资源
container.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GKE 1.0: 6.2.2

检查是否已设置集群的 workloadIdentityConfig 属性。检测器还会检查节点池的 workloadMetadataConfig 属性是否已设置为 GKE_METADATA

  • 其他 IAM 权限roles/container.clusterViewer
  • 实时扫描:是

Dataproc 漏洞发现结果

此检测器类型的漏洞均与 Dataproc 相关,并且属于 DATAPROC_SCANNER 检测器类型。

检测器 摘要 资源扫描设置
Dataproc CMEK disabled

API 中的类别名称:DATAPROC_CMEK_DISABLED

发现结果说明: 创建了 Dataproc 集群,但没有加密配置 CMEK。借助 CMEK,您在 Cloud Key Management Service 中创建和管理的密钥会封装 Google Cloud 用于加密数据的密钥,从而使您能够更好地控制对数据的访问。 此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器

价格层级付费方案

支持的素材资源
dataproc.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

检查 encryptionConfiguration 属性中 kmsKeyName 字段是否为空。

  • 实时扫描:是
Dataproc image outdated

API 中的类别名称:DATAPROC_IMAGE_OUTDATED

发现结果说明:创建 Dataproc 集群时使用了受 Apache Log4j 2 实用程序(CVE-2021-44228CVE-2021-45046)中的安全漏洞影响的 Dataproc 映像版本。

价格层级付费方案或标准方案

支持的素材资源
dataproc.googleapis.com/Cluster

修正 此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

检查 Clusterconfig 属性中的 softwareConfig.imageVersion 字段是否低于 1.3.95 或者是否是低于 1.4.77、1.5.53 或 2.0.27 的次要映像版本。

  • 实时扫描:是

数据集漏洞发现结果

此检测器类型的漏洞均与 BigQuery 数据集配置相关联,并且属于 DATASET_SCANNER 检测器类型。

检测器 摘要 资源扫描设置
BigQuery table CMEK disabled

API 中的类别名称:BIGQUERY_TABLE_CMEK_DISABLED

发现结果说明:BigQuery 表未配置为使用客户管理的加密密钥 (CMEK)。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器

价格层级付费方案

支持的素材资源
bigquery.googleapis.com/Table

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

检查 encryptionConfiguration 属性中 kmsKeyName 字段是否为空。

  • 实时扫描:是
Dataset CMEK disabled

API 中的类别名称:DATASET_CMEK_DISABLED

发现结果说明:BigQuery 数据集未配置为使用默认 CMEK。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器

价格层级付费方案

支持的素材资源
bigquery.googleapis.com/Dataset

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

检查 defaultEncryptionConfiguration 属性中 kmsKeyName 字段是否为空。

  • 实时扫描:否
Public dataset

API 中的类别名称:PUBLIC_DATASET

发现结果说明:数据集已配置为开放给公众访问。

价格层级付费方案或标准方案

支持的素材资源
bigquery.googleapis.com/Dataset

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

检查资源元数据中的 IAM 允许政策以找出可授予公开访问权限的主账号 allUsersallAuthenticatedUsers

  • 实时扫描:是

DNS 漏洞发现结果

此检测器类型的漏洞均与 Cloud DNS 配置相关联,并且属于 DNS_SCANNER 检测器类型。

检测器 摘要 资源扫描设置
DNSSEC disabled

API 中的类别名称:DNSSEC_DISABLED

发现结果说明:停用了 Cloud DNS 区域的 DNSSEC。

价格层级付费方案

支持的素材资源
dns.googleapis.com/ManagedZone

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

检查 dnssecConfig 属性的 state 字段是否已设置为 off

  • 从扫描中排除的资源:非公开的 Cloud DNS 区域
  • 实时扫描:是
RSASHA1 for signing

API 中的类别名称:RSASHA1_FOR_SIGNING

发现结果说明:RSASHA1 用于 Cloud DNS 区域中的密钥签名。

价格层级付费方案

支持的素材资源
dns.googleapis.com/ManagedZone

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

检查 dnssecConfig 属性的 defaultKeySpecs.algorithm 对象是否已设置为 rsasha1

  • 实时扫描:是

防火墙漏洞发现结果

此检测器类型的漏洞均与防火墙配置相关,并且属于 FIREWALL_SCANNER 检测器类型。

检测器 摘要 资源扫描设置
Egress deny rule not set

API 中的类别名称:EGRESS_DENY_RULE_NOT_SET

发现结果说明:防火墙上未设置出站流量拒绝规则。出站流量拒绝规则应设置为阻止不必要的出站流量。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • PCI-DSS v3.2.1: 7.2

检查防火墙中的 destinationRanges 属性是否已设置为 0.0.0.0/0 以及 denied 属性是否包含键值对 "IPProtocol": "all"

  • 其他输入:从存储中读取项目的出站防火墙
  • 实时扫描:是,但仅扫描项目更改,不扫描防火墙规则更改
Firewall rule logging disabled

API 中的类别名称:FIREWALL_RULE_LOGGING_DISABLED

发现结果说明:已停用防火墙规则日志记录。应启用防火墙规则日志记录,以便您可以审核网络访问权限。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 logConfig 属性以查看它为空,还是包含键值对 "enable": false

Open Cassandra port

API 中的类别名称:OPEN_CASSANDRA_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 Cassandra 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621

  • 实时扫描:是
Open ciscosecure websm port

API 中的类别名称:OPEN_CISCOSECURE_WEBSM_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 CISCOSECURE_WEBSM 端口。

价格层级付费方案或标准方案

支持的资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:9090

  • 实时扫描:是
Open directory services port

API 中的类别名称:OPEN_DIRECTORY_SERVICES_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 DIRECTORY_SERVICES 端口。

价格层级付费方案或标准方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:445UDP:445

  • 实时扫描:是
Open DNS port

API 中的类别名称:OPEN_DNS_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 DNS 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:53UDP:53

  • 实时扫描:是
Open elasticsearch port

API 中的类别名称:OPEN_ELASTICSEARCH_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 ELASTICSEARCH 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:9200, 9300

  • 实时扫描:是
Open firewall

API 中的类别名称:OPEN_FIREWALL

发现结果说明:防火墙已配置为向公共访问开放。

价格层级付费方案或标准方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • PCI-DSS v3.2.1: 1.2.1

检查 sourceRangesallowed 属性中是否存在以下两个配置之一:

  • sourceRanges 属性包含 0.0.0.0/0,而 allowed 属性则包含各种规则组合,其中包括任何 protocolprotocol:port,但以下内容除外:
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • sourceRanges 属性包含 IP 范围的组合,其中包含任何非专用 IP 地址,allowed 属性包含允许所有 tcp 端口或所有 udp 端口的规则组合。
Open FTP port

API 中的类别名称:OPEN_FTP_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 FTP 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:21

  • 实时扫描:是
Open HTTP port

API 中的类别名称:OPEN_HTTP_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 HTTP 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:80

  • 实时扫描:是
Open LDAP port

API 中的类别名称:OPEN_LDAP_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 LDAP 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:389, 636UDP:389

  • 实时扫描:是
Open Memcached port

API 中的类别名称:OPEN_MEMCACHED_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 MEMCACHED 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:11211, 11214-11215UDP:11211, 11214-11215

  • 实时扫描:是
Open MongoDB port

API 中的类别名称:OPEN_MONGODB_PORT

发现结果说明:防火墙已配置为具有允许公开访问的开放式 MONGODB 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:27017-27019

  • 实时扫描:是
Open MySQL port

API 中的类别名称:OPEN_MYSQL_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 MYSQL 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:3306

  • 实时扫描:是
Open NetBIOS port

API 中的类别名称:OPEN_NETBIOS_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 NETBIOS 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:137-139UDP:137-139

  • 实时扫描:是
Open OracleDB port

API 中的类别名称:OPEN_ORACLEDB_PORT

发现结果说明:防火墙已配置为具有允许公开访问的开放式 ORACLEDB 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:1521, 2483-2484UDP:2483-2484

  • 实时扫描:是
Open pop3 port

API 中的类别名称:OPEN_POP3_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 POP3 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:110

  • 实时扫描:是
Open PostgreSQL port

API 中的类别名称:OPEN_POSTGRESQL_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 PostgreSQL 端口。

价格层级付费方案

支持的资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:5432UDP:5432

  • 实时扫描:是
Open RDP port

API 中的类别名称:OPEN_RDP_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 RDP 端口。

价格层级付费方案或标准方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

检查防火墙元数据中的 allowed 属性以找出以下协议和端口:TCP:3389UDP:3389

  • 实时扫描:是
Open Redis port

API 中的类别名称:OPEN_REDIS_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 REDIS 端口。

价格层级付费方案

支持的资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性是否包含以下协议和端口:TCP:6379

  • 实时扫描:是
Open SMTP port

API 中的类别名称:OPEN_SMTP_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 SMTP 端口。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Firewall

修正此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性是否包含以下协议和端口:TCP:25

  • 实时扫描:是
Open SSH port

API 中的类别名称:OPEN_SSH_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 SSH 端口。

价格层级付费方案或标准方案

支持的素材资源
compute.googleapis.com/Firewall

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

检查防火墙元数据中的 allowed 属性是否包含以下协议和端口:TCP:22SCTP:22

  • 实时扫描:是
Open Telnet port

API 中的类别名称:OPEN_TELNET_PORT

发现结果说明:防火墙已配置为具有允许通用访问的开放 TELNET 端口。

价格层级付费方案或标准方案

支持的资源
compute.googleapis.com/Firewall

修正此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

检查防火墙元数据中的 allowed 属性是否包含以下协议和端口:TCP:23

  • 实时扫描:是

IAM 漏洞发现结果

此检测器类型的漏洞均与 Identity and Access Management (IAM) 配置相关,并属于 IAM_SCANNER 检测器类型。

检测器 摘要 资源扫描设置
Access Transparency disabled

API 中的类别名称:ACCESS_TRANSPARENCY_DISABLED

发现结果说明:您的组织已停用 Google Cloud Access Transparency。Access Transparency 会记录 Google Cloud 员工何时访问您的组织中的项目以提供支持。启用 Access Transparency 以记录 Google Cloud 的哪位员工在什么时候、出于何种原因访问您的信息。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Organization

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14

检查您的组织是否已启用 Access Transparency。

  • 实时扫描:否
Admin service account

API 中的类别名称:ADMIN_SERVICE_ACCOUNT

发现结果说明:服务账号具有 AdminOwnerEditor 特权。这些角色不应分配给用户创建的服务账号。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

检查资源中的 IAM 允许政策 任何用户创建的服务账号的元数据( 以 iam.gserviceaccount.com 为前缀), 分配的 ID 为 roles/Ownerroles/Editor 或包含 admin

  • 从扫描中排除的资产:Container Registry 服务账号 (containerregistry.iam.gserviceaccount.com) 和 Security Command Center 服务账号 (security-center-api.iam.gserviceaccount.com)
  • 实时扫描:是,除非对文件夹执行了 IAM 更新
Essential Contacts Not Configured

API 中的类别名称:ESSENTIAL_CONTACTS_NOT_CONFIGURED

发现结果说明:您的组织尚未指定个人或群组来接收来自 Google Cloud 有关 Google Cloud 组织中重要事件(例如攻击、漏洞和数据突发事件)的通知。我们建议您将公司组织中的一个或多个人或群组指定为重要联系人。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Organization

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

检查是否已针对以下基本联系人类别指定联系人:

  • Legal
  • 安全
  • 暂停
  • 技术

  • 实时扫描:否
KMS role separation

API 中的类别名称:KMS_ROLE_SEPARATION

发现结果说明:未实施职责分离,并且存在同时具有以下任何 Cloud Key Management Service (Cloud KMS) 角色的用户:CryptoKey Encrypter/DecrypterEncrypterDecrypter

此发现结果不适用于项目级激活。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
检查资源元数据中的 IAM 允许政策,并检索同时分配有以下任何角色的主账号:roles/cloudkms.cryptoKeyEncrypterDecrypterroles/cloudkms.cryptoKeyEncrypterroles/cloudkms.cryptoKeyDecrypterroles/cloudkms.signerroles/cloudkms.signerVerifierroles/cloudkms.publicKeyViewer
  • 实时扫描:是
Non org IAM member

API 中的类别名称:NON_ORG_IAM_MEMBER

发现结果说明:有用户不使用组织凭据。根据 CIS GCP Foundations 1.0,目前只有具有 @gmail.com 电子邮件地址的身份才会触发此检测器。

价格层级付费方案或标准方案

支持的素材资源
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

将 IAM 允许政策元数据中 user 字段中的 @gmail.com 电子邮件地址与您的组织的已批准身份列表进行比较。

  • 实时扫描:是
Open group IAM member

API 中的类别名称:OPEN_GROUP_IAM_MEMBER

发现结果说明:无需批准即可加入的 Google 群组账号将被用作 IAM 允许政策的主账号。

价格层级付费方案或标准方案

支持的素材资源
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

此发现类别未映射到任何合规性标准控件。

检查资源元数据中的 IAM 政策,查找包含以 group 为前缀的成员(主账号)的任何绑定。如果该群组是开放的群组,则 Security Health Analytics 会生成此发现结果。
  • 其他输入:读取 Google 群组元数据,以检查被识别的群组是否为开放群组。
  • 实时扫描:否
Over privileged service account user

API 中的类别名称:OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

发现结果说明:用户在项目级层(而不是特定服务账号)拥有 Service Account UserService Account Token Creator 角色。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
检查资源元数据中的 IAM 允许政策以找出任何在项目级层分配有 roles/iam.serviceAccountUserroles/iam.serviceAccountTokenCreator 的主账号。
  • 从扫描中排除的资源:Cloud Build 服务账号
  • 实时扫描:是
Primitive roles used

API 中的类别名称:PRIMITIVE_ROLES_USED

发现结果说明: 用户具有以下基本角色之一:

  • Owner (roles/owner)
  • Editor (roles/editor)
  • Viewer (roles/viewer)

这些角色过于宽松,不应使用。

价格层级高级

支持的素材资源
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

检查资源中的 IAM 允许政策 分配了 roles/owner 的任何主账号的元数据, roles/editorroles/viewer 角色。

  • 实时扫描:是
Redis role used on org

API 中的类别名称:REDIS_ROLE_USED_ON_ORG

发现结果说明:Redis IAM 角色在组织或文件夹级层分配。

此发现结果不适用于项目级激活。

价格层级付费方案

支持的资源
cloudresourcemanager.googleapis.com/Organization

修正此发现结果

合规性标准

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

检查资源元数据中的 IAM 允许政策以找出在组织或文件夹级层分配有 roles/redis.adminroles/redis.editorroles/redis.viewer 的主账号。

  • 实时扫描:是
Service account role separation

API 中的类别名称:SERVICE_ACCOUNT_ROLE_SEPARATION

发现结果说明:用户被分配了 Service Account AdminService Account User 角色。这违反了“职责分离”原则。

此发现结果不适用于项目级激活。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
检查资源元数据中的 IAM 允许政策以找出任何同时分配有 roles/iam.serviceAccountUserroles/iam.serviceAccountAdmin 的主账号。
  • 实时扫描:是
Service account key not rotated

API 中的类别名称:SERVICE_ACCOUNT_KEY_NOT_ROTATED

发现结果说明:服务账号密钥超过 90 天未轮替。

价格层级付费方案

支持的素材资源
iam.googleapis.com/ServiceAccountKey

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7

评估服务账号密钥元数据的 validAfterTime 属性中捕获的密钥创建时间戳。

  • 从扫描中排除的资源:过期的服务账号密钥和不由用户管理的密钥
  • 实时扫描:是
User managed service account key

API 中的类别名称:USER_MANAGED_SERVICE_ACCOUNT_KEY

发现结果说明:用户管理服务账号密钥。

价格层级付费方案

支持的素材资源
iam.googleapis.com/ServiceAccountKey

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4

检查服务账号密钥元数据中的 keyType 属性是否已设置为 User_Managed

  • 实时扫描:是

KMS 漏洞发现结果

此检测器类型的漏洞均与 Cloud KMS 配置相关联,并且属于 KMS_SCANNER 检测器类型。

检测器 摘要 资源扫描设置
KMS key not rotated

API 中的类别名称:KMS_KEY_NOT_ROTATED

发现结果说明:Cloud KMS 加密密钥上没有配置轮替。应在 90 天的时段内轮替密钥。

价格层级付费方案

支持的素材资源
cloudkms.googleapis.com/CryptoKey

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.8
  • CIS GCP Foundation 1.1: 1.10
  • CIS GCP Foundation 1.2: 1.10
  • CIS GCP Foundation 1.3: 1.10
  • CIS GCP Foundation 2.0: 1.10
  • NIST 800-53 R4: SC-12
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2013: A.10.1.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

检查资源元数据中是否存在 rotationPeriodnextRotationTime 属性。

  • 从扫描中排除的资源:非对称密钥和含有已停用或已销毁主要版本的密钥
  • 实时扫描:是
KMS project has owner

API 中的类别名称:KMS_PROJECT_HAS_OWNER

发现结果说明:用户对具有加密密钥的项目具有 Owner 权限。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 1.2: 1.11
  • CIS GCP Foundation 1.3: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-6, SC-12
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

检查项目元数据中的 IAM 允许政策以找出分配有 roles/Owner 的主账号。

  • 其他输入:从存储中读取项目的加密密钥,仅提交包含加密密钥的项目的发现结果
  • 实时扫描:是,但仅扫描 IAM 允许政策更改,不扫描 KMS 密钥更改
KMS public key

API 中的类别名称:KMS_PUBLIC_KEY

发现结果说明:Cloud KMS 加密密钥可公开访问。

价格层级付费方案

支持的素材资源
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 1.9
  • CIS GCP Foundation 1.2: 1.9
  • CIS GCP Foundation 1.3: 1.9
  • CIS GCP Foundation 2.0: 1.9
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

检查资源元数据中的 IAM 允许政策以找出可授予公开访问权限的主账号 allUsersallAuthenticatedUsers

  • 实时扫描:是
Too many KMS users

API 中的类别名称:TOO_MANY_KMS_USERS

发现结果说明:超过 3 个用户使用加密密钥。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
cloudkms.googleapis.com/CryptoKey

修正此发现结果

合规性标准

  • PCI-DSS v3.2.1: 3.5.2
  • ISO-27001 v2013: A.9.2.3
检查密钥环、项目和组织的 IAM 允许政策,并检索其角色允许其使用 Cloud KMS 密钥对数据进行加密、解密或签名的主账号:roles/ownerroles/cloudkms.cryptoKeyEncrypterDecrypterroles/cloudkms.cryptoKeyEncrypterroles/cloudkms.cryptoKeyDecrypterroles/cloudkms.signerroles/cloudkms.signerVerifier
  • 其他输入:从存储中读取加密密钥的加密密钥版本,仅提交具有有效版本的密钥的发现结果。检测器还会从存储空间中读取密钥环、项目和组织 IAM 允许政策
  • 实时扫描:是

日志记录漏洞发现结果

此检测器类型的漏洞均与日志记录配置相关,并且属于 LOGGING_SCANNER 检测器类型。

检测器 摘要 资源扫描设置
Audit logging disabled

API 中的类别名称:AUDIT_LOGGING_DISABLED

发现结果说明:已为此资源停用审核日志记录功能。

此发现结果不适用于项目级激活。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 2.1
  • CIS GCP Foundation 1.1: 2.1
  • CIS GCP Foundation 1.2: 2.1
  • CIS GCP Foundation 1.3: 2.1
  • CIS GCP Foundation 2.0: 2.1
  • NIST 800-53 R4: AC-2, AU-2
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v3.2.1: 10.1, 10.2
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2013: A.12.4.1, A.16.1.7
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2

检查资源元数据中的 IAM 允许政策中是否存在 auditLogConfigs 对象。

  • 实时扫描:是
Bucket logging disabled

API 中的类别名称:BUCKET_LOGGING_DISABLED

发现结果说明:存在未启用日志记录功能的存储桶。

价格层级付费方案

支持的素材资源
storage.googleapis.com/Bucket

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 5.3

检查存储桶的 logging 属性中的 logBucket 字段是否为空。

  • 实时扫描:是
Locked retention policy not set

API 中的类别名称:LOCKED_RETENTION_POLICY_NOT_SET

发现结果说明:没有为日志设置锁定的保留政策。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
storage.googleapis.com/Bucket

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 2.3
  • CIS GCP Foundation 1.2: 2.3
  • CIS GCP Foundation 1.3: 2.3
  • CIS GCP Foundation 2.0: 2.3
  • NIST 800-53 R4: AU-11
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 10.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.12.4.2, A.18.1.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

检查存储桶的 retentionPolicy 属性中的 isLocked 字段是否已设置为 true

  • 其他输入:读取存储桶的日志接收器(日志过滤条件和日志目标位置),以确定其是否为日志存储桶
  • 实时扫描:是
Log not exported

API 中的类别名称:LOG_NOT_EXPORTED

发现结果说明:有一个资源没有配置适当的日志接收器。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 2.2
  • CIS GCP Foundation 1.1: 2.2
  • CIS GCP Foundation 1.2: 2.2
  • CIS GCP Foundation 1.3: 2.2
  • CIS GCP Foundation 2.0: 2.2
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2013: A.18.1.3
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.3

检索项目中的 logSink 对象,检查 includeChildren 字段是否已设置为 truedestination 字段是否包含写入日志的位置以及 filter 字段是否已填充。

  • 其他输入:读取存储桶的日志接收器(日志过滤条件和日志目标位置),以确定其是否为日志存储桶
  • 实时扫描:是,但仅扫描项目更改,如果针对文件夹或组织设置日志导出,则不扫描
Object versioning disabled

API 中的类别名称:OBJECT_VERSIONING_DISABLED

发现结果说明:未在配置了接收器的存储桶上启用对象版本控制。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
storage.googleapis.com/Bucket

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 2.3
  • NIST 800-53 R4: AU-11
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3

检查存储桶的 versioning 属性中的 enabled 字段是否已设置为 true

  • 从扫描中排除的资源:具有锁定的保留政策的 Cloud Storage 存储桶
  • 其他输入:读取存储桶的日志接收器(日志过滤条件和日志目标位置),以确定其是否为日志存储桶
  • 实时扫描:是,但仅扫描对象版本控制更改,不扫描日志存储桶创建

监控漏洞发现结果

此检测器类型的漏洞均与监控配置相关,并且属于 MONITORING_SCANNER 类型。所有 Monitoring 检测器发现结果属性包括:

  • 用于创建日志指标的 RecommendedLogFilter
  • 满足建议日志过滤条件中列出的条件的 QualifiedLogMetricNames
  • AlertPolicyFailureReasons 指示是否没有为任何合格日志指标创建提醒政策,或者现有提醒政策是否没有建议的设置。
检测器 摘要 资源扫描设置
Audit config not monitored

API 中的类别名称:AUDIT_CONFIG_NOT_MONITORED

发现结果说明:日志指标和提醒未配置为监控审核配置更改。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的资源
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 2.5
  • CIS GCP Foundation 1.1: 2.5
  • CIS GCP Foundation 1.2: 2.5
  • CIS GCP Foundation 1.3: 2.5
  • CIS GCP Foundation 2.0: 2.5
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*;如果指定了 resource.type,则值为 global。检测器还会搜索相应的 alertPolicy 资源,并检查 conditionsnotificationChannels 属性是否正确配置。
  • 其他 IAM 权限roles/monitoring.alertPolicyViewer
  • 其他输入:从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息: Google Cloud Observability,只能针对以下项目提交发现结果: 具有有效账号的项目
  • 实时扫描:否
Bucket IAM not monitored

API 中的类别名称:BUCKET_IAM_NOT_MONITORED

发现结果说明:日志指标和提醒未配置为监控 Cloud Storage IAM 权限更改。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 2.10
  • CIS GCP Foundation 1.1: 2.10
  • CIS GCP Foundation 1.2: 2.10
  • CIS GCP Foundation 1.3: 2.10
  • CIS GCP Foundation 2.0: 2.10
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"。检测器还会搜索相应的 alertPolicy 资源,并检查 conditionsnotificationChannels 属性是否正确配置。
  • 其他 IAM 权限roles/monitoring.alertPolicyViewer
  • 其他输入:从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息: Google Cloud Observability,只能针对以下项目提交发现结果: 具有有效账号的项目
  • 实时扫描:否
Custom role not monitored

API 中的类别名称:CUSTOM_ROLE_NOT_MONITORED

发现结果说明:日志指标和提醒未配置为监控自定义角色更改。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 2.6
  • CIS GCP Foundation 1.1: 2.6
  • CIS GCP Foundation 1.2: 2.6
  • CIS GCP Foundation 1.3: 2.6
  • CIS GCP Foundation 2.0: 2.6
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")。检测器还会搜索相应的 alertPolicy 资源,并检查 conditionsnotificationChannels 属性是否正确配置。
  • 其他 IAM 权限roles/monitoring.alertPolicyViewer
  • 其他输入:从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息: Google Cloud Observability,只能针对以下项目提交发现结果: 具有有效账号的项目
  • 实时扫描:否
Firewall not monitored

API 中的类别名称:FIREWALL_NOT_MONITORED

发现结果说明:日志指标和提醒未配置为监控 Virtual Private Cloud (VPC) 网络防火墙规则更改。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Project

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 2.7
  • CIS GCP Foundation 1.1: 2.7
  • CIS GCP Foundation 1.2: 2.7
  • CIS GCP Foundation 1.3: 2.7
  • CIS GCP Foundation 2.0: 2.7
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")。检测器还会搜索相应的 alertPolicy 资源,并检查 conditionsnotificationChannels 属性是否正确配置。
  • 其他 IAM 权限roles/monitoring.alertPolicyViewer
  • 其他输入:从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息: Google Cloud Observability,只能针对以下项目提交发现结果: 具有有效账号的项目
  • 实时扫描:否
Network not monitored

API 中的类别名称:NETWORK_NOT_MONITORED

发现结果说明:日志指标和提醒未配置为监控 VPC 网络更改。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 2.9
  • CIS GCP Foundation 1.1: 2.9
  • CIS GCP Foundation 1.2: 2.9
  • CIS GCP Foundation 1.3: 2.9
  • CIS GCP Foundation 2.0: 2.9
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")。检测器还会搜索相应的 alertPolicy 资源,并检查 conditionsnotificationChannels 属性是否正确配置。
  • 其他 IAM 权限roles/monitoring.alertPolicyViewer
  • 其他输入:从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息: Google Cloud Observability,只能针对以下项目提交发现结果: 具有有效账号的项目
  • 实时扫描:否
Owner not monitored

API 中的类别名称:OWNER_NOT_MONITORED

发现结果说明:日志指标和提醒未配置为监控项目所有权分配或更改。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 2.4
  • CIS GCP Foundation 1.1: 2.4
  • CIS GCP Foundation 1.2: 2.4
  • CIS GCP Foundation 1.3: 2.4
  • CIS GCP Foundation 2.0: 2.4
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner");如果指定了 resource.type,则值为 global。检测器还会搜索相应的 alertPolicy 资源,并检查 conditionsnotificationChannels 属性是否正确配置。
  • 其他 IAM 权限roles/monitoring.alertPolicyViewer
  • 其他输入:从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息: Google Cloud Observability,只能针对以下项目提交发现结果: 具有有效账号的项目
  • 实时扫描:否
Route not monitored

API 中的类别名称:ROUTE_NOT_MONITORED

发现结果说明:日志指标和提醒未配置为监控 VPC 网络路由更改。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Project

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")。检测器还会搜索相应的 alertPolicy 资源,并检查 conditionsnotificationChannels 属性是否正确配置。
  • 其他 IAM 权限roles/monitoring.alertPolicyViewer
  • 其他输入:从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息: Google Cloud Observability,只能针对以下项目提交发现结果: 具有有效账号的项目
  • 实时扫描:否
SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

发现结果说明:日志指标和提醒未配置为监控 Cloud SQL 实例配置更改。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
cloudresourcemanager.googleapis.com/Project

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete";如果指定了 resource.type,则值为 global。检测器还会搜索相应的 alertPolicy 资源,并检查 conditionsnotificationChannels 属性是否正确配置。
  • 其他 IAM 权限roles/monitoring.alertPolicyViewer
  • 其他输入:从存储中读取项目的日志指标。从以下位置读取 Google Cloud Observability 账号信息: Google Cloud Observability,只能针对以下项目提交发现结果: 具有有效账号的项目
  • 实时扫描:否

多重身份验证发现结果

MFA_SCANNER 检测器可标识与用户的多重身份验证相关的漏洞。

检测器 摘要 资源扫描设置
MFA not enforced

API 中的类别名称:MFA_NOT_ENFORCED

有些用户没有使用两步验证。

Google Workspace 使您可以为新用户指定注册宽限期,在此期间用户必须注册两步验证。此检测器会在注册宽限期内为用户创建发现结果。

此发现结果不适用于项目级激活。

价格层级付费方案或标准方案

支持的素材资源
cloudresourcemanager.googleapis.com/Organization

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 1.2
  • CIS GCP Foundation 1.1: 1.2
  • CIS GCP Foundation 1.2: 1.2
  • CIS GCP Foundation 1.3: 1.2
  • CIS GCP Foundation 2.0: 1.2
  • NIST 800-53 R4: IA-2
  • PCI-DSS v3.2.1: 8.3
  • ISO-27001 v2013: A.9.4.2
  • ISO-27001 v2022: A.8.5

针对 Cloud Identity 中的代管账号评估组织和用户设置中的身份管理政策。

  • 从扫描中排除的资源:被授予政策例外的单位部门
  • 其他输入:从 Google Workspace 读取数据
  • 实时扫描:否

网络漏洞发现结果

此检测器类型的漏洞均与组织的网络配置相关,属于 NETWORK_SCANNER 类型。

检测器 摘要 资源扫描设置
Default network

API 中的类别名称:DEFAULT_NETWORK

发现结果说明:项目中存在默认网络。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Network

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 3.1
  • CIS GCP Foundation 1.1: 3.1
  • CIS GCP Foundation 1.2: 3.1
  • CIS GCP Foundation 1.3: 3.1
  • CIS GCP Foundation 2.0: 3.1
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

检查网络元数据中的 name 属性是否已设置为 default

  • 从扫描中排除的资源:已停用 Compute Engine API 并且 Compute Engine 资源处于冻结状态的项目
  • 实时扫描:是
DNS logging disabled

API 中的类别名称:DNS_LOGGING_DISABLED

发现结果说明:在 VPC 网络上未启用 DNS 日志记录。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Network
dns.googleapis.com/Policy

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 2.12
  • CIS GCP Foundation 1.3: 2.12
  • CIS GCP Foundation 2.0: 2.12
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2, 8.6

通过 networks[].networkUrl 字段检查与 VPC 网络关联的所有 policies,并查找至少一项将 enableLogging 设置为 true 的政策。

  • 从扫描中排除的资源:已停用 Compute Engine API 并且 Compute Engine 资源处于冻结状态的项目
  • 实时扫描:是
Legacy network

API 中的类别名称:LEGACY_NETWORK

发现结果说明:项目中存在旧版网络。

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Network

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 3.2
  • CIS GCP Foundation 1.1: 3.2
  • CIS GCP Foundation 1.2: 3.2
  • CIS GCP Foundation 1.3: 3.2
  • CIS GCP Foundation 2.0: 3.2
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

检查网络元数据是否存在 IPv4Range 属性。

  • 从扫描中排除的资源:已停用 Compute Engine API 并且 Compute Engine 资源处于冻结状态的项目
  • 实时扫描:是
Load balancer logging disabled

API 中的类别名称:LOAD_BALANCER_LOGGING_DISABLED

发现结果说明:已为负载均衡器停用日志记录。

价格层级付费方案

支持的资源
compute.googleapis.com/BackendServices

修正 此发现结果

合规性标准

  • CIS GCP Foundation 2.0: 2.16
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2

检查负载均衡器上后端服务的 enableLogging 属性是否设置为 true

  • 实时扫描:是

组织政策漏洞发现结果

此检测器类型的漏洞均与组织政策限制条件的配置相关,并且属于 ORG_POLICY 类型。

检测器 摘要 资源扫描设置
Org policy Confidential VM policy

API 中的类别名称:ORG_POLICY_CONFIDENTIAL_VM_POLICY

发现结果说明:Compute Engine 资源违反了 constraints/compute.restrictNonConfidentialComputing 组织政策。如需详细了解此组织政策限制条件,请参阅在机密虚拟机中实施组织政策限制条件

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的素材资源
compute.googleapis.com/Instance

修正 此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

检查 Compute Engine 实例的 enableConfidentialCompute 属性是否已设置为 true

  • 从扫描中排除的资源:GKE 实例
  • 其他 IAM 权限permissions/orgpolicy.policy.get
  • 其他输入:从组织政策服务读取有效组织政策
  • 实时扫描:否
Org policy location restriction

API 中的类别名称:ORG_POLICY_LOCATION_RESTRICTION

发现结果说明:Compute Engine 资源违反了 constraints/gcp.resourceLocations 限制条件。如需详细了解此组织政策限制条件,请参阅实施组织政策限制条件

对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

价格层级付费方案

支持的资源
在下行中,请参阅 ORG_POLICY_LOCATION_RESTRICTION 支持的资源

修正 此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

检查受支持资源的元数据中的 listPolicy 属性,找出允许或拒绝的位置的列表。

  • 其他 IAM 权限permissions/orgpolicy.policy.get
  • 其他输入:从组织政策服务读取有效组织政策
  • 实时扫描:否

ORG_POLICY_LOCATION_RESTRICTION 支持的资源

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Logging
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/DataLabelingJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 由于无法删除 Cloud KMS 资源,因此如果该资源的数据被销毁,该资源不会被视为区域外。

2 由于 Cloud KMS 导入作业具有受控生命周期,并且无法提前终止,如果作业已过期且无法再用于导入密钥,则 ImportJob 不会被视为区域外。

3 由于无法管理 Dataflow 作业的生命周期,作业在达到终止状态(已停止或已排空)后无法再用于处理数据时,不会被视为区域外。

Pub/Sub 漏洞发现结果

此检测器类型的漏洞均与 Pub/Sub 配置相关,并属于 PUBSUB_SCANNER 类型。

检测器 摘要 资源扫描设置
Pubsub CMEK disabled

API 中的类别名称:PUBSUB_CMEK_DISABLED

发现结果说明:Pub/Sub 主题未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器

价格层级付费方案

支持的素材资源
pubsub.googleapis.com/Topic

修正 此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

检查 kmsKeyName 字段中是否有 CMEK 的资源名称。

  • 实时扫描:是

SQL 漏洞发现结果

此检测器类型的漏洞均与 Cloud SQL 配置相关,并且属于 SQL_SCANNER 类型。

检测器 摘要 资源扫描设置
AlloyDB auto backup disabled

API 中的类别名称:ALLOYDB_AUTO_BACKUP_DISABLED

发现结果说明: AlloyDB for PostgreSQL 集群未启用自动备份。

价格层级付费方案

支持的素材资源
alloydb.googleapis.com/Cluster

修正此发现结果

合规性标准

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

检查 automated_backup_policy.enabled 属性 AlloyDB for PostgreSQL 集群已设置为 true

  • 从扫描中排除的资产:AlloyDB for PostgreSQL 次要 集群
  • 实时扫描:是
AlloyDB backups disabled

API 中的类别名称:ALLOYDB_BACKUPS_DISABLED

发现结果说明:AlloyDB for PostgreSQL 集群未启用备份。

价格层级付费方案

支持的素材资源
alloydb.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

检查 automated_backup_policy.enabled 还是 元数据中的 continuous_backup_policy.enabled 属性。 AlloyDB for PostgreSQL 集群已设置为 true

  • 从扫描中排除的资产:AlloyDB for PostgreSQL 次要 集群
  • 实时扫描:是
AlloyDB CMEK disabled

API 中的类别名称:ALLOYDB_CMEK_DISABLED

发现结果说明:AlloyDB 集群未使用客户管理的加密密钥 (CMEK) 进行加密。

价格层级付费方案

支持的素材资源
alloydb.googleapis.com/Cluster

修正 此发现结果

合规性标准

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

检查集群元数据中的 encryption_type 字段以确定 是否启用了 CMEK。

  • 实时扫描:是
AlloyDB log min error statement severity

API 中的类别名称:ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

发现结果说明: AlloyDB for PostgreSQL 的 log_min_error_statement 数据库标志 实例未设置为 error 或其他建议值。

价格层级付费方案

支持的素材资源
alloydb.googleapis.com/Instances

修正此发现结果

合规性标准

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

为确保日志中的消息类型足够大,如果 databaseFlags 属性的 log_min_error_statement 字段是 未设置为以下任一值: debug5debug4debug3debug2debug1infonoticewarning 或 默认值 error

  • 实时扫描:是
AlloyDB log min messages

API 中的类别名称:ALLOYDB_LOG_MIN_MESSAGES

发现结果说明: AlloyDB for PostgreSQL 实例的 log_min_messages 数据库标志 未设置为 warning 或其他建议值。

价格层级付费方案

支持的素材资源
alloydb.googleapis.com/Instances

修正 此发现结果

合规性标准

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

为确保充分覆盖日志中的消息类型,如果 databaseFlags 属性的 log_min_messages 字段未设置为以下值之一,则会发出发现结果:debug5debug4debug3debug2debug1infonotice 或默认值 warning

  • 实时扫描:是
AlloyDB log error verbosity

API 中的类别名称:ALLOYDB_LOG_ERROR_VERBOSITY

发现结果说明: AlloyDB for PostgreSQL 的 log_error_verbosity 数据库标志 实例未设置为 default 或其他建议值。

价格层级付费方案

支持的素材资源
alloydb.googleapis.com/Instances

修正此发现结果

合规性标准

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

为确保日志中的消息类型足够大,如果 databaseFlags 属性的 log_error_verbosity 字段是 未设置为以下任一值:verbose 或默认值 default

  • 实时扫描:是
AlloyDB public IP

API 中的类别名称:ALLOYDB_PUBLIC_IP

发现结果说明: AlloyDB for PostgreSQL 数据库实例具有公共 IP 地址。

价格层级付费方案

支持的素材资源
alloydb.googleapis.com/Instances

修正 此发现结果

合规性标准

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

检查 instanceNetworkConfig 属性是否为 enablePublicIp 字段配置为允许公共 IP 地址。

  • 实时扫描:是
AlloyDB SSL not enforced

API 中的类别名称:ALLOYDB_SSL_NOT_ENFORCED

发现结果说明:AlloyDB for PostgreSQL 数据库实例 并不要求所有传入连接都使用 SSL。

价格层级付费方案

支持的素材资源
alloydb.googleapis.com/Instances

修正 此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

检查 AlloyDB for PostgreSQL 实例的 sslMode 属性是否 设为 ENCRYPTED_ONLY

  • 实时扫描:是
Auto backup disabled

API 中的类别名称:AUTO_BACKUP_DISABLED

发现结果说明:Cloud SQL 数据库未启用自动备份。

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 6.7
  • CIS GCP Foundation 1.2: 6.7
  • CIS GCP Foundation 1.3: 6.7
  • CIS GCP Foundation 2.0: 6.7
  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)
  • CIS Controls 8.0: 11.2

检查 Cloud SQL 数据的 backupConfiguration.enabled 属性是否已设置为 true

  • 从扫描中排除的资源:Cloud SQL 副本
  • 其他输入:从 Security Health Analytics 资源存储空间中读取祖先实体的 IAM 允许政策
  • 实时扫描:是
Public SQL instance

API 中的类别名称:PUBLIC_SQL_INSTANCE

发现结果说明:Cloud SQL 数据库实例接受来自所有 IP 地址的连接。

价格层级付费方案或标准方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 6.2
  • CIS GCP Foundation 1.1: 6.5
  • CIS GCP Foundation 1.2: 6.5
  • CIS GCP Foundation 1.3: 6.5
  • CIS GCP Foundation 2.0: 6.5
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

检查 Cloud SQL 实例的 authorizedNetworks 属性是否已设置为单个 IP 地址或 IP 地址范围。

  • 实时扫描:是
SSL not enforced

API 中的类别名称:SSL_NOT_ENFORCED

发现结果说明:Cloud SQL 数据库实例不要求所有传入连接使用 SSL。

价格层级付费方案或标准方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正此发现结果

合规性标准

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

检查 sslMode 属性是否 Cloud SQL 实例设置为已批准的 SSL 模式, ENCRYPTED_ONLYTRUSTED_CLIENT_CERTIFICATE_REQUIRED

  • 实时扫描:是
SQL CMEK disabled

API 中的类别名称:SQL_CMEK_DISABLED

发现结果说明:SQL 数据库实例未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

在实例元数据中检查 diskEncryptionKey 对象的 kmsKeyName 字段,查看 CMEK 的资源名称。

  • 实时扫描:是
SQL contained database authentication

API 中的类别名称:SQL_CONTAINED_DATABASE_AUTHENTICATION

发现结果说明:Cloud SQL for SQL Server 实例的 contained database authentication 数据库标志未设置为 off

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 6.3.2
  • CIS GCP Foundation 1.2: 6.3.7
  • CIS GCP Foundation 1.3: 6.3.7
  • CIS GCP Foundation 2.0: 6.3.7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "contained database authentication""value": "on",或者它是否已默认否启用。

  • 实时扫描:是
SQL cross DB ownership chaining

API 中的类别名称:SQL_CROSS_DB_OWNERSHIP_CHAINING

发现结果说明:Cloud SQL for SQL Server 实例的 cross_db_ownership_chaining 数据库标志未设置为 off

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 6.3.1
  • CIS GCP Foundation 1.2: 6.3.2
  • CIS GCP Foundation 1.3: 6.3.2
  • CIS GCP Foundation 2.0: 6.3.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "cross_db_ownership_chaining""value": "on"

  • 实时扫描:是
SQL external scripts enabled

API 中的类别名称:SQL_EXTERNAL_SCRIPTS_ENABLED

发现结果说明:Cloud SQL for SQL Server 实例的 external scripts enabled 数据库标志未设置为 off

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.3.1
  • CIS GCP Foundation 1.3: 6.3.1
  • CIS GCP Foundation 2.0: 6.3.1
  • NIST 800-53 R5: CM-7, SI-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3
  • NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3
  • SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4
  • CIS Controls 8.0: 2.7

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "external scripts enabled""value": "off"

  • 实时扫描:是
SQL local infile

API 中的类别名称:SQL_LOCAL_INFILE

发现结果说明:Cloud SQL for MySQL 实例的 local_infile 数据库标志未设置为 off

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 6.1.2
  • CIS GCP Foundation 1.2: 6.1.3
  • CIS GCP Foundation 1.3: 6.1.3
  • CIS GCP Foundation 2.0: 6.1.3
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 2.2.1
  • ISO-27001 v2022: A.8.8
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • CIS Controls 8.0: 16.7

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "local_infile""value": "on"

  • 实时扫描:是
SQL log checkpoints disabled

API 中的类别名称:SQL_LOG_CHECKPOINTS_DISABLED

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_checkpoints 数据库标志未设置为 on

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 6.2.1
  • CIS GCP Foundation 1.2: 6.2.1

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "log_checkpoints""value": "on"

  • 实时扫描:是
SQL log connections disabled

API 中的类别名称:SQL_LOG_CONNECTIONS_DISABLED

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_connections 数据库标志未设置为 on

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 6.2.2
  • CIS GCP Foundation 1.2: 6.2.3
  • CIS GCP Foundation 1.3: 6.2.2
  • CIS GCP Foundation 2.0: 6.2.2
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "log_connections""value": "on"

  • 实时扫描:是
SQL log disconnections disabled

API 中的类别名称:SQL_LOG_DISCONNECTIONS_DISABLED

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_disconnections 数据库标志未设置为 on

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 6.2.3
  • CIS GCP Foundation 1.2: 6.2.4
  • CIS GCP Foundation 1.3: 6.2.3
  • CIS GCP Foundation 2.0: 6.2.3
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "log_disconnections""value": "on"

  • 实时扫描:是
SQL log duration disabled

API 中的类别名称:SQL_LOG_DURATION_DISABLED

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_duration 数据库标志未设置为 on

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.2.5

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "log_duration""value": "on"

  • 实时扫描:是
SQL log error verbosity

API 中的类别名称:SQL_LOG_ERROR_VERBOSITY

发现结果说明log_error_verbosity 数据库标志, Cloud SQL for PostgreSQL 实例未设置为 defaultverbose

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.2.2
  • CIS GCP Foundation 1.3: 6.2.1
  • CIS GCP Foundation 2.0: 6.2.1
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

检查实例元数据的 databaseFlags 属性的 log_error_verbosity 字段是否设置为 defaultverbose

  • 实时扫描:是
SQL log lock waits disabled

API 中的类别名称:SQL_LOG_LOCK_WAITS_DISABLED

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_lock_waits 数据库标志未设置为 on

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 6.2.4
  • CIS GCP Foundation 1.2: 6.2.6

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "log_lock_waits""value": "on"

  • 实时扫描:是
SQL log min duration statement enabled

API 中的类别名称:SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_min_duration_statement 数据库标志未设置为“-1”。

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 6.2.7
  • CIS GCP Foundation 1.2: 6.2.16
  • CIS GCP Foundation 1.3: 6.2.8
  • CIS GCP Foundation 2.0: 6.2.7
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "log_min_duration_statement""value": "-1"

  • 实时扫描:是
SQL log min error statement

API 中的类别名称:SQL_LOG_MIN_ERROR_STATEMENT

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志未正确设置。

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 6.2.5

检查 databaseFlags 属性的 log_min_error_statement 字段是否已设置为下列值之一:debug5debug4debug3debug2debug1infonoticewarning 或默认值 error

  • 实时扫描:是
SQL log min error statement severity

API 中的类别名称:SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志没有适当的严重级别。

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.2.14
  • CIS GCP Foundation 1.3: 6.2.7
  • CIS GCP Foundation 2.0: 6.2.6
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

检查 databaseFlags 属性的 log_min_error_statement 字段是否设置为以下值之一:errorlogfatalpanic

  • 实时扫描:是
SQL log min messages

API 中的类别名称:SQL_LOG_MIN_MESSAGES

发现结果说明: Cloud SQL for PostgreSQL 的 log_min_messages 数据库标志 实例未设置为 warning 或其他建议值。

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.2.13
  • CIS GCP Foundation 1.3: 6.2.6
  • CIS GCP Foundation 2.0: 6.2.5
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

为确保充分覆盖日志中的消息类型,如果 databaseFlags 属性的 log_min_messages 字段未设置为以下值之一,则会发出发现结果:debug5debug4debug3debug2debug1infonotice 或默认值 warning

  • 实时扫描:是
SQL log executor stats enabled

API 中的类别名称:SQL_LOG_EXECUTOR_STATS_ENABLED

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_executor_stats 数据库标志未设置为 off

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.2.11

检查实例元数据的 databaseFlags 属性的 log_executor_stats 字段是否设置为 on

  • 实时扫描:是
SQL log hostname enabled

API 中的类别名称:SQL_LOG_HOSTNAME_ENABLED

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_hostname 数据库标志未设置为 off

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.2.8

检查实例元数据的 databaseFlags 属性的 log_hostname 字段是否设置为 on

  • 实时扫描:是
SQL log parser stats enabled

API 中的类别名称:SQL_LOG_PARSER_STATS_ENABLED

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_parser_stats 数据库标志未设置为 off

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.2.9

检查实例元数据的 databaseFlags 属性的 log_parser_stats 字段是否设置为 on

  • 实时扫描:是
SQL log planner stats enabled

API 中的类别名称:SQL_LOG_PLANNER_STATS_ENABLED

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_planner_stats 数据库标志未设置为 off

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.2.10

检查实例元数据的 databaseFlags 属性的 log_planner_stats 字段是否设置为 on

  • 实时扫描:是
SQL log statement

API 中的类别名称:SQL_LOG_STATEMENT

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_statement 数据库标志未设置为 ddl(所有数据定义语句)。

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.2.7
  • CIS GCP Foundation 1.3: 6.2.4
  • CIS GCP Foundation 2.0: 6.2.4
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

检查实例元数据的 databaseFlags 属性的 log_statement 字段是否设置为 ddl

  • 实时扫描:是
SQL log statement stats enabled

API 中的类别名称:SQL_LOG_STATEMENT_STATS_ENABLED

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_statement_stats 数据库标志未设置为 off

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.2.12

检查实例元数据的 databaseFlags 属性的 log_statement_stats 字段是否设置为 on

  • 实时扫描:是
SQL log temp files

API 中的类别名称:SQL_LOG_TEMP_FILES

发现结果说明:Cloud SQL for PostgreSQL 实例的 log_temp_files 数据库标志未设置为“0”。

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 6.2.6
  • CIS GCP Foundation 1.2: 6.2.15

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "log_temp_files""value": "0"

  • 实时扫描:是
SQL no root password

API 中的类别名称:SQL_NO_ROOT_PASSWORD

发现结果说明:具有公共 IP 地址的 Cloud SQL 数据库没有为根账号配置密码。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 6.3
  • CIS GCP Foundation 1.1: 6.1.1
  • CIS GCP Foundation 1.2: 6.1.1
  • CIS GCP Foundation 1.3: 6.1.1
  • CIS GCP Foundation 2.0: 6.1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 2.1
  • ISO-27001 v2013: A.8.2.3, A.9.4.2
  • ISO-27001 v2022: A.8.5

检查根账号的 rootPassword 属性是否为空。

  • 其他 IAM 权限roles/cloudsql.client
  • 其他输入:查询活动实例
  • 实时扫描:否
SQL public IP

API 中的类别名称:SQL_PUBLIC_IP

发现结果说明:Cloud SQL 数据库具有公共 IP 地址。

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.1: 6.6
  • CIS GCP Foundation 1.2: 6.6
  • CIS GCP Foundation 1.3: 6.6
  • CIS GCP Foundation 2.0: 6.2.9, 6.6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

检查 Cloud SQL 数据库的 IP 地址类型是否设置为 Primary,指示其为公开状态。

  • 实时扫描:是
SQL remote access enabled

API 中的类别名称:SQL_REMOTE_ACCESS_ENABLED

发现结果说明:Cloud SQL for SQL Server 实例的 remote access 数据库标志未设置为 off

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.3.5
  • CIS GCP Foundation 1.3: 6.3.5
  • CIS GCP Foundation 2.0: 6.3.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "remote access""value": "off"

  • 实时扫描:是
SQL skip show database disabled

API 中的类别名称:SQL_SKIP_SHOW_DATABASE_DISABLED

发现结果说明:Cloud SQL for MySQL 实例的 skip_show_database 数据库标志未设置为 on

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.1.2
  • CIS GCP Foundation 1.3: 6.1.2
  • CIS GCP Foundation 2.0: 6.1.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "skip_show_database""value": "on"

  • 实时扫描:是
SQL trace flag 3625

API 中的类别名称:SQL_TRACE_FLAG_3625

发现结果说明:Cloud SQL for SQL Server 实例的 3625 (trace flag) 数据库标志未设置为 on

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.3.6
  • CIS GCP Foundation 2.0: 6.3.6
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "3625 (trace flag)""value": "on"

  • 实时扫描:是
SQL user connections configured

API 中的类别名称:SQL_USER_CONNECTIONS_CONFIGURED

发现结果说明:已配置 Cloud SQL for SQL Server 实例的 user connections 数据库标志。

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.3.3
  • CIS GCP Foundation 1.3: 6.3.3
  • CIS GCP Foundation 2.0: 6.3.3
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

检查实例元数据的 databaseFlags 属性以找出键值对 "name": "user connections""value": "0"

  • 实时扫描:是
SQL user options configured

API 中的类别名称:SQL_USER_OPTIONS_CONFIGURED

发现结果说明:已配置 Cloud SQL for SQL Server 实例的 user options 数据库标志。

价格层级付费方案

支持的资源
sqladmin.googleapis.com/Instance

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 6.3.4
  • CIS GCP Foundation 1.3: 6.3.4
  • CIS GCP Foundation 2.0: 6.3.4
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

检查实例元数据的 databaseFlags 属性以找出键值对 "name""user options""value": ""(空)。

  • 实时扫描:是
SQL weak root password

API 中的类别名称:SQL_WEAK_ROOT_PASSWORD

发现结果说明:具有公共 IP 地址的 Cloud SQL 数据库为根账号配置了安全系数低的密码。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器

价格层级付费方案

支持的素材资源
sqladmin.googleapis.com/Instance

修正 此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

将 Cloud SQL 数据库的根账号的密码与常用密码列表进行比较。

  • 其他 IAM 权限roles/cloudsql.client
  • 其他输入:查询活动实例
  • 实时扫描:否

存储漏洞发现结果

此检测器类型的漏洞均与 Cloud Storage 存储分区配置相关,并且属于 STORAGE_SCANNER 类型。

检测器 摘要 资源扫描设置
Bucket CMEK disabled

API 中的类别名称:BUCKET_CMEK_DISABLED

发现结果说明:存储桶未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器

价格层级付费方案

支持的素材资源
storage.googleapis.com/Bucket

修正 此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

检查存储桶元数据中的 encryption 字段以找出 CMEK 的资源名称。

  • 实时扫描:是
Bucket policy only disabled

API 中的类别名称:BUCKET_POLICY_ONLY_DISABLED

发现结果说明:未配置统一存储桶级访问权限(以前称为“仅限存储桶政策”)。

价格层级付费方案

支持的素材资源
storage.googleapis.com/Bucket

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

检查存储桶中的 uniformBucketLevelAccess 属性是否已设置为 "enabled":false

  • 实时扫描:是
Public bucket ACL

API 中的类别名称:PUBLIC_BUCKET_ACL

发现结果说明:Cloud Storage 存储桶可公开访问。

价格层级付费方案或标准方案

支持的素材资源
storage.googleapis.com/Bucket

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

检查存储桶的 IAM 允许政策以了解是否有公共角色 allUsersallAuthenticatedUsers

  • 实时扫描:是
Public log bucket

API 中的类别名称:PUBLIC_LOG_BUCKET

发现结果说明:用作日志接收器的存储桶可公开访问。

此发现结果不适用于项目级激活。

价格层级付费方案或标准方案

支持的素材资源
storage.googleapis.com/Bucket

修正 此发现结果

合规性标准

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

检查存储桶的 IAM 允许政策以找出可授予公开访问权限的主账号 allUsersallAuthenticatedUsers

  • 其他输入:读取存储桶的日志接收器(日志过滤条件和日志目标位置),以确定其是否为日志存储桶
  • 实时扫描:是,但仅扫描存储桶上的 IAM 政策更改,不扫描日志接收器更改

子网漏洞发现结果

此检测器类型的漏洞均与组织的子网配置相关,属于 SUBNETWORK_SCANNER 类型。

检测器 摘要 资源扫描设置
Flow logs disabled

API 中的类别名称:FLOW_LOGS_DISABLED

发现结果说明:有一个 VPC 子网已停用流日志。

价格层级付费方案

支持的资源
compute.googleapis.com/Subnetwork

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 3.9
  • CIS GCP Foundation 1.1: 3.8
  • CIS GCP Foundation 1.2: 3.8
  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

检查 Compute Engine 子网的 enableFlowLogs 属性是否缺失或设置为 false

  • 从扫描中排除的资源:无服务器 VPC 访问通道、负载均衡器子网
  • 实时扫描:是

发现结果说明:对于 VPC 子网,VPC 流日志已关闭,或者未根据 CIS 基准 1.3 建议进行配置。 此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器

价格层级付费方案

支持的素材资源
compute.googleapis.com/Subnetwork

修正此发现结果

合规性标准

  • CIS GCP Foundation 1.3: 3.8
  • CIS GCP Foundation 2.0: 3.8
  • NIST 800-53 R5: SI-4
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS Controls 8.0: 13.6, 8.2

检查 VPC 子网的 enableFlowLogs 属性是否缺失或设置为 false。 如果启用了 VPC 流日志,请检查 Aggregation Interval 属性是否设置为 5 SECInclude metadata 是否设置为 trueSample rate 是否设置为 100%

  • 从扫描中排除的资源:无服务器 VPC 访问通道、负载均衡器子网
  • 实时扫描:是
Private Google access disabled

API 中的类别名称:PRIVATE_GOOGLE_ACCESS_DISABLED

发现结果说明:有一些专用子网无权访问 Google 公共 API。

价格层级付费方案

支持的素材资源
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

修正 此发现结果

合规性标准

  • CIS GCP Foundation 1.0: 3.8

检查 Compute Engine 子网的 privateIpGoogleAccess 属性是否已设置为 false

  • 实时扫描:是

AWS 发现结果

检测器 摘要 资源扫描设置

AWS Cloud Shell Full Access Restricted

API 中的类别名称:ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

发现结果说明

AWS CloudShell 是对 AWS 服务运行 CLI 命令的便捷方式;托管式 IAM 政策(“AWSCloudShellFullAccess”)提供对 CloudShell 的完整访问权限,这使得在用户的本地系统和 CloudShell 环境之间提供文件上传和下载功能。在 CloudShell 环境中,用户拥有 sudo 权限,并可以访问互联网。因此,可以安装(例如)文件传输软件并将数据从 CloudShell 移至外部互联网服务器。

价格层级企业版

修正此发现结果

合规性标准

  • CIS AWS Foundation 2.0.0: 1.22

确保已限制 AWSCloudShellFullAccess 访问权限

  • 实时扫描:否

Access Keys Rotated Every 90 Days or Less

API 中的类别名称:ACCESS_KEYS_ROTATED_90_DAYS_LESS

发现结果说明

访问密钥由访问密钥 ID 和私有访问密钥组成,用于对您发往 AWS 的程序化请求进行签名。AWS 用户需要自己的访问密钥才能通过 AWS 命令行界面 (AWS CLI)、Tools for Windows PowerShell、AWS SDK 对 AWS 进行程序化调用,或使用针对个别 AWS 服务的 API 进行直接 HTTP 调用。建议定期轮替所有访问密钥。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4
  • CIS AWS Foundation 2.0.0: 1.14
  • CIS Controls 8.0: 5

确保访问密钥每 90 天(或更短周期)轮替一次

  • 实时扫描:否

All Expired Ssl Tls Certificates Stored Aws Iam Removed

API 中的类别名称:ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

发现结果说明

如需启用到 AWS 中网站或应用的 HTTPS 连接,您需要 SSL/TLS 服务器证书。您可以使用 ACM 或 IAM 来存储和部署服务器证书。
仅当您必须在 ACM 不支持的区域支持 HTTPS 连接时,才能将 IAM 用作证书管理器。IAM 会安全地加密您的私钥,并将加密后的版本存储在 IAM SSL 证书存储空间中。IAM 支持在所有区域部署服务器证书,但您必须从外部提供商获取证书才能与 AWS 搭配使用。您无法将 ACM 证书上传到 IAM。此外,您无法通过 IAM 控制台管理证书。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AU-11, CM-12, SI-12
  • PCI-DSS v4.0: 9.4.2
  • ISO-27001 v2022: A.5.10, A.5.9, A.8.1
  • Cloud Controls Matrix 4: DSP-01
  • NIST Cybersecurity Framework 1.0: PR-IP-6
  • CIS AWS Foundation 2.0.0: 1.19
  • CIS Controls 8.0: 3.1

确保移除 AWS IAM 中存储的所有过期的 SSL/TLS 证书

  • 实时扫描:否

Autoscaling Group Elb Healthcheck Required

API 中的类别名称:AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

发现结果说明

这将检查与负载均衡器关联的自动扩缩组是否正在使用 Elastic Load Balancing 健康检查。

这可确保该组可以根据负载均衡器提供的额外测试来确定实例的健康状况。使用弹性负载均衡器健康检查有助于支持使用 EC2 自动扩缩组的应用的可用性。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-2

检查与负载均衡器相关的所有自动扩缩组是否使用健康检查

  • 实时扫描:否

Auto Minor Version Upgrade Feature Enabled Rds Instances

API 中的类别名称:AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

发现结果说明

确保 RDS 数据库实例已启用次要版本自动升级标志,以便在指定维护窗口内自动接收次要引擎升级。因此,RDS 实例可以获取其数据库引擎的新功能、bug 修复和安全补丁。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: RA-5, RA-7, SI-2
  • ISO-27001 v2022: A.8.8
  • Cloud Controls Matrix 4: UEM-03
  • NIST Cybersecurity Framework 1.0: ID-RA-1
  • SOC2 v2017: CC7.1.1, CC7.1.2, CC7.1.3, CC7.1.4, CC7.1.5
  • CIS AWS Foundation 2.0.0: 2.3.2
  • CIS Controls 8.0: 7.4

确保已针对 RDS 实例启用次要版本自动升级功能

  • 实时扫描:否

Aws Config Enabled All Regions

API 中的类别名称:AWS_CONFIG_ENABLED_ALL_REGIONS

发现结果说明

AWS Config 是一项网络服务,用于对您账号中受支持的 AWS 资源执行配置管理,并为您提供日志文件。记录的信息包括配置项(AWS 资源)、配置项之间的关系(AWS 资源)、资源之间的任何配置更改。建议在所有区域中启用 AWS Config。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS AWS Foundation 2.0.0: 3.5
  • CIS Controls 8.0: 1.1

确保已在所有区域中启用 AWS Config

  • 实时扫描:否

Aws Security Hub Enabled

API 中的类别名称:AWS_SECURITY_HUB_ENABLED

发现结果说明

Security Hub 会收集来自各个 AWS 账号、服务和受支持的第三方合作伙伴产品的安全数据,并帮助您分析安全趋势并确定优先级最高的安全问题。启用 Security Hub 后,它将开始使用、汇总、整理已启用的 AWS 服务(例如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie)中的发现结果,并确定其优先级。您还可以启用与 AWS 合作伙伴安全产品的集成。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: CA-7
  • PCI-DSS v3.2.1: 11.5
  • CIS AWS Foundation 2.0.0: 4.16

确保已启用 AWS Security Hub

  • 实时扫描:否

Cloudtrail Logs Encrypted Rest Using Kms Cmks

API 中的类别名称:CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

发现结果说明

AWS CloudTrail 是一项网络服务,用于记录账号的 AWS API 调用,并根据 IAM 政策将这些日志提供给用户和资源。AWS Key Management Service (KMS) 是一项代管式服务,可帮助创建和控制用于加密账号数据的加密密钥,并使用硬件安全模块 (HSM) 保护加密密钥的安全性。CloudTrail 日志可配置为利用服务器端加密 (SSE) 和 KMS 客户创建的主密钥 (CMK) 来进一步保护 CloudTrail 日志。建议将 CloudTrail 配置为使用 SSE-KMS。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.7
  • CIS Controls 8.0: 3.11

确保使用 KMS CMK 对 CloudTrail 日志进行静态加密

  • 实时扫描:否

Cloudtrail Log File Validation Enabled

API 中的类别名称:CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

发现结果说明

CloudTrail 日志文件验证会创建一个经过数字签名的摘要文件,其中包含 CloudTrail 写入 S3 的每个日志的哈希值。这些摘要文件可用于确定日志文件在 CloudTrail 传送日志后是否发生了更改、是否已被删除,或者是否保持不变。建议对所有 CloudTrails 启用文件验证。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AU-6, AU-7, SI-7(7)
  • PCI-DSS v3.2.1: 11.5
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS AWS Foundation 2.0.0: 3.2
  • CIS Controls 8.0: 8.11

确保已启用 CloudTrail 日志文件验证

  • 实时扫描:否

Cloudtrail Trails Integrated Cloudwatch Logs

API 中的类别名称:CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

发现结果说明

AWS CloudTrail 是一项 Web 服务,用于记录在给定 AWS 账号中进行的 AWS API 调用。记录的信息包括 API 调用方的身份、API 调用的时间、API 调用方的来源 IP 地址、请求参数以及 AWS 服务返回的响应元素。CloudTrail 使用 Amazon S3 来存储和传送日志文件,因此日志文件将持久存储。除了在指定的 S3 存储桶中捕获 CloudTrail 日志以进行长期分析外,还可以通过将 CloudTrail 配置为将日志发送到 CloudWatch Logs 来执行实时分析。对于在账号的所有区域中启用的跟踪记录,CloudTrail 会将所有这些区域的日志文件发送到 CloudWatch Logs 日志组。建议将 CloudTrail 日志发送到 CloudWatch 日志。

注意:此建议旨在确保捕获、监控和适当提醒 AWS 账号活动。CloudWatch Logs 是使用 AWS 服务完成此任务的原生方式,但不会排除使用替代解决方案。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS AWS Foundation 2.0.0: 3.4
  • CIS Controls 8.0: 8.5, 8.9

确保 CloudTrail 跟踪记录与 CloudWatch 日志集成

  • 实时扫描:否

Cloudwatch Alarm Action Check

API 中的类别名称:CLOUDWATCH_ALARM_ACTION_CHECK

发现结果说明

这将检查 Amazon Cloudwatch 是否定义了当警报在“正常”“闹钟”状态之间转换时的操作和“INSUFFICIENT_DATA”。

若要在监控的指标超出阈值时触发即时响应,在 Amazon CloudWatch 警报中配置针对闹钟状态的操作非常重要。
它可确保快速解决问题、缩短停机时间,并实现自动补救,从而维护系统运行状况并防止服务中断。

闹钟至少要有一项操作。
当警报从任何其他状态转换为“INSUFFICIENT_DATA”状态时,警报至少具有一项操作。
(可选)当警报从任何其他状态转换为“OK”状态时,警报至少具有一项操作。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-20

检查 CloudWatch 警报至少已启用一项警报操作、一项 INSUFFICIENT_DATA 操作或一项 OK 操作。

  • 实时扫描:否

Cloudwatch Log Group Encrypted

API 中的类别名称:CLOUDWATCH_LOG_GROUP_ENCRYPTED

发现结果说明

此检查可确保 CloudWatch 日志配置了 KMS。

日志组数据在 CloudWatch Logs 中始终会加密。默认情况下,CloudWatch Logs 对静态的日志数据使用服务器端加密。或者,您也可以使用 AWS Key Management Service 进行此类加密。如果您选择启用,系统会使用 AWS KMS 密钥进行加密。通过将 KMS 密钥与日志组相关联,可在日志组级别启用使用 AWS KMS 的加密功能(在创建日志组时或创建日志组后启用)。

价格层级企业版

修正此发现结果

合规性标准

  • PCI-DSS v3.2.1: 3.4

检查是否使用 KMS 对 Amazon CloudWatch Logs 中的所有日志组进行了加密

  • 实时扫描:否

CloudTrail CloudWatch Logs Enabled

API 中的类别名称:CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

发现结果说明

此控件用于检查 CloudTrail 跟踪记录是否已配置为将日志发送到 CloudWatch 日志。如果跟踪记录的 CloudWatchLogsLogGroupArn 属性为空,该控件就会失败。

CloudTrail 记录在给定账号中进行的 AWS API 调用。记录的信息包括以下内容:

  • API 调用方的身份
  • API 调用的时间
  • API 调用方的来源 IP 地址
  • 请求参数
  • AWS 服务返回的响应元素

CloudTrail 使用 Amazon S3 来存储和传送日志文件。您可以在指定的 S3 存储桶中捕获 CloudTrail 日志,以进行长期分析。如需执行实时分析,您可以将 CloudTrail 配置为将日志发送到 CloudWatch Logs。

对于在账号的所有区域中启用的跟踪记录,CloudTrail 会将所有这些区域的日志文件发送到 CloudWatch Logs 日志组。

安全中心建议您将 CloudTrail 日志发送到 CloudWatch Logs。请注意,此建议旨在确保捕获、监测并适当提醒账号活动。您可以使用 CloudWatch Logs 对您的 AWS 服务进行这项设置。此建议并不意味着使用其他解决方案。

将 CloudTrail 日志发送到 CloudWatch Logs 有助于基于用户、API、资源和 IP 地址进行实时和历史活动日志记录。您可以采用此方法,针对异常或敏感的账号活动设置警报和通知。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-20
  • PCI-DSS v3.2.1: 10.5.3

检查是否已将所有 CloudTrail 跟踪记录配置为向 AWS CloudWatch 发送日志

  • 实时扫描:否

No AWS Credentials in CodeBuild Project Environment Variables

API 中的类别名称:CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

发现结果说明

此命令会检查项目是否包含环境变量 AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY

切勿以明文形式存储身份验证凭据 AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY,因为这可能会导致意外的数据泄露和未经授权的访问。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: IA-5, SA-3

确保所有项目中的环境变量 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 都未采用明文格式

  • 实时扫描:否

Codebuild Project Source Repo Url Check

API 中的类别名称:CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

发现结果说明

这会检查 AWS CodeBuild 项目的 Bitbucket 源代码库网址是否包含个人访问令牌或用户名和密码。如果 Bitbucket 源代码库网址包含个人访问令牌或用户名和密码,则控件将失败。

登录凭据不应以明文形式存储或传输,也不得显示在源代码库网址中。您应该在 CodeBuild 中访问您的源代码提供程序,并将源代码库网址更改为仅包含 Bitbucket 代码库位置的路径,而不是使用个人访问令牌或登录凭据。使用个人访问令牌或登录凭据可能会导致意外的数据泄露或未经授权的访问。

价格层级企业版

修正此发现结果

合规性标准

此发现类别未映射到任何合规性标准控件。

检查使用 GitHub 或 Bitbucket 作为源代码库的所有项目是否都使用了 OAuth

  • 实时扫描:否

Credentials Unused 45 Days Greater Disabled

API 中的类别名称:CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

发现结果说明

AWS IAM 用户可以使用不同类型的凭据(如密码或访问密钥)访问 AWS 资源。建议停用或移除在 45 天或更长时间内未使用的所有凭据。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-2
  • PCI-DSS v4.0: 8.3.7
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • CIS AWS Foundation 2.0.0: 1.12
  • CIS Controls 8.0: 5.3

确保已停用 45 天或更长时间未使用的凭据

  • 实时扫描:否

Default Security Group Vpc Restricts All Traffic

API 中的类别名称:DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

发现结果说明

VPC 有一个默认安全群组,其初始设置会拒绝所有入站流量,允许所有出站流量,并允许分配给该安全群组的实例之间的所有流量。如果您在启动实例时未指定安全组,则系统会自动将该实例分配给此默认安全组。安全群组对 AWS 资源的入站/出站网络流量进行有状态过滤。建议默认安全群组限制所有流量。

应更新每个区域中的默认 VPC 的默认安全组以符合规定。任何新创建的 VPC 都将自动包含一个默认安全组,该组需要根据此建议进行修复。

注意:在实现此建议时,VPC 流量日志记录对于确定系统正常运行所需的最小特权端口访问权限非常有用,因为它可以记录当前安全群组下发生的所有数据包接受和拒绝情况。这大大减少了最小权限工程面临的主要障碍,即发现环境中的系统所需的最小端口。即使您不将此基准测试中建议的 VPC 流量日志记录作为永久性安全措施,也应在发现和工程设计期间为最低特权安全组使用此功能。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 5.4
  • CIS Controls 8.0: 3.3

确保每个 VPC 的默认安全群组对所有流量进行限制

  • 实时扫描:否

Dms Replication Not Public

API 中的类别名称:DMS_REPLICATION_NOT_PUBLIC

发现结果说明

检查 AWS DMS 复制实例是否可公开访问。为此,它会检查 PubliclyAccessible 字段的值。

专用复制实例具有您在复制网络外部无法访问的专用 IP 地址。当源数据库和目标数据库位于同一网络中时,复制实例应具有专用 IP 地址。该网络还必须使用 VPN、AWS Direct Connect 或 VPC 对等互连连接到复制实例的 VPC。如需详细了解公共和专用复制实例,请参阅《AWS Database Migration Service 用户指南》中的公共和专用复制实例

您还应确保只有获得授权的用户才能访问您的 AWS DMS 实例配置。为此,请限制拥有修改 AWS DMS 设置和资源的 IAM 权限。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

检查 AWS Database Migration Service 复制实例是否可公开访问

  • 实时扫描:否

Do Setup Access Keys During Initial User Setup All Iam Users Console

API 中的类别名称:DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

发现结果说明

AWS 控制台在创建新的 IAM 用户时默认不选中任何复选框。创建 IAM 用户凭据时,您必须确定它们需要哪种类型的访问权限。

编程访问:IAM 用户可能需要进行 API 调用、使用 AWS CLI 或使用 Tools for Windows PowerShell。在这种情况下,请为该用户创建访问密钥(访问密钥 ID 和私有访问密钥)。

AWS 管理控制台访问权限:如果用户需要访问 AWS 管理控制台,请为用户创建密码。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.11
  • CIS Controls 8.0: 3.3, 5.4

请勿在初始用户设置期间为所有具有控制台密码的 IAM 用户设置访问密钥

  • 实时扫描:否

Dynamodb Autoscaling Enabled

API 中的类别名称:DYNAMODB_AUTOSCALING_ENABLED

发现结果说明

这会检查 Amazon DynamoDB 表是否可以根据需要扩缩其读写容量。如果表使用按需容量模式或配置了自动伸缩的预配模式,则此控制会通过。随着需求扩缩容量可避免出现节流异常,这有助于维护应用的可用性。

采用按需容量模式的 DynamoDB 表仅受 DynamoDB 吞吐量默认表配额的限制。如需提高这些配额,您可以通过 AWS 支持提交支持服务工单。

具有自动伸缩功能的预配模式下的 DynamoDB 表会根据流量模式动态调整预配的吞吐量容量。有关 DynamoDB 请求限制的更多信息,请参阅“Amazon DynamoDB 开发者指南”中的“请求限制和爆发容量”。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-13(5)

DynamoDB 表应根据需求自动扩缩容量

  • 实时扫描:否

Dynamodb In Backup Plan

API 中的类别名称:DYNAMODB_IN_BACKUP_PLAN

发现结果说明

此控件可评估备份方案是否涵盖 DynamoDB 表。如果 DynamoDB 表不在备份方案的涵盖范围内,则此控件将失败。此控件仅评估处于 ACTIVE 状态的 DynamoDB 表。

备份可帮助您更快地从安全事件中恢复。它们还可增强系统的弹性。在备份方案中添加 DynamoDB 表有助于防止数据意外丢失或删除。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-13(5)

DynamoDB 表应纳入备份方案中

  • 实时扫描:否

Dynamodb Pitr Enabled

API 中的类别名称:DYNAMODB_PITR_ENABLED

发现结果说明

时间点恢复 (PITR) 是可用于备份 DynamoDB 表的机制之一。

时间点备份会保留 35 天。如果您需要更长的保留期限,请参阅 AWS 文档中的使用 AWS Backup 为 Amazon DynamoDB 设置计划备份

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-13(5)

检查是否对所有 AWS DynamoDB 表启用了时间点恢复 (PITR)

  • 实时扫描:否

Dynamodb Table Encrypted Kms

API 中的类别名称:DYNAMODB_TABLE_ENCRYPTED_KMS

发现结果说明

检查是否使用客户管理的 KMS 密钥(非默认密钥)对所有 DynamoDB 表进行了加密。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-7(6)

检查是否使用 AWS Key Management Service (KMS) 对所有 DynamoDB 表进行了加密

  • 实时扫描:否

Ebs Optimized Instance

API 中的类别名称:EBS_OPTIMIZED_INSTANCE

发现结果说明

检查是否为可进行 EBS 优化的 EC2 实例启用了 EBS 优化

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-5(2)

检查是否对所有支持 EBS 优化的实例启用了 EBS 优化

  • 实时扫描:否

Ebs Snapshot Public Restorable Check

API 中的类别名称:EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

发现结果说明

检查 Amazon Elastic Block Store 快照是否不公开。如果任何人都可以恢复 Amazon EBS 快照,则此控制将失败。

EBS 快照用于在特定时间点将 EBS 卷上的数据备份到 Amazon S3。您可以使用快照恢复 EBS 卷的先前状态。公开分享快照的情况很少见。通常,公开共享快照的决定是错误的,或者没有完全了解影响。这项检查有助于确保所有此类分享都是有计划的、有意识的。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Amazon EBS 快照不应是可公共恢复的

  • 实时扫描:否

Ebs Volume Encryption Enabled All Regions

API 中的类别名称:EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

发现结果说明

使用 Elastic Block Store (EBS) 服务时,Elastic Compute Cloud (EC2) 支持静态加密。虽然默认处于停用状态,但支持在创建 EBS 卷时强制加密。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.2.1
  • CIS Controls 8.0: 3.11

确保已在所有区域中启用 EBS 卷加密

  • 实时扫描:否

Ec2 Instances In Vpc

API 中的类别名称:EC2_INSTANCES_IN_VPC

发现结果说明

Amazon VPC 提供比 EC2 Classic 更多的安全功能。建议所有节点都属于一个 Amazon VPC。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-7

确保所有实例都属于 VPC

  • 实时扫描:否

Ec2 Instance No Public Ip

API 中的类别名称:EC2_INSTANCE_NO_PUBLIC_IP

发现结果说明

具有公共 IP 地址的 EC2 实例面临更高的攻击风险。建议不要为 EC2 实例配置公共 IP 地址。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

确保没有实例拥有公共 IP

  • 实时扫描:否

Ec2 Managedinstance Association Compliance Status Check

API 中的类别名称:EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

发现结果说明

状态管理器关联是分配给托管实例的配置。该配置定义了您要在实例上维护的状态。例如,关联可以指定必须在实例上安装并运行杀毒软件,或者必须关闭某些端口。与 AWS Systems Manager 相关联的 EC2 实例由 Systems Manager 管理,这样便于应用补丁、修正错误配置并响应安全事件。

价格层级企业版

修正此发现结果

合规性标准

  • PCI-DSS v3.2.1: 6.2

确认 AWS 系统管理器关联的合规状态

  • 实时扫描:否

Ec2 Managedinstance Patch Compliance Status Check

API 中的类别名称:EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

发现结果说明

此控件在实例上运行关联后,检查 AWS Systems Manager 关联的合规性状态是 COMPLIANT 还是 NON_COMPLIANT。如果关联合规状态为 NON_COMPLIANT,则无法控制该控件。

状态管理器关联是分配给托管实例的配置。该配置定义了您要在实例上维护的状态。例如,关联可以指定必须在实例上安装并运行防病毒软件,或者必须关闭某些端口。

创建一个或多个 State Manager 关联后,您可以立即查看合规性状态信息。您可以在控制台中查看合规性状态,也可以查看合规状态如何响应 AWS CLI 命令或相应 Systems Manager API 操作。对于关联,“配置合规性”会显示合规状态(“合规”或“不合规”)。还会显示分配给该关联的严重级别,例如“严重”或“中”。

如需详细了解状态管理器关联合规性,请参阅 AWS Systems Manager 用户指南中的关于状态管理器关联合规性

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-2
  • PCI-DSS v3.2.1: 6.2

检查 AWS Systems Manager 补丁合规性的状态

  • 实时扫描:否

Ec2 Metadata Service Allows Imdsv2

API 中的类别名称:EC2_METADATA_SERVICE_ALLOWS_IMDSV2

发现结果说明

在 AWS EC2 实例上启用元数据服务时,用户可以选择使用实例元数据服务版本 1(IMDSv1,一种请求/响应方法)或实例元数据服务版本 2(IMDSv2,一种面向会话的方法)。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-6
  • CIS AWS Foundation 2.0.0: 5.6

确保 EC2 元数据服务只允许使用 IMDSv2

  • 实时扫描:否

Ec2 Volume Inuse Check

API 中的类别名称:EC2_VOLUME_INUSE_CHECK

发现结果说明

确定并移除 AWS 账号中未挂接(未使用的)Elastic Block Store (EBS) 卷,以降低每月 AWS 账单的费用。删除未使用的 EBS 卷还有助于降低机密/敏感数据离开您的场所的风险。此外,此控件还会检查已归档的 EC2 实例是否配置为在终止时删除卷。

默认情况下,EC2 实例会配置为删除与实例关联的任何 EBS 卷中的数据,并删除实例的根 EBS 卷。不过,在启动或执行期间附加到实例的任何非根 EBS 卷都会默认在终止后保留。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: CM-2

检查 EBS 卷是否挂接到 EC2 实例以及是否配置为在实例终止时删除

  • 实时扫描:否

Efs Encrypted Check

API 中的类别名称:EFS_ENCRYPTED_CHECK

发现结果说明

Amazon EFS 支持对文件系统执行两种加密,即传输中数据加密和静态数据加密。此检查会检查账号中所有已启用区域中的所有 EFS 文件系统是否均配置了静态数据加密。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

检查 EFS 是否配置为使用 KMS 对文件数据进行加密

  • 实时扫描:否

Efs In Backup Plan

API 中的类别名称:EFS_IN_BACKUP_PLAN

发现结果说明

Amazon 最佳实践建议为 Elastic File Systems (EFS) 配置备份。这将检查您的 AWS 账号中的每个已启用区域的所有 EFS 是否启用了备份。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-13(5)

检查 EFS 文件系统是否纳入了 AWS 备份方案

  • 实时扫描:否

Elb Acm Certificate Required

API 中的类别名称:ELB_ACM_CERTIFICATE_REQUIRED

发现结果说明

检查传统负载平衡器是否使用 AWS Certificate Manager (ACM) 提供的 HTTPS/SSL 证书。如果使用 HTTPS/SSL 监听器配置的传统负载平衡器未使用 ACM 提供的证书,则该控件会失败。

如需创建证书,您可以使用 ACM 或支持 SSL 和 TLS 协议的工具(例如 OpenSSL)。安全中心建议您使用 ACM 为负载均衡器创建或导入证书。

ACM 与传统负载均衡器集成,因此您可以在负载均衡器上部署证书。您还应该自动续订这些证书。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-17, AC-4, IA-5, SC-12, SC-13, SC-23, SC-7, SC-8, SI-7, SI-7(6)

检查是否所有传统负载均衡器都使用了 AWS Certificate Manager 提供的 SSL 证书

  • 实时扫描:否

Elb Deletion Protection Enabled

API 中的类别名称:ELB_DELETION_PROTECTION_ENABLED

发现结果说明

检查应用负载平衡器是否启用了删除保护。如果未配置删除保护,该控件将失败。

启用删除保护,以防止您的应用负载平衡器被删除。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-5(2)

应启用应用负载均衡器删除防护

  • 实时扫描:否

Elb Logging Enabled

API 中的类别名称:ELB_LOGGING_ENABLED

发现结果说明

这将检查应用负载平衡器和传统负载平衡器是否已启用日志记录。如果 access_logs.s3.enabled 为 false,则控制操作会失败。

Elastic Load Balancing 提供访问日志,用于捕获有关发送到负载均衡器的请求的详细信息。每个日志都包含诸如接收请求的时间、客户端的 IP 地址、延迟时间、请求路径和服务器响应等信息。您可以使用这些访问日志来分析流量模式和排查问题。

如需了解详情,请参阅传统版负载平衡器用户指南中的传统版负载平衡器的访问日志

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

检查是否对传统负载均衡器和应用负载均衡器启用了日志记录

  • 实时扫描:否

Elb Tls Https Listeners Only

API 中的类别名称:ELB_TLS_HTTPS_LISTENERS_ONLY

发现结果说明

此检查可确保所有传统负载平衡器都配置为使用安全通信。

监听器是检查连接请求的过程。它配置了用于前端(客户端到负载均衡器)连接的协议和端口,以及用于后端(负载均衡器到实例)连接的协议和端口。如需了解 Elastic Load Balancing 支持的端口、协议和监听器配置,请参阅传统负载平衡器的监听器

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-7(6)

检查是否对所有传统负载均衡器配置了 SSL 或 HTTPS 监听器

  • 实时扫描:否

Encrypted Volumes

API 中的类别名称:ENCRYPTED_VOLUMES

发现结果说明

检查处于已挂接状态的 EBS 卷是否已加密。要通过此检查,EBS 卷必须在使用中且已加密。如果未挂接 EBS 卷,则不需要进行此项检查。

若要为 EBS 卷中的敏感数据增加一层安全保障,您应启用 EBS 静态加密。Amazon EBS 加密为您的 EBS 资源提供了简单明了的加密解决方案,无需您构建、维护和保护自己的密钥管理基础架构。它在创建加密卷和快照时使用 KMS 密钥。

如需详细了解 Amazon EBS 加密,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的 Amazon EBS 加密。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

应对挂接的 Amazon EBS 卷进行静态加密

  • 实时扫描:否

Encryption At Rest Enabled Rds Instances

API 中的类别名称:ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

发现结果说明

Amazon RDS 加密数据库实例使用业界标准 AES-256 加密算法来加密托管 Amazon RDS 数据库实例的服务器上的数据。数据加密后,Amazon RDS 会透明地处理数据访问身份验证和解密,对性能的影响微乎其微。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.3.1
  • CIS Controls 8.0: 3.11

确保 RDS 实例已启用静态加密

  • 实时扫描:否

Encryption Enabled Efs File Systems

API 中的类别名称:ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

发现结果说明

EFS 数据应使用 AWS KMS (Key Management Service) 进行静态加密。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.4.1
  • CIS Controls 8.0: 3.11

确保已针对 EFS 文件系统启用加密

  • 实时扫描:否

Iam Password Policy

API 中的类别名称:IAM_PASSWORD_POLICY

发现结果说明

AWS 允许对您的 AWS 账号使用自定义密码政策,为您的 IAM 用户指定复杂度要求和强制轮替周期密码。如果未设置自定义密码政策,则 IAM 用户密码必须符合默认的 AWS 密码政策。AWS 安全最佳实践建议遵循以下密码复杂度要求:

  • 密码中至少应包含一个大写字符。
  • 密码中至少应包含一个小写字符。
  • 要求密码中至少包含一个符号。
  • 要求密码中至少包含一个数字。
  • 要求最小密码长度至少为 14 个字符。
  • 要求至少 24 个密码才能重复使用。
  • 要求至少 90 个字符才能密码过期

此控件会检查所有指定的密码政策要求。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: IA-5(1)
  • PCI-DSS v3.2.1: 8.2.5

检查 IAM 用户的账号密码政策是否符合规定的要求

  • 实时扫描:否

Iam Password Policy Prevents Password Reuse

API 中的类别名称:IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

发现结果说明

IAM 密码政策可防止同一用户重复使用给定密码。建议不要使用密码政策,以免重复使用密码。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 8.3.5, 8.3.6, 8.6.3
  • ISO-27001 v2022: A.5.17
  • Cloud Controls Matrix 4: IAM-02
  • SOC2 v2017: CC6.1.3, CC6.1.8, CC6.1.9
  • CIS AWS Foundation 2.0.0: 1.9
  • CIS Controls 8.0: 5.2

确保 IAM 密码政策可防止密码重复使用

  • 实时扫描:否

Iam Password Policy Requires Minimum Length 14 Greater

API 中的类别名称:IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

发现结果说明

密码政策部分用于强制执行密码复杂度要求。IAM 密码政策可用于确保密码至少为指定长度。建议密码政策要求密码长度不得低于 14 个字符。

价格层级企业版

修正此发现结果

合规性标准

  • CIS AWS Foundation 2.0.0: 1.8
  • CIS Controls 8.0: 5, 5.2

确保 IAM 密码政策要求最小长度为 14 个字符

  • 实时扫描:否

Iam Policies Allow Full Administrative Privileges Attached

API 中的类别名称:IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

发现结果说明

IAM 政策是向用户、群组或角色授予特权的一种方式。建议授予最小权限(即仅授予执行任务所需的权限),这也是标准的安全建议。确定用户需要执行的操作,然后为其制定政策,让用户仅执行这些任务,而不是授予完整的管理员权限。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.16
  • CIS Controls 8.0: 3.3

确保未关联允许完整“*:*”管理员权限的 IAM 政策

  • 实时扫描:否

Iam Users Receive Permissions Groups

API 中的类别名称:IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

发现结果说明

IAM 用户可通过 IAM 政策获得对服务、函数和数据的访问权限。定义用户政策的方法有四种:1) 直接修改用户政策(即内嵌政策或用户政策);2) 直接将政策附加到用户;3) 将用户添加到具有附加政策的 IAM 群组;4) 将用户添加到具有内嵌政策的 IAM 群组。

建议仅采用第三种实现方式。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-2, AC-5, AC-6, AU-9
  • PCI-DSS v4.0: 10.3.1, 7.1.1, 7.2.1, 7.2.2, 7.2.4, 7.2.6, 7.3.1, 7.3.2
  • ISO-27001 v2022: A.5.15, A.5.3, A.8.2, A.8.3
  • Cloud Controls Matrix 4: IAM-04
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.3.1, CC6.3.2, CC6.3.3
  • HIPAA: 164.308(a)(3)(ii), 164.308(a)(4)(i), 164.308(a)(4)(ii)
  • CIS AWS Foundation 2.0.0: 1.15
  • CIS Controls 8.0: 6.8

确保 IAM 用户仅通过群组接收权限

  • 实时扫描:否

Iam User Group Membership Check

API 中的类别名称:IAM_USER_GROUP_MEMBERSHIP_CHECK

发现结果说明

IAM 用户应始终属于某个 IAM 群组,以遵循 IAM 安全最佳实践。

通过将用户添加到群组,您可以为不同类型的用户共享政策。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-6

检查 IAM 用户是否至少是一个 IAM 群组的成员

  • 实时扫描:否

Iam User Mfa Enabled

API 中的类别名称:IAM_USER_MFA_ENABLED

发现结果说明

多重身份验证 (MFA) 是一种最佳实践,可在用户名和密码之外再增加一层保护。借助 MFA,当用户登录 AWS 管理控制台时,他们需要提供由已注册的虚拟设备或实体设备提供的具有时效性的身份验证代码。

价格层级企业版

修正此发现结果

合规性标准

  • PCI-DSS v3.2.1: 8.3.2

检查 AWS IAM 用户是否启用了多重身份验证 (MFA)

  • 实时扫描:否

Iam User Unused Credentials Check

API 中的类别名称:IAM_USER_UNUSED_CREDENTIALS_CHECK

发现结果说明

这将检查过去 90 天内未使用的任何 IAM 密码或有效访问密钥。

最佳实践建议您移除、停用或轮替所有已超过 90 天未使用的凭据。这样可以缩短与被盗用或被弃用的账号关联的凭据的使用期限。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-6
  • PCI-DSS v3.2.1: 8.1.4

检查是否所有 AWS IAM 用户都有未在 maxCredentialUsageAge 天(默认值为 90)内使用过的密码或有效访问密钥

  • 实时扫描:否

Kms Cmk Not Scheduled For Deletion

API 中的类别名称:KMS_CMK_NOT_SCHEDULED_FOR_DELETION

发现结果说明

此控件会检查 KMS 密钥是否已安排删除。如果计划删除 KMS 密钥,控制将失败。

KMS 密钥一经删除便无法恢复。如果使用 KMS 密钥删除,使用 KMS 密钥加密的数据也永远无法恢复。如果有意义的数据已使用计划删除的 KMS 密钥进行加密,请考虑解密数据或使用新的 KMS 密钥重新加密数据,除非您有意执行加密清除。

计划删除 KMS 密钥时,系统会强制执行强制性等待期,以便有时间撤消删除操作(如果安排错误的话)。默认等待期为 30 天,但在计划删除 KMS 密钥时,最长可以将等待期缩短为 7 天。在等待期内,您可以取消预定的删除操作,系统不会删除 KMS 密钥。

如需详细了解如何删除 KMS 密钥,请参阅 AWS Key Management Service 开发者指南中的删除 KMS 密钥

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-12

检查是否所有 CMK 都未安排删除

  • 实时扫描:否

Lambda Concurrency Check

API 中的类别名称:LAMBDA_CONCURRENCY_CHECK

发现结果说明

检查 Lambda 函数是否配置了函数级并发执行限制。如果 Lambda 函数未配置函数级并发执行限制,则规则为 NON_COMPLIANT。

价格层级企业版

修正此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

检查 Lambda 函数是否配置了函数级并发执行限制

  • 实时扫描:否

Lambda Dlq Check

API 中的类别名称:LAMBDA_DLQ_CHECK

发现结果说明

检查 Lambda 函数是否配置了死信队列。如果 Lambda 函数未配置死信队列,则规则为 NON_COMPLIANT。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-2

检查 Lambda 函数是否配置了死信队列

  • 实时扫描:否

Lambda Function Public Access Prohibited

API 中的类别名称:LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

发现结果说明

AWS 最佳实践建议不要公开公开 Lambda 函数。此政策会检查您账号中部署在所有已启用区域中的所有 Lambda 函数,如果这些函数配置为允许公共访问,则会失败。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

检查与 Lambda 函数关联的政策是否禁止了公共访问权限

  • 实时扫描:否

Lambda Inside Vpc

API 中的类别名称:LAMBDA_INSIDE_VPC

发现结果说明

检查 Lambda 函数是否在 VPC 中。您可能会看到 Lambda@Edge 资源的失败发现结果。

它不会评估 VPC 子网路由配置以确定公开可达性。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

检查 Lambda 函数是否存在于 VPC 中

  • 实时扫描:否

Mfa Delete Enabled S3 Buckets

API 中的类别名称:MFA_DELETE_ENABLED_S3_BUCKETS

发现结果说明

为敏感和已分类的 S3 存储桶启用 MFA 删除功能后,用户需要进行两种形式的身份验证。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.2
  • CIS Controls 8.0: 3.3, 6.5

确保已针对 S3 存储桶启用 MFA 删除功能

  • 实时扫描:否

Mfa Enabled Root User Account

API 中的类别名称:MFA_ENABLED_ROOT_USER_ACCOUNT

发现结果说明

“根”user account 是 AWS 账号中最具特权的用户。多重身份验证 (MFA) 在用户名和密码的基础上增加了一层额外的保护。启用多重身份验证后,当用户登录 AWS 网站时,系统会提示他们输入用户名和密码,以及 AWS MFA 设备上的身份验证码。

注意:为“根”账号使用虚拟多重身份验证时,建议使用的设备不是个人设备,而是专用的移动设备(平板电脑或手机),该设备应独立于任何个人设备,并由管理员负责充电和安全维护。(“非个人虚拟 MFA”)可降低因设备丢失、设备以旧换新或设备所有者不再在公司雇用而失去 MFA 访问权限的风险。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.5
  • CIS Controls 8.0: 6.5

确保已针对“root”用户账号启用 MFA

  • 实时扫描:否

Multi Factor Authentication Mfa Enabled All Iam Users Console

API 中的类别名称:MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

发现结果说明

与传统凭据相比,多重身份验证 (MFA) 增加了额外的身份验证保证。启用多重身份验证后,当用户登录 AWS 控制台时,系统会提示他们输入用户名和密码,以及实体或虚拟 MFA 令牌中的身份验证码。建议为拥有控制台密码的所有账号启用 MFA。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.10
  • CIS Controls 8.0: 6.5

确保已针对拥有控制台密码的所有 IAM 用户启用多重身份验证 (MFA)

  • 实时扫描:否

No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration

API 中的类别名称:NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

发现结果说明

网络访问控制列表 (NACL) 功能可对流向 AWS 资源的入站和出站网络流量进行无状态过滤。建议使用 TDP (6)、UDP (17) 或 ALL (-1) 协议,任何 NACL 都允许对远程服务器管理端口(例如通过 SSH 连接到端口 22 和 RDP 到端口 3389)进行不受限制的入站流量访问

价格层级企业版

修正此发现结果

合规性标准

  • CIS AWS Foundation 2.0.0: 5.1

确保任何网络 ACL 都不允许从 0.0.0.0/0 到远程服务器管理端口的入站流量

  • 实时扫描:否

No Root User Account Access Key Exists

API 中的类别名称:NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

发现结果说明

“根”user account 是 AWS 账号中最具特权的用户。AWS 访问密钥提供对给定 AWS 账号的编程访问。建议将与“root”权限相关的所有访问密钥用户账号。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 8.1.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.4
  • CIS Controls 8.0: 3.3, 5.4

确保不存在“root”用户账号访问密钥

  • 实时扫描:否

No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration

API 中的类别名称:NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

发现结果说明

安全群组可对传入和传出 AWS 资源的网络流量进行有状态过滤。建议任何安全群组都不允许使用 TDP (6)、UDP (17) 或 ALL (-1) 协议,对远程服务器管理端口(例如 SSH 到端口 22 和 RDP 到端口 3389)进行无限制的入站访问

价格层级企业版

修正此发现结果

合规性标准

  • CIS AWS Foundation 2.0.0: 5.2

确保任何安全群组都不允许从 0.0.0.0/0 传输到远程服务器管理端口的入站流量

  • 实时扫描:否

No Security Groups Allow Ingress 0 Remote Server Administration

API 中的类别名称:NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

发现结果说明

安全群组对 AWS 资源的入站和出站网络流量进行有状态过滤。建议任何安全群组都不允许对远程服务器管理端口(例如通过 SSH 连接到端口 22 和通过 RDP 连接到端口 3389)的无限制入站流量访问。

价格层级企业版

修正此发现结果

合规性标准

  • CIS AWS Foundation 2.0.0: 5.3

确保任何安全群组都不允许从 ::/0 传输到远程服务器管理端口的入站流量

  • 实时扫描:否

One Active Access Key Available Any Single Iam User

API 中的类别名称:ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

发现结果说明

访问密钥是 IAM 用户或 AWS 账号“root”的长期凭据用户。您可以使用访问密钥(直接或使用 AWS SDK)对指向 AWS CLI 或 AWS API 的程序化请求进行签名

价格层级企业版

修正此发现结果

合规性标准

  • CIS AWS Foundation 2.0.0: 1.13
  • CIS Controls 8.0: 5

确保任何单个 IAM 用户只有一个有效的访问密钥

  • 实时扫描:否

Public Access Given Rds Instance

API 中的类别名称:PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

发现结果说明

确保您的 AWS 账号中预配的 RDS 数据库实例确实限制了未经授权的访问,以最大限度地降低安全风险。如需限制对任何可公开访问的 RDS 数据库实例的访问,您必须停用数据库“可公开访问”标志,并更新与实例关联的 VPC 安全组。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v3.2.1: 2.2.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.3.3
  • CIS Controls 8.0: 3.3

确保没有向 RDS 实例提供公开访问权限

  • 实时扫描:否

Rds Enhanced Monitoring Enabled

API 中的类别名称:RDS_ENHANCED_MONITORING_ENABLED

发现结果说明

增强型监控通过在实例中安装的代理,针对 RDS 实例所运行的操作系统提供实时指标。

如需了解详情,请参阅使用增强型监控监控操作系统指标

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-2

检查是否为所有 RDS 数据库实例启用了增强监控功能

  • 实时扫描:否

Rds Instance Deletion Protection Enabled

API 中的类别名称:RDS_INSTANCE_DELETION_PROTECTION_ENABLED

发现结果说明

启用实例删除保护是额外的保护层,可防止未经授权的实体意外删除或删除数据库。

启用删除保护后,无法删除 RDS 数据库实例。必须先停用删除保护,删除请求才能成功。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-13(5)

检查是否所有 RDS 实例都启用了删除保护

  • 实时扫描:否

Rds In Backup Plan

API 中的类别名称:RDS_IN_BACKUP_PLAN

发现结果说明

此检查可评估备份方案是否涵盖 Amazon RDS 数据库实例。如果 RDS 数据库实例未纳入备份方案,则此控件会失败。

AWS Backup 是一项全代管式备份服务,可跨 AWS 服务集中并自动备份数据。借助 AWS Backup,您可以创建名为备份方案的备份政策。您可以使用这些方案来定义备份要求,例如备份数据的频率以及保留这些备份的时间。在备份方案中添加 RDS 数据库实例有助于防止数据意外丢失或删除。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-13(5)

RDS 数据库实例应纳入备份方案中

  • 实时扫描:否

Rds Logging Enabled

API 中的类别名称:RDS_LOGGING_ENABLED

发现结果说明

这将检查 Amazon RDS 的以下日志是否已启用并发送到 CloudWatch。

应启用 RDS 数据库的相关日志。数据库日志记录会提供对 RDS 发出的请求的详细记录。数据库日志可协助进行安全和访问审核,并有助于诊断可用性问题。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-7(8)

检查是否为所有 RDS 数据库实例启用了导出日志功能

  • 实时扫描:否

Rds Multi Az Support

API 中的类别名称:RDS_MULTI_AZ_SUPPORT

发现结果说明

应该为多个可用区 (AZ) 配置 RDS 数据库实例。这可确保所存储数据的可用性。如果可用区可用性和常规 RDS 维护期间出现问题,多可用区部署可实现自动故障切换。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-13(5)

检查是否为所有 RDS 数据库实例启用了高可用性

  • 实时扫描:否

Redshift Cluster Configuration Check

API 中的类别名称:REDSHIFT_CLUSTER_CONFIGURATION_CHECK

发现结果说明

这会检查 Redshift 集群的基本元素:静态加密、日志记录和节点类型。

这些配置项对于维护安全且可观察的 Redshift 集群非常重要。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

检查是否所有 Redshift 集群都进行了静态加密、已启用日志记录且具有节点类型。

  • 实时扫描:否

Redshift Cluster Maintenancesettings Check

API 中的类别名称:REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

发现结果说明

根据维护窗口进行自动主要版本升级

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-2

检查是否对所有 Redshift 集群都启用了 allowVersionUpgrade 并设置了 preferredMaintenanceWindow 和 automatedSnapshotRetentionPeriod

  • 实时扫描:否

Redshift Cluster Public Access Check

API 中的类别名称:REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

发现结果说明

Amazon Redshift 集群配置的 PubliclyAccessible 属性指示集群是否可供公众访问。将集群配置为将 PubliclyAccessible 设置为 true 时,该集群是一个面向互联网的实例,具有可公开解析的 DNS 名称,该名称会解析为公共 IP 地址。

如果集群不可公开访问,则它是具有解析为专用 IP 地址的 DNS 名称的内部实例。除非您打算让集群可公开访问,否则不应在配置集群时将 PubliclyAccessible 设置为 true。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

检查是否可以公开访问 Redshift 集群

  • 实时扫描:否

Restricted Common Ports

API 中的类别名称:RESTRICTED_COMMON_PORTS

发现结果说明

这会检查安全群组的无限制入站流量是否可以访问风险最高的指定端口。如果安全群组中的任何规则允许来自“0.0.0.0/0”的入站流量,此控制将失败或“::/0”。

访问不受限制 (0.0.0.0/0) 会增加恶意活动(例如黑客攻击、拒绝服务攻击和数据丢失)的机会。

安全群组对 AWS 资源的入站和出站网络流量进行有状态过滤。任何安全群组都不应允许对以下端口进行不受限制的入站流量访问:

  • 20、21 (FTP)
  • 22 (SSH)
  • 23(Telnet)
  • 25 (SMTP)
  • 110 (POP3)
  • 135 (RPC)
  • 143 (IMAP)
  • 445 (CIFS)
  • 1433、1434 (MSSQL)
  • 3000(Go、Node.js 和 Ruby Web 开发框架)
  • 3306 (mySQL)
  • 3389 (RDP)
  • 4333(ahsp)
  • 5000(Python Web 开发框架)
  • 5432 (postgresql)
  • 5500 (fcp-addr-srvr1)
  • 5601(OpenSearch 信息中心)
  • 8080(代理)
  • 8088(旧 HTTP 端口)
  • 8888(备用 HTTP 端口)
  • 9200 或 9300 (OpenSearch)

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

安全群组不得允许对具有高风险的端口进行不受限制的访问

  • 实时扫描:否

Restricted Ssh

API 中的类别名称:RESTRICTED_SSH

发现结果说明

安全群组可对传入和传出 AWS 资源的网络流量进行有状态过滤。

CIS 建议任何安全群组都不允许对端口 22 进行不受限制的入站流量访问。移除与远程控制台服务(如 SSH)的不受限制的连接可降低服务器面临的风险。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

安全群组不得允许来自 0.0.0.0/0 的入站流量流向端口 22

  • 实时扫描:否

Rotation Customer Created Cmks Enabled

API 中的类别名称:ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

发现结果说明

检查是否为每个密钥启用了自动密钥轮替,并与客户创建的 AWS KMS 密钥的密钥 ID 相匹配。如果资源的 AWS Config recorder 角色没有 kms:DescribeKey 权限,则该规则为 NON_COMPLIANT。

价格层级企业版

修正此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

确保已为客户创建的 CMK 启用轮替

  • 实时扫描:否

Rotation Customer Created Symmetric Cmks Enabled

API 中的类别名称:ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

发现结果说明

借助 AWS Key Management Service (KMS),客户可以轮替后备密钥,后备密钥是指存储在 KMS 中的密钥材料,与客户创建的客户主密钥 (CMK) 的密钥 ID 相关联。它是用于执行加密操作(如加密和解密)的后备密钥。自动密钥轮替目前会保留之前的所有后备密钥,因此可以透明地对已加密数据进行解密。建议为对称密钥启用 CMK 密钥轮替。无法为任何非对称 CMK 启用密钥轮替。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.8
  • CIS Controls 8.0: 3.11

确保已为客户创建的对称 CMK 启用轮替

  • 实时扫描:否

Routing Tables Vpc Peering Are Least Access

API 中的类别名称:ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

发现结果说明

检查 VPC 对等互连的路由表是否采用了最小特权原则进行配置。

价格层级企业版

修正此发现结果

合规性标准

此发现类别未映射到任何合规性标准控件。

确保 VPC 对等互连的路由表拥有“最小权限”

  • 实时扫描:否

S3 Account Level Public Access Blocks

API 中的类别名称:S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

发现结果说明

Amazon S3 禁止公开访问提供了接入点、存储分区和账号设置,可帮助您管理对 Amazon S3 资源的公开访问权限。默认情况下,新的存储分区、接入点和对象不允许公开访问。

价格层级企业版

修正此发现结果

合规性标准

此发现结果类别未映射到任何合规标准控制措施。

确认已在账号级别配置所需的 S3 公开访问屏蔽设置

  • 实时扫描:否

S3 Buckets Configured Block Public Access Bucket And Account Settings

API 中的类别名称:S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

发现结果说明

Amazon S3 提供 Block public access (bucket settings)Block public access (account settings) 来帮助您管理对 Amazon S3 资源的公开访问权限。默认情况下,S3 存储分区和对象在创建时停用了公开访问权限。但是,具有足够 S3 权限的 AWS IAM 主账号可以在存储桶或对象级层启用公开访问权限。启用后,Block public access (bucket settings) 可防止单个存储桶及其包含的对象变为可公开访问。同样,Block public access (account settings) 会阻止整个账号中的所有存储分区和包含的对象可公开访问。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.4
  • CIS Controls 8.0: 3.3

确保 S3 存储分区配置了 Block public access (bucket settings)

  • 实时扫描:否

S3 Bucket Access Logging Enabled Cloudtrail S3 Bucket

API 中的类别名称:S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

发现结果说明

S3 存储桶访问日志记录会生成一条日志,其中包含针对 S3 存储桶发出的每个请求的访问记录。访问日志记录包含有关请求的详细信息,例如请求类型、请求中指定的资源以及处理请求的时间和日期。建议对 CloudTrail S3 存储桶启用存储桶访问日志记录功能。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-6, AU-12, AU-2
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1
  • ISO-27001 v2022: A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • SOC2 v2017: CC6.1.1, CC6.1.10, CC6.1.11, CC6.1.12, CC6.1.13, CC6.1.2, CC6.1.3, CC6.1.4, CC6.1.5, CC6.1.6, CC6.1.7, CC6.1.8, CC6.1.9
  • HIPAA: 164.312(b), 164.312(c)(1), 164.312(c)(2)
  • CIS AWS Foundation 2.0.0: 3.6
  • CIS Controls 8.0: 3.14, 8.2

确保已针对 CloudTrail S3 存储桶启用 S3 存储桶访问日志记录功能

  • 实时扫描:否

S3 Bucket Logging Enabled

API 中的类别名称:S3_BUCKET_LOGGING_ENABLED

发现结果说明

AWS S3 服务器访问日志记录功能会记录对存储分区的访问请求,这对安全审核非常有用。默认情况下,系统不会为 S3 存储分区启用服务器访问日志记录。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

检查是否对所有 S3 存储桶启用了日志记录

  • 实时扫描:否

S3 Bucket Policy Set Deny Http Requests

API 中的类别名称:S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

发现结果说明

在 Amazon S3 存储桶级别,您可以通过存储桶政策配置权限,使对象只能通过 HTTPS 访问。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.1.1
  • CIS Controls 8.0: 3.10

确保将 S3 存储桶政策设置为拒绝 HTTP 请求

  • 实时扫描:否

S3 Bucket Replication Enabled

API 中的类别名称:S3_BUCKET_REPLICATION_ENABLED

发现结果说明

此控件会检查 Amazon S3 存储桶是否已启用跨区域复制。如果存储桶未启用跨区域复制,或者同时启用了同区域复制,则控制操作会失败。

复制是指跨相同或不同 AWS 区域中的存储分区自动异步复制对象。复制功能会将新创建的对象和对象更新从源存储桶复制到一个或多个目标存储桶。AWS 最佳实践建议对属于同一 AWS 账号的源存储分区和目标存储分区执行复制操作。除了可用性,您还应考虑其他系统安全强化设置。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-13(5)

检查是否对 S3 存储桶启用了跨区域复制

  • 实时扫描:否

S3 Bucket Server Side Encryption Enabled

API 中的类别名称:S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

发现结果说明

这将检查您的 S3 存储桶是否启用了 Amazon S3 默认加密,或者 S3 存储桶政策是否明确拒绝了未使用服务器端加密的 put-object 请求。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2

确保所有 S3 存储桶都采用了静态加密

  • 实时扫描:否

S3 Bucket Versioning Enabled

API 中的类别名称:S3_BUCKET_VERSIONING_ENABLED

发现结果说明

Amazon S3 是一种将对象的多个变体保存在同一存储桶中的方法,可帮助您更轻松地从意外的用户操作和应用故障中恢复。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-13(5)
  • PCI-DSS v3.2.1: 10.5.5

检查是否对所有 S3 存储桶启用了版本控制

  • 实时扫描:否

S3 Default Encryption Kms

API 中的类别名称:S3_DEFAULT_ENCRYPTION_KMS

发现结果说明

检查是否使用 AWS Key Management Service (AWS KMS) 对 Amazon S3 存储分区进行了加密

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-7(6)

检查是否使用 KMS 对所有存储桶进行了加密

  • 实时扫描:否

Sagemaker Notebook Instance Kms Key Configured

API 中的类别名称:SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

发现结果说明

检查是否为 Amazon SageMaker 笔记本实例配置了 AWS Key Management Service (AWS KMS) 密钥。如果未为 SageMaker 笔记本实例指定“KmsKeyId”,则规则为 NON_COMPLIANT。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

检查是否所有 SageMaker 笔记本实例都配置为使用 KMS

  • 实时扫描:否

Sagemaker Notebook No Direct Internet Access

API 中的类别名称:SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

发现结果说明

检查是否已停用 SageMaker 笔记本实例的直接互联网访问权限。为此,它会检查笔记本实例的 DirectInternetAccess 字段是否已停用。

如果您在没有 VPC 的情况下配置 SageMaker 实例,则系统会默认在您的实例上启用直接互联网访问权限。您应该使用 VPC 配置实例,并将默认设置更改为“停用 - 通过 VPC 访问互联网”。

如需通过笔记本电脑训练或托管模型,您需要连接到互联网。如需启用互联网访问权限,请确保您的 VPC 具有 NAT 网关,并且您的安全群组允许出站连接。如需详细了解如何将笔记本实例连接到 VPC 中的资源,请参阅 Amazon SageMaker 开发者指南中的“将笔记本实例连接到 VPC 中的资源”。

您还应确保只有获得授权的用户才能访问您的 SageMaker 配置。限制用户的拥有修改 SageMaker 设置和资源所需的 IAM 权限。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

检查是否禁止所有 Amazon SageMaker 笔记本实例直接访问互联网

  • 实时扫描:否

Secretsmanager Rotation Enabled Check

API 中的类别名称:SECRETSMANAGER_ROTATION_ENABLED_CHECK

发现结果说明

检查存储在 AWS Secrets Manager 中的 Secret 是否配置了自动轮替。如果密钥未配置自动轮替,则此控制会失败。如果您为 maximumAllowedRotationFrequency 参数提供了自定义值,则只有在密钥在指定的时间范围内自动轮替的情况下,控制才会通过。

Secret Manager 可帮助您改善组织的安全状况。Secret 包括数据库凭据、密码和第三方 API 密钥。您可以使用 Secret Manager 集中存储 Secret、自动加密 Secret、控制对 Secret 的访问权限,以及安全自动地轮替 Secret。

Secrets Manager 可以轮替 Secret。您可以使用轮替将长期 Secret 替换为短期 Secret。轮替密钥可限制未经授权的用户使用已泄露的密钥。因此,您应该经常轮替您的密钥。如需详细了解轮替,请参阅“AWS Secrets Manager 用户指南”中的“轮替 AWS Secrets Manager Secret”。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4

检查是否对所有 AWS Secrets Manager 密钥都启用了轮替

  • 实时扫描:否

Sns Encrypted Kms

API 中的类别名称:SNS_ENCRYPTED_KMS

发现结果说明

检查是否使用 AWS KMS 对 SNS 主题进行了静态加密。如果 SNS 主题不使用 KMS 密钥进行服务器端加密 (SSE),控制将失败。

对静态数据进行加密可降低未向 AWS 进行身份验证的用户访问存储在磁盘上的数据的风险。它还添加了另一组访问权限控制,限制未经授权的用户访问数据。例如,必须有 API 权限才能对数据进行解密,然后才能读取数据。SNS 主题应进行静态加密,以增加一层安全保障。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-7(6)

检查是否所有 SNS 主题都使用 KMS 进行了加密

  • 实时扫描:否

Vpc Default Security Group Closed

API 中的类别名称:VPC_DEFAULT_SECURITY_GROUP_CLOSED

发现结果说明

此控制机制会检查 VPC 的默认安全群组是允许入站还是出站流量。如果安全群组允许入站或出站流量,该控件将失败。

默认安全群组的规则允许来自分配给同一安全群组的网络接口(及其关联实例)的所有传出和传入流量。我们建议您不要使用默认安全群组。由于默认安全群组无法删除,因此您应该更改默认安全群组规则设置,以限制入站和出站流量。如果您不小心为 EC2 实例等资源配置了默认安全群组,这可以防止意外流量。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

确保每个 VPC 的默认安全群组对所有流量进行限制

  • 实时扫描:否

Vpc Flow Logging Enabled All Vpcs

API 中的类别名称:VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

发现结果说明

VPC 流日志是一项功能,可让您捕获进出 VPC 网络接口的 IP 流量的相关信息。创建流日志后,您可以在 Amazon CloudWatch Logs 中查看和检索其数据。建议为数据包“拒绝”启用 VPC 流日志。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-4, SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS AWS Foundation 2.0.0: 3.9
  • CIS Controls 8.0: 13.6, 8.2

确保已在所有 VPC 中启用 VPC 流日志记录

  • 实时扫描:否

Vpc Sg Open Only To Authorized Ports

API 中的类别名称:VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

发现结果说明

此控制机制会检查 Amazon EC2 安全群组是否允许来自未获授权端口的不受限制的传入流量。控制状态按如下方式确定:

如果您为已获授权的 TcpPorts 使用默认值,则当安全群组允许端口 80 和 443 以外的任何端口不受限制的传入流量时,该控件会失败。

如果您为已获授权的 TcpPorts 或 authorizedUdpPorts 提供自定义值,则当安全群组允许来自任何不公开端口的不受限制的传入流量时,该控件将失败。

如果不使用任何参数,则对于任何设有不受限入站流量规则的安全群组,该控件都将失败。

安全组对流向 AWS 的入站和出站网络流量进行有状态过滤。安全群组规则应遵循最小权限访问的主账号。不受限制的访问权限(带有 /0 后缀的 IP 地址)会增加黑客攻击、拒绝服务攻击和数据丢失等恶意活动的几率。除非明确允许某个端口,否则该端口应拒绝不受限制的访问。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

检查任何 VPC 的具有 0.0.0.0/0 的任何安全群组是否仅允许特定的入站 TCP/UDP 流量

  • 实时扫描:否

Both VPC VPN Tunnels Up

API 中的类别名称:VPC_VPN_2_TUNNELS_UP

发现结果说明

VPN 隧道是一种加密链路,通过 AWS 站点到站点 VPN 连接,数据可以从客户网络传入或传出 AWS。每个 VPN 连接都包含两个 VPN 隧道,您可以同时使用这两个隧道来实现高可用性。确保两个 VPN 隧道都处于 VPN 连接状态对于确认 AWS VPC 与远程网络之间的连接是否安全且具有高可用性至关重要。

此控件会检查 AWS 站点到站点 VPN 提供的两个 VPN 隧道是否都处于运行状态。如果一个或两个隧道都处于 DOWN 状态,则控制失败。

价格层级企业版

修正此发现结果

合规性标准

  • NIST 800-53 R5: SI-13(5)

确认 AWS 站点到站点 VPN 提供的两个 AWS VPN 隧道都处于运行状态

  • 实时扫描:否

Web Security Scanner 发现结果

Web Security Scanner 自定义扫描和代管式扫描可识别以下发现结果类型。在 标准层级,Web Security Scanner 支持对 不受防火墙保护的网址和 IP。

类别 发现结果说明 OWASP 2017 年排名前 10 OWASP 2021 年排名前 10

Accessible Git repository

API 中的类别名称:ACCESSIBLE_GIT_REPOSITORY

Git 代码库被公开。如需解决此发现结果,请移除非有意为之 对 GIT 代码库的公开访问权限

价格层级Standard

修正此发现结果

A5 A01

Accessible SVN repository

API 中的类别名称:ACCESSIBLE_SVN_REPOSITORY

SVN 代码库会公开。如需解决此发现结果,请移除公开库 意外访问 SVN 代码库。

价格层级Standard

修正此发现结果

A5 A01

Cacheable password input

API 中的类别名称:CACHEABLE_PASSWORD_INPUT

在 Web 应用中输入的密码可改为缓存在常规浏览器缓存中 安全的密码存储空间

价格层级Premium

修正此发现结果

A3 A04

Clear text password

API 中的类别名称:CLEAR_TEXT_PASSWORD

密码以明文形式传输,可以被拦截。要解决此发现结果,请对通过网络传输的密码进行加密。

价格层级Standard

修正此发现结果

A3 A02

Insecure allow origin ends with validation

API 中的类别名称:INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

跨网站 HTTP 或 HTTPS 端点仅验证 Origin 的后缀 请求标头,然后再将其体现在 Access-Control-Allow-Origin 中 响应标头。如需解决此问题,请验证预期的根网域是否属于 Origin 标头值,然后再将其反映在 Access-Control-Allow-Origin 响应标头。对于子网域通配符,请在根域名前面附加英文句点,例如 .endsWith(".google.com")

价格层级Premium

修正此发现结果

A5 A01

Insecure allow origin starts with validation

API 中的类别名称:INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

跨站点 HTTP 或 HTTPS 端点仅验证 Origin 请求标头的前缀,然后将其呈现在 Access-Control-Allow-Origin 响应标头内。如需解决此发现结果,请验证预期域名是否完全匹配 Origin 标头值,然后再将其反映在 Access-Control-Allow-Origin 响应标头,例如 .equals(".google.com")

价格层级Premium

修正此发现结果

A5 A01

Invalid content type

API 中的类别名称:INVALID_CONTENT_TYPE

加载的资源与响应的 Content-Type HTTP 标头不匹配。 接收者 以解决此发现结果,请将 X-Content-Type-Options HTTP 标头设置为正确的 值。

价格层级Standard

修正此发现结果

A6 A05

Invalid header

API 中的类别名称:INVALID_HEADER

安全标头存在语法错误,因此被浏览器忽略。为了解决这一发现结果, 正确设置 HTTP 安全标头。

价格层级Standard

修正此发现结果

A6 A05

Mismatching security header values

API 中的类别名称:MISMATCHING_SECURITY_HEADER_VALUES

安全标头具有重复、不匹配的值,这会导致未定义的行为。 如要解决此问题,请正确设置 HTTP 安全标头。

价格层级Standard

修正此发现结果

A6 A05

Misspelled security header name

API 中的类别名称:MISSPELLED_SECURITY_HEADER_NAME

安全标头拼写错误并且被忽略。如需解决此发现结果,请将 HTTP 安全标头。

价格层级Standard

修正此发现结果

A6 A05

Mixed content

API 中的类别名称:MIXED_CONTENT

资源是通过 HTTPS 页面上的 HTTP 提供的。要解决此问题,请确保 确保所有资源都通过 HTTPS 提供

价格层级标准

修正此发现结果

A6 A05

Outdated library

API 中的类别名称:OUTDATED_LIBRARY

检测到有已知漏洞的库。如需解决此发现结果,请升级 更新到较新版本。

价格层级Standard

修正此发现结果

A9 A06

Server side request forgery

API 中的类别名称:SERVER_SIDE_REQUEST_FORGERY

检测到服务器端请求伪造 (SSRF) 漏洞。为了解决这一发现结果, 使用许可名单来限制 Web 应用可进行的网域和 IP 地址 请求。

价格层级Standard

修正此发现结果

不适用 A10

Session ID leak

API 中的类别名称:SESSION_ID_LEAK

在发出跨网域请求时,Web 应用会包含用户的会话 标识符。Referer这个漏洞会导致 接收域对会话标识符的访问权限,该标识符可用于模拟或 唯一标识用户。

价格层级Premium

修正此发现结果

A2 A07

SQL injection

API 中的类别名称:SQL_INJECTION

检测到潜在的 SQL 注入漏洞。如需解决此发现结果,请使用参数化查询以防止用户输入影响 SQL 查询的结构。

价格层级付费方案

修正此发现结果

A1 A03

Struts insecure deserialization

API 中的类别名称:STRUTS_INSECURE_DESERIALIZATION

使用存在漏洞的 Apache Struts 版本 。如需解决此发现结果,请将 Apache Struts 升级到最新版本。

价格层级Premium

修正此发现结果

A8 A08

XSS

API 中的类别名称:XSS

此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。要解决此发现结果,请验证和转义不受信任的用户提供的数据。

价格层级Standard

修正此发现结果

A7 A03

XSS angular callback

API 中的类别名称:XSS_ANGULAR_CALLBACK

用户提供的字符串没有转义,并且 AngularJS 可以对其进行插入。解决方法: 查找、验证和转义由 Angular 处理的不可信的用户提供的数据 框架。

价格层级Standard

修正此发现结果

A7 A03

XSS error

API 中的类别名称:XSS_ERROR

此 Web 应用中的字段容易受到跨站脚本攻击。接收者 解决此发现结果,验证并转义用户提供的不可信数据。

价格层级Standard

修正此发现结果

A7 A03

XXE reflected file leakage

API 中的类别名称:XXE_REFLECTED_FILE_LEAKAGE

检测到 XML 外部实体 (XXE) 漏洞。这个漏洞可能会导致 来泄露主机上的文件。如需解决此发现结果,请配置您的 XML 来禁止外部实体。

价格层级Premium

修正此发现结果

A4 A05

Prototype pollution

API 中的类别名称:PROTOTYPE_POLLUTION

应用容易受到原型污染。这个漏洞出现在 Object.prototype 对象的属性可以分配给 攻击者可控制的值在这些原型上植入的值普遍被假定为 转换成跨站脚本攻击或类似的客户端漏洞, 逻辑 bug。

价格层级Standard

修正此发现结果

A1 A03

IAM Recommender 发现结果

下表列出了由 Google 提供的 IAM Recommender

每个 IAM Recommender 发现结果包含要移除或 替换包含来自主账号的过多权限的角色 Google Cloud 环境。

IAM Recommender 生成的发现结果分别 Google Cloud 控制台中显示的 受影响项目的 IAM 页面。 文件夹或组织

如需详细了解如何将 IAM Recommender 与 Security Command Center,请参阅 安全来源

检测器 摘要

IAM role has excessive permissions

API 中的类别名称:IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

发现结果说明:IAM Recommender 检测到一个服务账号,其包含会向用户账号授予过多权限的一个或多个 IAM 角色。

价格层级Premium

支持的素材资源

修正此发现结果

按照以下操作,使用 IAM Recommender 对此发现结果应用建议的修复 具体步骤:

  1. 在 Google Cloud 控制台中的发现结果详情的后续步骤部分中, 复制 IAM 页面的网址并将其粘贴到浏览器地址中 栏,然后按 Enter 键。系统会加载 IAM 页面。
  2. IAM 页面右侧顶部附近,点击在表格中查看建议。建议会显示在表格中。
  3. 安全性数据分析列中,点击与过多权限相关的任何建议。建议详细信息面板随即会打开。
  4. 查看您可以采取的措施的建议,以解决问题。
  5. 点击应用

问题解决后,IAM Recommender 会将发现结果的状态更新为 INACTIVE

Service agent role replaced with basic role

API 中的类别名称:SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

发现结果说明:IAM Recommender 检测到授予服务代理的原始默认 IAM 角色被替换为基本 IAM 角色之一:OwnerEditorViewer。基本角色包括 过于宽松的旧版角色,不应授予服务代理。

价格层级Premium

支持的素材资源

修正此发现结果

按照以下操作,使用 IAM Recommender 对此发现结果应用建议的修复 具体步骤:

  1. 在 Google Cloud 控制台中的发现结果详情的后续步骤部分中, 复制 IAM 页面的网址并将其粘贴到浏览器地址栏中 然后按 Enter 键。系统会加载 IAM 页面。
  2. 在右侧 IAM 页面顶部附近,点击 在表格中查看建议。建议会显示在表格中。
  3. 安全性数据分析列中,点击与多余的权限相关的任何权限 权限。建议详细信息面板随即会打开。
  4. 查看过多的权限。
  5. 点击应用

问题解决后,IAM Recommender 会将发现结果的状态更新为 INACTIVE

Service agent granted basic role

API 中的类别名称:SERVICE_AGENT_GRANTED_BASIC_ROLE

发现结果说明: IAM Recommender 检测到已授予服务代理的 IAM 基本 IAM 角色:OwnerEditorViewer。 基本角色是过于宽松的旧版角色,不应授予服务 。

价格层级Premium

支持的素材资源

修正此发现结果

按照以下操作,使用 IAM Recommender 对此发现结果应用建议的修复 具体步骤:

  1. 在 Google Cloud 控制台中的发现结果详情的后续步骤部分中, 复制 IAM 页面的网址并将其粘贴到浏览器地址栏中 然后按 Enter 键。系统会加载 IAM 页面。
  2. 在右侧 IAM 页面顶部附近,点击 在表格中查看建议。建议会显示在表格中。
  3. 安全性数据分析列中,点击与多余的权限相关的任何权限 权限。建议详细信息面板随即会打开。
  4. 查看过多的权限。
  5. 点击应用

问题解决后,IAM Recommender 会将发现结果的状态更新为 INACTIVE

Unused IAM role

API 中的类别名称:UNUSED_IAM_ROLE

发现结果说明:IAM Recommender 检测到具有 过去 90 天内未使用的 IAM 角色。

价格层级Premium

支持的资源

修正此发现结果

按照以下操作,使用 IAM Recommender 对此发现结果应用建议的修复 具体步骤:

  1. 在 Google Cloud 控制台中的发现结果详情的后续步骤部分中, 复制 IAM 页面的网址并将其粘贴到浏览器地址栏中 然后按 Enter 键。系统会加载 IAM 页面。
  2. 在右侧 IAM 页面顶部附近,点击 在表格中查看建议。建议会显示在表格中。
  3. 安全性数据分析列中,点击与多余的权限相关的任何权限 权限。建议详细信息面板随即会打开。
  4. 查看过多的权限。
  5. 点击应用

问题解决后,IAM Recommender 会将发现结果的状态更新为 INACTIVE

CIEM 发现结果

下表列出了 Security Command Center 身份和访问权限发现结果 (由 Cloud Infrastructure Entitlement Management (CIEM) 生成)。

CIEM 发现结果包含有关移除或替换与 AWS 环境中的假定身份、用户或群组关联的高度宽松的 AWS IAM 政策的具体建议。

如需详细了解 CIEM,请参阅 云基础架构授权管理概览

检测器 摘要

Assumed identity has excessive permissions

API 中的类别名称:ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS

发现结果说明:在您的 AWS 环境中,CIEM 检测到 的 IAM 角色有一项或多项高度宽松的政策违反了 最小权限原则并增加安全风险。

价格层级企业版

修正此发现结果

根据发现结果,使用 AWS 管理控制台执行以下某项操作 修复任务:

  • 请移除高度宽松的政策。
  • 创建一项具有用户、群组或角色所需的最低权限的新政策。 然后,将新政策附加到用户、群组或角色,并移除高度宽松的政策。

请参阅发现结果的详细信息,了解具体修复步骤。

Group has excessive permissions

API 中的类别名称:GROUP_HAS_EXCESSIVE_PERMISSIONS

发现结果说明:在您的 AWS 环境中,CIEM 检测到 IAM 该组织具有一项或多项高度宽松的政策,违反了最低限度原则 并增加安全风险

价格层级企业版

修正此发现结果

根据发现结果,使用 AWS 管理控制台执行以下某项操作 修复任务:

  • 请移除高度宽松的政策。
  • 创建一项具有用户、群组或角色所需的最低权限的新政策。 然后,将新政策附加到用户、群组或角色,并移除高度宽松的政策。

请参阅发现结果的详细信息,了解具体修复步骤。

User has excessive permissions

API 中的类别名称:USER_HAS_EXCESSIVE_PERMISSIONS

发现结果说明:在您的 AWS 环境中,CIEM 检测到 IAM 有一项或多项高度宽松的政策违反了最低限度 并增加安全风险

价格层级企业版

修正此发现结果

根据发现结果,使用 AWS 管理控制台执行以下某项操作 修复任务:

  • 请移除高度宽松的政策。
  • 创建一项具有用户、群组或角色所需的最低权限的新政策。 然后,将新政策附加到用户、群组或角色,并移除高度宽松的政策。

请参阅发现结果的详细信息,了解具体修复步骤。

安全状况服务发现结果

下表列出了由 Google 提供的 该 security Posture 服务

每个安全状况服务发现结果都会标识一个偏移实例 从您定义的安全状况开始

正在查找 摘要

SHA Canned Module Drifted

API 中的类别名称:SECURITY_POSTURE_DETECTOR_DRIFT

发现结果说明:安全状况服务检测到 状况更新之外发生的 Security Health Analytics 检测器。

价格层级付费方案

修正此发现结果

此发现结果需要您接受更改或还原更改,以便 检测器设置与您的环境是否一致。您可以通过以下两种方式 解决此发现结果:您可以更新 Security Health Analytics 检测器,也可以更新 安全状况和状况部署

如需还原更改,请在 Google Cloud 控制台中更新 Security Health Analytics 检测器。 有关说明,请参阅 启用和停用检测器

如需接受更改,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。有关说明,请参阅 更新安全状况部署

SHA Custom Module Drifted

API 中的类别名称:SECURITY_POSTURE_DETECTOR_DRIFT

发现结果说明:安全状况服务检测到 Security Health Analytics 自定义模块在安全状况更新之外发生了更改。

价格层级Premium

修正此发现结果

此发现结果需要您接受更改或还原更改, 您的安全状况和环境中的模块设置一致。您可以通过以下两种方式解决此问题:更新 Security Health Analytics 自定义模块,或更新状态和状态部署。

如需还原更改,请更新 Google Cloud 控制台。有关说明,请参阅更新自定义模块

如需接受更改,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。如需了解相关说明,请参阅更新态势部署

SHA Custom Module Deleted

API 中的类别名称:SECURITY_POSTURE_DETECTOR_DELETE

发现结果说明:安全状况服务检测到 已删除 Security Health Analytics 自定义模块。此删除发生在安全状况之外 更新。

价格层级Premium

修正此发现结果

此发现结果需要您接受更改或还原更改, 您的安全状况和环境中的模块设置一致。您可以通过以下两种方式解决此问题:更新 Security Health Analytics 自定义模块,或更新状态和状态部署。

如需还原更改,请在 Google Cloud 控制台中更新 Security Health Analytics 自定义模块。有关说明,请参阅 更新自定义模块

如需接受更改,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。有关说明,请参阅 更新安全状况部署

Org Policy Canned Constraint Drifted

API 中的类别名称:SECURITY_POSTURE_POLICY_DRIFT

发现结果说明:安全状况服务检测到 非安全状况更新发生的组织政策。

价格层级Premium

修正此发现结果

此发现结果需要您接受更改或还原更改,以便 您的安全状况和环境中的组织政策定义一致。您可以通过以下两种方式解决此问题:更新组织政策,或更新状态和状态部署。

如需还原更改,请在 Google Cloud 控制台中更新组织政策。对于 说明,请参阅 创建和修改政策

如需接受更改,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。有关说明,请参阅 更新安全状况部署

Org Policy Canned Constraint Deleted

API 中的类别名称:SECURITY_POSTURE_POLICY_DELETE

发现结果说明:安全状况服务检测到 组织政策已删除。此删除操作发生在安全状况更新之外。

价格层级付费方案

修正此发现结果

此发现结果需要您接受更改或还原更改,以便 您的安全状况和环境中的组织政策定义一致。您可以通过以下两种方式解决此问题:更新组织政策,或更新状态和状态部署。

如需还原更改,请在 Google Cloud 控制台中更新组织政策。如需了解相关说明,请参阅创建和修改政策

如需接受更改,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。如需了解相关说明,请参阅更新态势部署

Org Policy Custom Constraint Drifted

API 中的类别名称:SECURITY_POSTURE_POLICY_DRIFT

发现结果说明:安全状况服务检测到 自定义组织政策。

价格层级Premium

修正此发现结果

此发现结果需要您接受更改或还原更改, 您的安全状况和环境中的组织政策定义一致。你有两个 解决此发现结果的方法:您可以更新自定义组织政策,也可以 更新安全状况和状况部署。

要还原更改,请在 Google Cloud 控制台。有关说明,请参阅更新自定义限制条件

如需接受更改,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。有关说明,请参阅 更新安全状况部署

Org Policy Custom Constraint Deleted

API 中的类别名称:SECURITY_POSTURE_POLICY_DELETE

发现结果说明:安全状况服务检测到自定义 组织政策已删除。此删除操作发生在安全状况更新之外。

价格层级Premium

修正此发现结果

此发现结果需要您接受更改或还原更改, 您的安全状况和环境中的组织政策定义一致。你有两个 解决此发现结果的方法:您可以更新自定义组织政策,也可以 更新安全状况和状况部署。

要还原更改,请在 Google Cloud 控制台。有关说明,请参阅 更新自定义限制条件

如需接受更改,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订 ID 部署更新后的状态。有关说明,请参阅 更新安全状况部署

下表列出了安全状况发现结果, 违反您定义的安全状况的资源实例。

正在查找 摘要

Disable VPC External IPv6

API 中的类别名称:DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

发现结果说明:安全状况服务检测到 子网启用了外部 IPv6 地址。

价格层级Premium

修正此发现结果

您可以通过两种方式解决此发现结果:您可以删除违规资源,或 您可以更新安全状况并重新部署。

如需删除资源,请完成以下步骤:

  1. 打开发现结果摘要。
  2. 查看“受影响的资源”部分,找到违反态势政策的资源完整名称。
  3. 点击资源全名以打开其详细信息。
  4. 删除资源。

如果您想让资源保持相同的配置,则需要更新状态。如需更新安全状况,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。有关说明,请参阅 更新安全状况部署

Disable VPC Internal IPv6

API 中的类别名称:DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

发现结果说明:安全状况服务检测到 子网启用了内部 IPv6 地址。

价格层级Premium

修正此发现结果

您可以通过两种方式解决此发现结果:您可以删除违规资源,或 您可以更新安全状况并重新部署。

如需删除资源,请完成以下步骤:

  1. 打开发现结果摘要。
  2. 查看“受影响的资源”部分,找到违反态势政策的资源完整名称。
  3. 点击资源全名以打开其详细信息。
  4. 删除资源。

如果您想让资源保持相同的配置,则需要更新状态。如需更新安全状况,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。有关说明,请参阅 更新安全状况部署

Require OS Login

API 中的类别名称:REQUIRE_OS_LOGIN_ORG_POLICY

发现结果说明:安全状况服务检测到 OS Login 已停用

价格层级Premium

修正此发现结果

您可以通过以下两种方式解决此发现结果:更新违规资源,或 您可以更新安全状况并重新部署。

如需更新资源,请完成以下步骤:

  1. 打开发现结果摘要。
  2. 查看“受影响的资源”部分,找到违反态势政策的资源完整名称。
  3. 点击资源全名以打开其详细信息。
  4. 修改资源。找到“元数据”部分,然后将键为 enable-oslogin 的条目更改为 TRUE
  5. 保存资源。

如果您想让资源保持相同的配置,则需要更新状态。如需更新状态,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。如需了解相关说明,请参阅更新状态中的政策定义
  3. 使用新的修订 ID 部署更新后的状态。有关说明,请参阅 更新安全状况部署

Restrict Authorized Networks

API 中的类别名称:RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

发现结果说明:安全状况服务检测到 将已获授权的网络添加到 SQL 实例。

价格层级Premium

修正此发现结果

此发现结果要求您解决违规问题或更新状况。你有两个 用于解决此发现结果的方法:您可以更新违规资源,也可以更新 然后重新部署该状况。

如需更新资源,请完成以下步骤:

  1. 打开发现结果摘要。
  2. 查看“受影响的资源”部分,找到违反态势政策的资源完整名称。
  3. 点击资源全名以打开其详细信息。
  4. 修改资源。在“连接”部分下找到“授权网络”部分,然后 删除其所有条目
  5. 保存资源。

如果您想让资源保持相同的配置,则需要更新状态。如需更新状态,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。有关说明,请参阅 更新安全状况部署

Require VPC Connector

API 中的类别名称:REQUIRE_VPC_CONNECTOR_ORG_POLICY

发现结果说明:安全状况服务检测到 Cloud Run 函数实例未启用 VPC 连接器。

价格层级Premium

修正此发现结果

您可以通过以下两种方式解决此发现结果:更新违规资源,或 您可以更新安全状况并重新部署。

如需更新资源,请完成以下步骤:

  1. 打开发现结果摘要。
  2. 查看“受影响的资源”部分,找到违反态势政策的资源完整名称。
  3. 点击资源全名以打开其详细信息。
  4. 点击修改
  5. 点击连接标签页。
  6. 找到出站流量设置部分。在网络菜单中,选择一个 相应的 VPC 连接器。
  7. 点击下一步
  8. 点击部署

如果您希望让资源保持相同的配置,则需要更新 状态。如需更新状况,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。如需了解相关说明,请参阅更新状态中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。如需了解相关说明,请参阅更新态势部署

Disabled Serial Port Access

API 中的类别名称:DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

发现结果说明:安全状况服务检测到了 对虚拟机实例的端口访问权限

价格层级Premium

修正此发现结果

您可以通过以下两种方式解决此发现结果:更新违规资源,或 您可以更新安全状况并重新部署。

如需更新资源,请完成以下步骤:

  1. 打开发现结果摘要。
  2. 查看“受影响的资源”部分,找到违反态势政策的资源完整名称。
  3. 点击资源全名以打开其详细信息。
  4. 修改资源。找到“远程访问”部分,然后取消选中 允许连接到串行端口复选框。
  5. 保存资源。

如果您想让资源保持相同的配置,则需要更新状态。如需更新状态,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。有关说明,请参阅 更新安全状况部署

Skip Default Network Creation

API 中的类别名称:SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

发现结果说明:安全状况服务检测到默认 网络。

价格层级Premium

修正此发现结果

您可以通过两种方式解决此发现结果:您可以删除违规资源,或 您可以更新安全状况并重新部署。

如需删除资源,请完成以下步骤:

  1. 打开发现结果摘要。
  2. 查看“受影响的资源”部分,找到违反态势政策的资源完整名称。
  3. 点击资源全名以打开其详细信息。
  4. 删除资源。

如果您想让资源保持相同的配置,则需要更新状态。如需更新安全状况,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。有关说明,请参阅 更新安全状况部署

Allowed Ingress

API 中的类别名称:ALLOWED_INGRESS_ORG_POLICY

发现结果说明:安全状况服务检测到 Cloud Run 服务不符合指定的入站流量设置。

价格层级Premium

修正此发现结果

您可以通过以下两种方式解决此发现结果:更新违规资源,或 您可以更新安全状况并重新部署。

如需更新资源,请完成以下步骤:

  1. 打开发现结果摘要。
  2. 查看“受影响的资源”部分,找到违反态势政策的资源完整名称。
  3. 点击资源全名以打开其详细信息。
  4. 点击网络标签页。更改设置以匹配允许的入站流量 政策。
  5. 保存资源。

如果您想让资源保持相同的配置,则需要更新状态。如需更新状态,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。如需了解相关说明,请参阅更新态势部署

Uniform Bucket Level Access

API 中的类别名称:UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

发现结果说明:安全状况服务检测到 存储桶级访问权限很精细,而不是统一。

价格层级Premium

修正此发现结果

您可以通过以下两种方式解决此发现结果:更新违规资源,或 您可以更新安全状况并重新部署。

如需更新资源,请完成以下步骤:

  1. 打开发现结果摘要。
  2. 查看“受影响的资源”部分,找到违反态势政策的资源完整名称。
  3. 点击资源全名以打开其详细信息。
  4. 点击权限标签页。 在访问权限控制卡片中,点击 切换为统一
  5. 选择“统一”并保存。

如果您希望让资源保持相同的配置,则需要更新 状态。如需更新安全状况,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订版本 ID 部署更新后的安全状况。如需了解相关说明,请参阅更新态势部署

Allowed VPC Egress

API 中的类别名称:ALLOWED_VPC_EGRESS_ORG_POLICY

发现结果说明:安全状况服务检测到某个 Cloud Run 服务不符合指定的出站流量设置。

价格层级Premium

修正此发现结果

您可以通过以下两种方式解决此发现结果:更新违规资源,或 您可以更新安全状况并重新部署。

如需更新资源,请完成以下步骤:

  1. 打开发现结果摘要。
  2. 查看“受影响的资源”部分,找到违反态势政策的资源完整名称。
  3. 点击资源全名以打开其详细信息。
  4. 点击修改和部署新修订版本,然后点击网络标签页。 您可在以下位置更改流量路由设置: 连接到 VPC 以获取出站流量部分,以匹配允许的出站流量 政策。
  5. 部署资源。

如果您希望让资源保持相同的配置,则需要更新 状态。如需更新安全状况,请完成以下步骤:

  1. 使用该更改更新 posture.yaml 文件。
  2. 运行 gcloud scc postures update 命令。有关说明,请参阅 更新安全状况中的政策定义
  3. 使用新的修订 ID 部署更新后的状态。有关说明,请参阅 更新安全状况部署

虚拟机管理器

虚拟机管理器是一套工具,可用于管理在 Compute Engine 上运行 Windows 和 Linux 的大型虚拟机舰队的操作系统。

如果您通过以下命令启用虚拟机管理器: Security Command Center 高级方案 组织级别 虚拟机管理器会根据其漏洞报告写入发现结果, Security Command Center这些报告可识别虚拟机上安装的操作系统中的漏洞,包括常见漏洞和披露 (CVE)

搭配使用虚拟机管理器和 项目级激活数 使用 Security Command Center 高级方案,请在 父级组织的权限。

Security Command Center 标准方案不提供漏洞报告。

发现结果可以简化使用虚拟机管理器的补丁程序合规性功能(预览版)的过程。借助这项功能 组织级别的补丁管理 所有项目的数据。

通过以下方式接收的漏洞发现结果的严重程度: 虚拟机管理器始终为 CRITICALHIGH

虚拟机管理器发现结果

此类漏洞均与受支持的 Compute Engine 虚拟机中已安装的操作系统软件包相关。

检测器 摘要 资源扫描设置

OS vulnerability

API 中的类别名称:OS_VULNERABILITY

发现说明:VM 管理器在 Compute Engine 虚拟机的安装操作系统 (OS) 软件包中检测到漏洞。

价格层级Premium

支持的素材资源

compute.googleapis.com/Instance

修正此发现结果

虚拟机管理器的漏洞报告详细介绍 Compute Engine 虚拟机已安装的操作系统软件包中的漏洞,包括常见漏洞和披露 (CVE)

如需查看受支持操作系统的完整列表,请参阅 操作系统详细信息

检测到漏洞后,Security Command Center 很快就会显示发现结果。 系统会按以下方式在虚拟机管理器中生成漏洞报告:

  • 在虚拟机的操作系统中安装或更新软件包后,您应该会在进行更改后的两小时内,在 Security Command Center 中看到针对虚拟机的常见漏洞和披露 (CVE) 信息。
  • 当针对操作系统发布新的安全建议时,更新的 CVE 会 通常在操作系统供应商发布 建议。

在控制台中查看发现结果

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

    前往“发现结果”

  2. 选择您的 Google Cloud 项目或组织。
  3. 快速过滤条件部分的来源显示名称子部分中,选择 虚拟机管理器。发现结果查询结果会更新,以仅显示 来自此来源的发现结果。
  4. 如需查看特定发现结果的详细信息,请点击类别下的发现结果名称。通过 相应发现结果的详细信息面板随即会打开,并显示摘要标签页。
  5. 摘要标签页上,查看发现结果的详细信息,包括检测到的内容、受影响的资源,以及您可以采取的发现结果修复步骤(如果有)。
  6. 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。

Security Operations 控制台(预览版)

  1. 在 Security Operations 控制台中,转到发现结果页面。
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

  2. Aggregations 部分中,点击以展开 Source Display Name 小节。
  3. 选择 VM Manager。发现结果查询结果已更新为仅显示 来分析这个来源的发现结果
  4. 如需查看特定发现结果的详细信息,请点击类别下的发现结果名称。通过 相应发现结果的详细信息面板随即会打开,并显示摘要标签页。
  5. 摘要标签页上,查看发现结果的详细信息,包括检测到的内容、受影响的资源,以及您可以采取的发现结果修复步骤(如果有)。
  6. 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。

修复虚拟机管理器发现结果

OS_VULNERABILITY 发现结果表示 VM 管理器在 Compute Engine 虚拟机中安装的操作系统软件包中发现了漏洞。

如需修复此发现结果,请执行以下操作:

  1. 打开 OS vulnerability 发现结果并查看其 JSON 定义

  2. 复制 externalUri 字段的值。该值是 Compute Engine 虚拟机实例的操作系统信息页面, 安装了易受攻击的操作系统

  3. 基本信息中显示的操作系统应用所有适当的补丁 部分。如需了解如何部署补丁,请参阅创建修补作业

了解此发现结果类型的 支持的资源和扫描设置

忽略虚拟机管理器发现结果

您可能希望在以下位置隐藏部分或全部虚拟机管理器发现结果: Security Command Center。

您可以创建静默规则,并添加与您要隐藏的 VM Manager 发现结果对应的查询属性,以隐藏这些发现结果。

要使用 Google Cloud 控制台中,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

    前往“发现结果”

  2. 如有必要,请选择您的 Google Cloud 项目或组织。

  3. 点击忽略选项,然后选择创建忽略规则

  4. 输入忽略规则 ID。必须提供此值。

  5. 输入忽略规则说明,提供发现结果出现的原因 已静音。该值是可选的,但我们建议您使用。

  6. 通过选中父级资源来确认忽略规则的范围 值。

  7. 发现结果查询字段中,点击 添加过滤条件。或者,您也可以输入查询语句 。

    1. 选择过滤条件对话框中,选择 发现 >来源显示名称 >虚拟机管理器

    2. 点击应用

    3. 重复执行这些步骤,直到静音查询包含您要隐藏的所有属性。

    例如,如果您想在 虚拟机管理器漏洞发现结果,选择 漏洞 >CVE ID,然后选择需要 隐藏。

    发现结果查询类似于以下内容:

    忽略虚拟机管理器发现结果

  8. 点击预览匹配的发现结果

    表会显示与您的查询匹配的发现结果。

  9. 点击保存

敏感数据保护

本部分介绍敏感数据保护生成的漏洞发现结果、它们支持的合规性标准以及如何修复发现结果。

敏感数据保护还会将观察结果发送到 Security Command Center。如需详细了解观察结果和敏感数据保护,请参阅敏感数据保护

如需了解如何查看发现结果,请参阅 在 Google Cloud 控制台中查看敏感数据保护发现结果

Sensitive Data Protection 发现服务可帮助您确定您是否 存储未受保护的高度敏感数据。

类别 摘要

Public sensitive data

API 中的类别名称:

PUBLIC_SENSITIVE_DATA

发现结果说明:指定资源具有 高敏感度数据 互联网上的任何人都可以访问的文件

支持的素材资源

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 存储桶

补救措施

对于 Google Cloud 数据,请移除 allUsers 并 来自数据资产 IAM 政策的 allAuthenticatedUsers

对于 Amazon S3 数据: 配置禁止公开访问的设置 或者更新对象的 ACL 以拒绝公共读取访问。

合规性标准:未映射

Secrets in environment variables

API 中的类别名称:

SECRETS_IN_ENVIRONMENT_VARIABLES

发现结果说明:有 Secret 例如密码、身份验证令牌和 Google Cloud 凭据 Cloud Run 函数环境变量。

如需启用此检测器,请参阅 向 Security Command Center 报告环境变量中的 Secret

支持的素材资源 cloudfunctions.googleapis.com/CloudFunction

补救措施:从环境变量中移除 Secret,并 将其存储在 Secret Manager 中

合规性标准

  • CIS GCP Foundation 1.3:1.18
  • CIS GCP Foundation 2.0:1.18

Secrets in storage

API 中的类别名称:

SECRETS_IN_STORAGE

发现结果说明:有 Secret 密码、身份验证令牌和云凭据 - 在指定的 资源。

支持的资源

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 存储桶

补救措施

  1. 对于 Google Cloud 数据,请使用 Sensitive Data Protection 进行保护 对指定资源运行深度检查扫描 找出所有受影响的资源对于 Cloud SQL 数据,请将该数据导出为 CSV 文件 或 AVRO 文件,并对 Cloud Storage 存储桶中的 存储桶。

    对于 Amazon S3 数据,请手动检查指定的存储桶。

  2. 移除检测到的密钥。
  3. 请考虑重置凭据。
  4. 对于 Google Cloud 数据,不妨改为将检测到的密文存储在 Secret Manager 中。

合规性标准:未映射

Policy Controller

政策控制器 支持应用并强制执行适用于您的 注册为舰队成员的 Kubernetes 集群。这些政策的作用 安全措施,有助于实现最佳实践、安全性和合规性 集群和舰队的管理

本页面并未列出所有 Policy Controller 发现结果, 有关 Policy Controller 的 Misconfiguration 类发现结果的信息 写入 Security Command Center 的内容与记录的集群违规问题相同 每个 Policy Controller 捆绑包。个人证明文件 Policy Controller 发现结果类型位于以下 Policy Controller 软件包中:

此功能与 VPC Service Controls 服务边界不兼容 Stackdriver API 的相关介绍

查找并修复 Policy Controller 发现结果

Policy Controller 类别对应于 Policy Controller 包文档中列出的限制条件名称。例如,require-namespace-network-policies 发现结果表明命名空间违反了集群中的每个命名空间都具有 NetworkPolicy 的政策。

如需修复发现结果,请执行以下操作:

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

    前往“发现结果”

  2. 选择您的 Google Cloud 项目或组织。
  3. 快速过滤条件部分的来源显示名称子部分中,选择 集群上的政策控制器。发现结果查询结果会更新,以仅显示 来自此来源的发现结果。
  4. 如需查看特定发现结果的详细信息,请点击类别下的发现结果名称。通过 相应发现结果的详细信息面板随即会打开,并显示摘要标签页。
  5. 摘要标签页上,查看发现结果的详细信息,包括检测到的内容、受影响的资源,以及您可以采取的发现结果修复步骤(如果有)。
  6. 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。

Security Operations 控制台(预览版)

  1. 在 Security Operations 控制台中,前往发现结果页面。
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

  2. Aggregations 部分中,点击以展开 Source Display Name 小节。
  3. 选择 Policy Controller On-Cluster。发现结果查询结果已更新为仅显示 来分析这个来源的发现结果
  4. 如需查看特定发现结果的详细信息,请点击类别下的发现结果名称。通过 相应发现结果的详细信息面板随即会打开,并显示摘要标签页。
  5. 摘要标签页上,查看发现结果的详细信息,包括检测到的内容、受影响的资源,以及您可以采取的发现结果修复步骤(如果有)。
  6. 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。

后续步骤