Rapid Vulnerability Detection, Security Health Analytics und Web Security Scanner Detektoren generieren Ergebnisse zu Sicherheitslücken, die in Security Command Center verfügbar sind. Wenn sie in Security Command Center aktiviert sind, generieren auch integrierte Dienste wie VM Manager Sicherheitslücken.
Ob Sie Ergebnisse ansehen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) und den von Ihnen zugewiesenen Berechtigungen ab. Weitere Informationen zu IAM-Rollen in Security Command Center finden Sie unter Zugriffssteuerung.
Detektoren und Compliance
Security Command Center überwacht die Compliance mit Detektoren, die den Kontrollen einer Vielzahl von Sicherheitsstandards entsprechen.
Für jeden unterstützten Sicherheitsstandard überprüft Security Command Center einen Teil der Kontrollen. Für die geprüften Steuerelemente wird in Security Command Center angezeigt, wie viele Passagen übergeben werden. Für die nicht bestandenen Kontrollen zeigt Security Command Center eine Liste von Ergebnissen an, die die Kontrollfehler beschreiben.
CIS überprüft und zertifiziert die Zuordnungen von Security Command Center-Detektoren zu jeder unterstützten Version der CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance-Zuordnungen dienen nur zu Referenzzwecken.
Security Command Center unterstützt regelmäßig neue Benchmark-Versionen und -Standards. Ältere Versionen werden weiterhin unterstützt, werden aber irgendwann verworfen. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten verfügbaren Standard zu verwenden.
Mit dem Dienst „Security Posture“ können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den für Ihr Unternehmen geltenden Standards und Kontrollen zuordnen. Nachdem Sie einen Sicherheitsstatus erstellt haben, können Sie alle Änderungen an der Umgebung im Blick behalten, die sich auf die Compliance Ihres Unternehmens auswirken könnten.
Weitere Informationen zum Verwalten der Compliance finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.
Unterstützte Sicherheitsstandards in Google Cloud
Security Command Center ordnet Detektoren für Google Cloud einem oder mehreren der folgenden Compliancestandards zu:
- CIS Controls 8.0 (Center for Information Security)
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0
- CIS Kubernetes Benchmark Version 1.5.1
- Cloud Controls Matrix (CCM) 4
- US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- International Organization for Standardization (ISO) 27001, 2022 und 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 und R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 und 2017
- Datensicherheitsstandard der Zahlungskartenindustrie (Payment Card Industry Data Security Standard, PCI DSS) 4.0 und 3.2.1
- System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)
Von AWS unterstützte Sicherheitsstandards
Security Command Center ordnet Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zu:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 und 3.2.1
- SOC 2 2017 TSC
Eine Anleitung zum Aufrufen und Exportieren von Complianceberichten finden Sie im Abschnitt Compliance des Artikels Security Command Center in der Google Cloud Console verwenden.
Ergebnisdeaktivierung nach Abhilfe
Nachdem Sie eine Sicherheitslücke oder eine fehlerhafte Konfiguration behoben haben, setzt der Security Command Center-Dienst, der das Ergebnis erkannt hat, den Status des Ergebnisses automatisch auf INACTIVE, wenn der Erkennungsdienst das nächste Mal nach dem Ergebnis sucht. Wie lange Security Command Center benötigt, um ein korrigiertes Ergebnis auf INACTIVE zu setzen, hängt vom Zeitplan des Scans ab, der das Ergebnis erkennt.
Die Security Command Center-Dienste setzen den Status einer Sicherheitslücke oder eines Ergebnisses einer fehlerhaften Konfiguration auch auf INACTIVE, wenn bei einem Scan erkannt wird, dass die vom Ergebnis betroffene Ressource gelöscht ist.
Weitere Informationen zu Scanintervallen finden Sie in den folgenden Themen:
- Scantypen für Security Health Analytics
- Scanlatenz und -intervall für Rapid Vulnerability Detection
- Web Security Scanner-Scantypen
Ergebnisse von Security Health Analytics
Detektoren von Security Health Analytics überwachen einen Teil der Ressourcen aus Cloud Asset Inventory (CAI), wobei sie Benachrichtigungen über Ressourcenänderungen und Richtlinienänderungen der Identitäts- und Zugriffsverwaltung (IAM) erhalten. Einige Detektoren rufen Daten ab, indem sie Google Cloud APIs direkt aufrufen, wie in Tabellen weiter unten auf dieser Seite angegeben.
Weitere Informationen zu Security Health Analytics, Scanplänen und zur Unterstützung von Security Health Analytics für integrierte und benutzerdefinierte Moduldetektoren finden Sie unter Übersicht über Security Health Analytics.
In den folgenden Tabellen werden die Detektoren von Security Health Analytics, die unterstützten Assets und Compliance-Standards, die für Scans verwendeten Einstellungen und die generierten Ergebnistypen beschrieben. Sie können die Ergebnisse in der Google Cloud Console auf der Seite Sicherheitslücken des Security Command Center nach verschiedenen Attributen filtern.
Eine Anleitung zum Beheben von Problemen und zum Schützen Ihrer Ressourcen finden Sie unter Ergebnisse von Security Health Analytics beheben.
Ergebnisse zu Sicherheitslücken beim API-Schlüssel
Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
API key APIs unrestricted
Kategoriename in der API: |
Ergebnisbeschreibung: API-Schlüssel werden zu häufig verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft das Attribut
|
API key apps unrestricted
Kategoriename in der API: |
Ergebnisbeschreibung: API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft des Attribut
|
API key exists
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft alle API-Schlüssel ab, die zu einem Projekt gehören.
|
API key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft den im Attribut
|
Ergebnisse zu Sicherheitslücken in Cloud Asset Inventory
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud Asset Inventory-Konfigurationen und gehören zum Typ CLOUD_ASSET_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Cloud Asset API disabled
Kategoriename in der API: |
Ergebnisbeschreibung:Das Erfassen von Google Cloud-Ressourcen und IAM-Richtlinien durch Cloud Asset Inventory ermöglicht Sicherheitsanalysen, das Tracking von Ressourcenänderungen und die Complianceprüfung. Wir empfehlen, den Cloud Asset Inventory-Dienst für alle Projekte zu aktivieren. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der Cloud Asset Inventory-Dienst aktiviert ist.
|
Ergebnisse zu Sicherheitslücken bei Compute-Images
Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Public Compute image
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Compute Engine-Image ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.
COMPUTE_INSTANCE_SCANNER-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Der Name solcher Instanzen beginnt mit "gke-" und kann von Nutzern nicht bearbeitet werden. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Confidential Computing disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Confidential Computing ist auf Compute Engine-Instanzen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Compute project wide SSH keys allowed
Kategoriename in der API: |
Ergebnisbeschreibung: Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
Compute Secure Boot disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen. Preisstufe: Premium Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Attribut
|
Compute serial ports enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Serielle Ports sind für eine Instanz aktiviert und ermöglichen Verbindungen zur seriellen Konsole der Instanz. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
Default service account used
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Disk CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Feld
|
Disk CSEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Sonderfalldetektor. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
Full API access
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft das Feld
|
HTTP load balancer
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ermittelt, ob das Attribut
|
IP forwarding enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die IP-Weiterleitung ist für Instanzen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
OS login disabled
Kategoriename in der API: |
Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
Public IP address
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz hat eine öffentliche IP-Adresse. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Shielded VM disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Auf dieser Instanz ist Shielded VM deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Weak SSL policy
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz hat eine schwache SSL-Richtlinie. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob
|
Ergebnisse zu Container-Sicherheitslücken
Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Alpha cluster enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Alphacluster-Features sind für einen GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Auto repair disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das automatische Reparaturfeature eines GKE-Clusters, das Knoten in einem fehlerfreien, laufenden Zustand hält, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Auto upgrade disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Feature für automatische Upgrades eines GKE-Clusters, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Binary authorization disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Binärautorisierung ist im GKE-Cluster entweder deaktiviert oder die Richtlinie für die Binärautorisierung ist so konfiguriert, dass alle Images bereitgestellt werden können. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüfen Sie Folgendes:
|
Cluster logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Logging ist für einen GKE-Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Cluster monitoring disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Monitoring ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Cluster private Google access disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Clusterhosts sind nicht so konfiguriert, dass nur private interne IP-Adressen für den Zugriff auf Google APIs verwendet werden. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Cluster secrets encryption disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Cluster shielded nodes disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Shielded GKE-Knoten sind für einen Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
COS not used
Kategoriename in der API: |
Ergebnisbeschreibung: Compute Engine-VMs nutzen nicht Container-Optimzed OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Integrity monitoring disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Integritätsmonitoring ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Intranode visibility disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
IP alias disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Legacy authorization enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Legacy-Autorisierung ist in GKE-Clustern aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Legacy metadata enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Legacy-Metadaten sind für GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Master authorized networks disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Autorisierte Control Plane Authorized Networks ist in GKE-Clustern nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Network policy disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Netzwerkrichtlinie ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
Nodepool boot CMEK disabled
Kategoriename in der API: |
Beschreibung: Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Attribut
|
Nodepool secure boot disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Secure Boot ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Over privileged account
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkonto hat in einem Cluster übermäßig Zugriff auf das Projekt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Wertet das Attribut
|
Over privileged scopes
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Knotendienstkonto hat große Zugriffsbereiche. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der im Attribut config.oauthScopes eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich des Dienstkontos ist: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write oder https://www.googleapis.com/auth/monitoring.
|
Pod security policy disabled
Kategoriename in der API: |
Ergebnisbeschreibung: PodSecurityPolicy ist in einem GKE-Cluster deaktiviert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Private cluster disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen GKE-Cluster ist ein privater Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Release channel disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein GKE-Cluster ist nicht auf eine Release-Version abonniert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Web UI enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die GKE-Web-UI (Dashboard) ist aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
Workload Identity disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Workload Identity ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Dataproc-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Dataproc und gehören zum Detektortyp DATAPROC_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Dataproc CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dataproc-Cluster wurde ohne einen Verschlüsselungskonfigurations-CMEK erstellt. Mit CMEK werden die Schlüssel, die Sie in Cloud Key Management Service erstellen und verwalten, von Google Cloud zum Verschlüsseln Ihrer Daten verpackt. So haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Dataproc image outdated
Kategoriename in der API: |
Ergebnis-Beschreibung: Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228 und CVE-2021-45046). Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft, ob das Feld
|
Ergebnisse zu Dataset-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
BigQuery table CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Dataset CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein BigQuery-Dataset ist nicht für die Verwendung eines standardmäßigen CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Public dataset
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dataset ist für den öffentlichen Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu DNS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
DNSSEC disabled
Kategoriename in der API: |
Ergebnisbeschreibung: DNSSEC ist für Cloud DNS-Zonen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
RSASHA1 for signing
Kategoriename in der API: |
Ergebnisbeschreibung: RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Objekt
|
Ergebnisse zu Firewall-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Egress deny rule not set
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Firewall wurde keine Regel für ausgehenden Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Firewall rule logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Logging von Firewallregeln ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open Cassandra port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CASSANDRA-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open ciscosecure websm port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open directory services port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DIRECTORY_SERVICE-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open DNS port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DNS-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open elasticsearch port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ELASTICSEARCH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open firewall
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie öffentlich zugänglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die Attribute
|
Open FTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen FTP-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open HTTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open LDAP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open Memcached port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open MongoDB port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open MySQL port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen MySQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open NetBIOS port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open OracleDB port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open pop3 port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open PostgreSQL port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open RDP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open Redis port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Open SMTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Open SSH port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Open Telnet port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu IAM-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Access Transparency disabled
Kategoriename in der API: |
Ergebnisbeschreibung:Google Cloud Access Transparency ist für Ihre Organisation deaktiviert. Access Transparency-Logs, wenn Google Cloud-Mitarbeiter auf Projekte in Ihrer Organisation zugreifen, um Support bereitzustellen. Aktivieren Sie Access Transparency, um zu protokollieren, wer wann und warum von Google Cloud auf Ihre Informationen zugreift. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob Access Transparency für Ihre Organisation aktiviert ist.
|
Admin service account
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkonto hat die Berechtigung Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle vom Nutzer erstellten Dienstkonten (angezeigt durch das Präfix iam.gserviceaccount.com), denen
|
Essential Contacts Not Configured
Kategoriename in der API: |
Beschreibung der Ergebnisse: Ihre Organisation hat keine Person oder Gruppe festgelegt, die Benachrichtigungen von Google Cloud über wichtige Ereignisse wie Angriffe, Sicherheitslücken und Datenvorfälle in Ihrer Google Cloud-Organisation erhalten soll. Wir empfehlen, eine oder mehrere Personen oder Gruppen in Ihrer Unternehmensorganisation als „Wichtiger Kontakt“ festzulegen. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob ein Kontakt für die folgenden wichtigen Kontaktkategorien angegeben ist:
|
KMS role separation
Kategoriename in der API: |
Ergebnisbeschreibung: Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) hat: CryptoKey-Verschlüsseler/Entschlüsseler, Entschlüsseler oder Verschlüsseler. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft IAM-Zulassungsrichtlinien in Ressourcenmetadaten und ruft Hauptkonten ab, denen eine der folgenden Rollen gleichzeitig zugewiesen ist: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter und roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
|
Non org IAM member
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 lösen derzeit nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Vergleicht @gmail.com-E-Mail-Adressen im Feld
|
Open group IAM member
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft die IAM-Richtlinie in Ressourcenmetadaten auf alle Bindungen, die ein Mitglied (Hauptkonto) mit dem Präfix group enthalten. Wenn die Gruppe eine offene Gruppe ist, generiert Security Health Analytics dieses Ergebnis.
|
Over privileged service account user
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene, statt für ein bestimmtes Dienstkonto. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf alle Hauptkonten, denen roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator auf Projektebene zugewiesen ist.
|
Primitive roles used
Kategoriename in der API: |
Ergebnisbeschreibung:Ein Nutzer hat eine der folgenden einfachen Rollen:
Diese Rollen sind zu moderat und sollten nicht verwendet werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen die Rolle
|
Redis role used on org
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets
Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf Hauptkonten, denen
|
Service account role separation
Kategoriename in der API: |
Ergebnisbeschreibung: Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung". Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen sowohl roles/iam.serviceAccountUser als auch roles/iam.serviceAccountAdmin zugewiesen ist.
|
Service account key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Wertet den Zeitstempel der Schlüsselerstellung aus, der im Attribut
|
User managed service account key
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer verwaltet einen Dienstkontoschlüssel. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu KMS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
KMS key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Verschlüsselungsschlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft Ressourcenmetadaten auf das Vorhandensein von
|
KMS project has owner
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Projektmetadaten für Hauptkonten, denen
|
KMS public key
Kategoriename in der API: |
Ergebnisbeschreibung: Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Too many KMS users
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinien für Schlüsselbunde, Projekte und Organisationen und ruft Hauptkonten mit Rollen ab, die es ihnen ermöglichen, Daten mit folgenden Cloud KMS-Schlüsseln zu verschlüsseln, zu entschlüsseln oder zu signieren: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer und roles/cloudkms.signerVerifier.
|
Ergebnisse zu Logging-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Audit logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Audit-Logging wurde für diese Ressource deaktiviert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf das Vorhandensein eines
|
Bucket logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt einen Storage-Bucket ohne aktiviertes Logging. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Locked retention policy not set
Kategoriename in der API: |
Ergebnisbeschreibung: Für Logs ist keine gesperrte Aufbewahrungsrichtlinie festgelegt. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Log not exported
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Ressource ist keine geeignete Logsenke konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets
Compliance standards:
|
Ruft ein
|
Object versioning disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Ergebnisse zu Monitoring-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:
-
Der
RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll. -
Die
QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken. -
Die
AlertPolicyFailureReasons, die angeben, ob für das Projekt keine Benachrichtigungsrichtlinien für die qualifizierten Logmesswerte erstellt wurden oder die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Audit config not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Audit-Konfigurationsänderungen konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Bucket IAM not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen der Cloud Storage-IAM-Berechtigungen konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Custom role not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen benutzerdefinierter Rollen konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Firewall not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an VPC-Netzwerk-Firewallregeln konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Network not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Owner not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Route not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
SQL instance not monitored
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud SQL-Instanzen konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Ergebnisse zur Multi-Faktor-Authentifizierung
Der MFA_SCANNER-Detektor erkennt Sicherheitslücken bei der Multi-Faktor-Authentifizierung für Nutzer.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
MFA not enforced
Kategoriename in der API: |
Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. In Google Workspace können Sie einen Kulanzzeitraum für die Registrierung für neue Nutzer festlegen, in dem sie sich für die Bestätigung in zwei Schritten registrieren müssen. Dieser Detektor erstellt jedoch Ergebnisse für Nutzer während des Kulanzzeitraums für die Registrierung. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Wertet Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity aus.
|
Ergebnisse zu Netzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Default network
Kategoriename in der API: |
Ergebnisbeschreibung: Das Standardnetzwerk ist in einem Projekt vorhanden. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
DNS logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft alle
|
Legacy network
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Legacy-Netzwerk ist in einem Projekt vorhanden. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs
|
Load balancer logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Logging ist für den Load-Balancer deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Sicherheitslücken in Organisationsrichtlinien
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Org policy Confidential VM policy
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien in Confidential VM durchsetzen.
Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft, ob das Attribut
|
Org policy location restriction
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Einschränkung constraints/gcp.resourceLocations. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien durchsetzen.
Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Attribut
|
|
Unterstützte Assets für ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Da Cloud KMS-Assets nicht gelöscht werden können, gilt das Asset nicht als außerhalb der Region, wenn die Daten des Assets zerstört wurden. 2 Da Cloud KMS-Importjobs einen gesteuerten Lebenszyklus haben und nicht vorzeitig beendet werden können, gilt ein ImportJob nicht als außerhalb der Region, wenn er abgelaufen ist und nicht mehr verwendet werden kann, um Schlüssel zu importieren. 3 Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, gilt ein Job nicht als außerhalb der Region, wenn er einen Endstatus (beendet oder per Drain beendet) erreicht hat, in dem er nicht mehr zur Verarbeitung von Daten verwendet werden kann. |
||
Pub/Sub-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Pub/Sub-Konfigurationen und gehören zum Typ PUBSUB_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Pubsub CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Feld
|
Ergebnisse zu SQL-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
AlloyDB auto backup disabled
Kategoriename in der API: |
Ergebnisbeschreibung:Für einen AlloyDB for PostgreSQL-Cluster sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
AlloyDB backups disabled
Kategoriename in der API: |
Ergebnisbeschreibung:Für einen AlloyDB for PostgreSQL-Cluster sind keine Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
AlloyDB CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein AlloyDB-Cluster ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verschlüsselt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
AlloyDB log min error statement severity
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine ausreichende Abdeckung der Nachrichtentypen in den Logs zu gewährleisten, wird ein Ergebnis ausgegeben, wenn das Feld
|
AlloyDB log min messages
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine ausreichende Abdeckung der Nachrichtentypen in den Logs zu gewährleisten, wird ein Ergebnis ausgegeben, wenn das Feld
|
AlloyDB log error verbosity
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Damit die Nachrichtentypen in den Logs ausreichend erfasst werden, wird ein Ergebnis ausgegeben, wenn das Feld
|
AlloyDB public IP
Kategoriename in der API: |
Ergebnisbeschreibung: Eine AlloyDB for PostgreSQL-Datenbankinstanz hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attributfeld
|
AlloyDB SSL not enforced
Kategoriename in der API: |
Ergebnisbeschreibung:Eine AlloyDB for PostgreSQL-Datenbankinstanz erfordert nicht, dass alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Auto backup disabled
Kategoriename in der API: |
Ergebnisbeschreibung: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Public SQL instance
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob für das Attribut
|
SSL not enforced
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Cloud SQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob für das Attribut
|
SQL CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Eine SQL-Datenbankinstanz wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Feld
|
SQL contained database authentication
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL cross DB ownership chaining
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL external scripts enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL local infile
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log checkpoints disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log connections disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log disconnections disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log duration disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log error verbosity
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log lock waits disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log min duration statement enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log min error statement
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
SQL log min error statement severity
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log min messages
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine ausreichende Abdeckung der Nachrichtentypen in den Logs zu gewährleisten, wird ein Ergebnis ausgegeben, wenn das Feld
|
SQL log executor stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log hostname enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log parser stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log planner stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log statement
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log statement stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log temp files
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL no root password
Kategoriename in der API: |
Ergebnisbeschreibung:Für eine Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse ist für das Root-Konto kein Passwort konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
SQL public IP
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der IP-Adresstyp einer Cloud SQL-Datenbank auf
|
SQL remote access enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL skip show database disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL trace flag 3625
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL user connections configured
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL user options configured
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL weak root password
Kategoriename in der API: |
Ergebnisbeschreibung:Eine Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse hat auch ein schwaches Passwort für das Root-Konto konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Vergleicht das Passwort für das Root-Konto der Cloud SQL-Datenbank mit einer Liste gängiger Passwörter.
|
Ergebnisse zu Speichersicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Bucket CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Feld
|
Bucket policy only disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Der einheitliche Zugriff auf Bucket-Ebene, zuvor "Nur Bucket-Richtlinie" genannt, ist nicht konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Public bucket ACL
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Cloud Storage-Bucket ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets für die öffentlichen Rollen
|
Public log bucket
Kategoriename in der API: |
Ergebnisbeschreibung: Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets für die Hauptkonten
|
Ergebnisse zu Subnetzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Flow logs disabled
Kategoriename in der API: |
Ergebnisbeschreibung: In einem VPC-Subnetzwerk sind Flusslogs deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Flow logs settings not recommended
Kategoriename in der API: |
Ergebnisbeschreibung:Für ein VPC-Subnetzwerk sind VPC-Flusslogs entweder deaktiviert oder nicht gemäß den Empfehlungen von CIS Benchmark 1.3 konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Private Google access disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
AWS-Ergebnisse
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
AWS Cloud Shell Full Access Restricted
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudShell ist eine bequeme Möglichkeit, CLI-Befehle für AWS-Dienste auszuführen. Eine verwaltete IAM-Richtlinie („AWSCloudShellFullAccess“) bietet vollständigen Zugriff auf Cloud Shell, die das Hochladen und Herunterladen von Dateien zwischen dem lokalen System eines Nutzers und der Cloud Shell-Umgebung ermöglicht. In der Cloud Shell-Umgebung verfügt ein Nutzer über sudo-Berechtigungen und kann auf das Internet zugreifen. Es ist also möglich, Software zur Dateiübertragung zu installieren und Daten von Cloud Shell auf externe Internetserver zu verschieben. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass der Zugriff auf AWSCloudShellFullAccess eingeschränkt ist
|
Access Keys Rotated Every 90 Days or Less
Kategoriename in der API: |
Ergebnisbeschreibung: Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, mit denen programmatische Anfragen an AWS signiert werden. AWS-Nutzer benötigen eigene Zugriffsschlüssel, um programmatische Aufrufe an AWS über die AWS-Befehlszeile (AWS CLI), Tools for Windows PowerShell, die AWS SDKs oder direkte HTTP-Aufrufe mithilfe der APIs für einzelne AWS-Dienste auszuführen. Es wird empfohlen, alle Zugriffsschlüssel regelmäßig zu rotieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass Zugriffsschlüssel mindestens alle 90 Tage rotiert werden
|
All Expired Ssl Tls Certificates Stored Aws Iam Removed
Kategoriename in der API: |
Ergebnisbeschreibung: Um HTTPS-Verbindungen zu Ihrer Website oder Anwendung in AWS zu ermöglichen, benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können ACM oder IAM verwenden, um Serverzertifikate zu speichern und bereitzustellen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass alle abgelaufenen SSL/TLS-Zertifikate entfernt werden, die in AWS IAM gespeichert sind
|
Autoscaling Group Elb Healthcheck Required
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob Ihre Autoscaling-Gruppen, die mit einem Load-Balancer verknüpft sind, Systemdiagnosen des Elastic Load Balancing verwenden. Dadurch wird sichergestellt, dass die Gruppe den Zustand einer Instanz anhand zusätzlicher Tests ermitteln kann, die vom Load-Balancer bereitgestellt werden. Die Verwendung von Systemdiagnosen für Elastic Load Balancing kann die Verfügbarkeit von Anwendungen unterstützen, die EC2-Autoscaling-Gruppen verwenden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle mit einem Load Balancer verknüpften Autoscaling-Gruppen Systemdiagnosen verwenden
|
Auto Minor Version Upgrade Feature Enabled Rds Instances
Kategoriename in der API: |
Ergebnisbeschreibung: Achten Sie darauf, dass für RDS-Datenbankinstanzen das Flag „Auto Minor Version Upgrade“ (Automatisches Nebenversionsupgrade) aktiviert ist, damit während des angegebenen Wartungsfensters automatisch Nebenversionen von Engine-Upgrades erhalten werden. So können RDS-Instanzen die neuen Funktionen, Fehlerkorrekturen und Sicherheitspatches für ihre Datenbankmodule erhalten. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass das automatische Upgrade von Nebenversionen für RDS-Instanzen aktiviert ist
|
Aws Config Enabled All Regions
Kategoriename in der API: |
Ergebnisbeschreibung: AWS Config ist ein Webdienst, der die Konfigurationsverwaltung unterstützter AWS-Ressourcen in Ihrem Konto ausführt und Ihnen Protokolldateien bereitstellt. Die aufgezeichneten Informationen umfassen das Konfigurationselement (AWS-Ressource), die Beziehungen zwischen Konfigurationselementen (AWS-Ressourcen) und alle Konfigurationsänderungen zwischen Ressourcen. Es wird empfohlen, AWS Config in allen Regionen zu aktivieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass AWS Config in allen Regionen aktiviert ist
|
Aws Security Hub Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Der Sicherheits-Hub erfasst Sicherheitsdaten aus AWS-Konten, -Diensten und unterstützten Produkten von Drittanbietern. So können Sie Ihre Sicherheitstrends analysieren und Sicherheitsprobleme mit der höchsten Priorität ermitteln. Wenn Sie Security Hub aktivieren, beginnt er damit, Ergebnisse aus von Ihnen aktivierten AWS-Diensten wie Amazon GuardDuty, Amazon Inspector und Amazon Macie zu verarbeiten, zu aggregieren, zu organisieren und zu priorisieren. Sie können auch Integrationen mit Sicherheitsprodukten von AWS-Partnern aktivieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass AWS Security Hub aktiviert ist
|
Cloudtrail Logs Encrypted Rest Using Kms Cmks
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe für ein Konto aufzeichnet und diese Logs Nutzern und Ressourcen gemäß IAM-Richtlinien zur Verfügung stellt. AWS Key Management Service (KMS) ist ein verwalteter Dienst, mit dem Sie die Verschlüsselungsschlüssel erstellen und steuern können, die zum Verschlüsseln von Kontodaten verwendet werden. Außerdem werden Hardwaresicherheitsmodule (HSMs) verwendet, um die Sicherheit von Verschlüsselungsschlüsseln zu schützen. CloudTrail-Logs können so konfiguriert werden, dass sie die serverseitige Verschlüsselung (SSE) und vom Kunden erstellte KMS-Masterschlüssel (Customer-Managed Master Keys, CMK) nutzen, um CloudTrail-Logs weiter zu schützen. Es wird empfohlen, CloudTrail für die Verwendung von SSE-KMS zu konfigurieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass CloudTrail-Logs im Ruhezustand mit KMS-CMKs verschlüsselt werden
|
Cloudtrail Log File Validation Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Bei der Validierung der CloudTrail-Logdatei wird eine digital signierte Digestdatei erstellt, die einen Hash jedes Logs enthält, das CloudTrail in S3 schreibt. Diese Digest-Dateien können verwendet werden, um festzustellen, ob eine Logdatei nach der Bereitstellung des Logs durch CloudTrail geändert, gelöscht oder unverändert wurde. Es wird empfohlen, die Dateivalidierung für alle CloudTrails zu aktivieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Validierung der CloudTrail-Logdatei aktiviert ist
|
Cloudtrail Trails Integrated Cloudwatch Logs
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe in einem bestimmten AWS-Konto aufzeichnet. Die aufgezeichneten Informationen umfassen die Identität des API-Aufrufers, den Zeitpunkt des API-Aufrufs, die Quell-IP-Adresse des API-Aufrufers, die Anfrageparameter und die vom AWS-Dienst zurückgegebenen Antwortelemente. CloudTrail verwendet Amazon S3 für die Speicherung und Übermittlung von Logdateien, sodass Protokolldateien dauerhaft gespeichert werden. Neben der Erfassung von CloudTrail-Logs in einem bestimmten S3-Bucket zur Langzeitanalyse kann eine Echtzeitanalyse durchgeführt werden. Dazu muss CloudTrail so konfiguriert werden, dass Logs an CloudWatch-Logs gesendet werden. Für einen Weg, der in allen Regionen in einem Konto aktiviert ist, sendet CloudTrail Logdateien aus allen diesen Regionen an eine CloudWatch-Log-Loggruppe. Es wird empfohlen, CloudTrail-Logs an CloudWatch-Logs zu senden. Hinweis: Mit dieser Empfehlung soll sichergestellt werden, dass AWS-Kontoaktivitäten erfasst, überwacht und entsprechend gemeldet werden. CloudWatch Logs bietet hierfür eine native Möglichkeit mithilfe von AWS-Diensten, schließt die Verwendung einer alternativen Lösung jedoch nicht aus. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass CloudTrail-Pfade in CloudWatch-Logs eingebunden sind
|
Cloudwatch Alarm Action Check
Kategoriename in der API: |
Ergebnisbeschreibung: Hiermit wird geprüft, ob in Amazon Cloudwatch Aktionen definiert wurden, wenn ein Alarm zwischen den Status „OK“, „ALARM“ und „INSUFFICIENT_DATA“ wechselt. Die Konfiguration von Aktionen für den ALARM-Status in Amazon CloudWatch-Alarmen ist sehr wichtig, um eine sofortige Reaktion auszulösen, wenn Schwellenwerte für überwachte Metriken überschritten werden. Wecker haben mindestens eine Aktion. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für CloudWatch-Alarme mindestens eine Alarmaktion, eine INSUFFICIENT_DATA-Aktion oder eine OK-Aktion aktiviert ist.
|
Cloudwatch Log Group Encrypted
Kategoriename in der API: |
Ergebnisbeschreibung: Durch diese Prüfung wird sichergestellt, dass CloudWatch-Logs mit KMS konfiguriert sind. Loggruppendaten werden immer in CloudWatch-Logs verschlüsselt. Standardmäßig verwendet CloudWatch Logs für die inaktiven Logdaten die serverseitige Verschlüsselung. Alternativ können Sie AWS Key Management Service für diese Verschlüsselung verwenden. In diesem Fall erfolgt die Verschlüsselung mit einem AWS KMS-Schlüssel. Die Verschlüsselung mit AWS KMS wird auf Loggruppenebene aktiviert, indem ein KMS-Schlüssel mit einer Loggruppe verknüpft wird, entweder beim Erstellen der Loggruppe oder nachdem sie vorhanden ist. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle Loggruppen in Amazon CloudWatch-Logs mit KMS verschlüsselt sind
|
CloudTrail CloudWatch Logs Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Diese Steuerung prüft, ob CloudTrail-Pfade für das Senden von Logs an CloudWatch-Logs konfiguriert sind. Das Steuerelement schlägt fehl, wenn die Eigenschaft „CloudWatchLogsLogGroupArn“ des Pfads leer ist. CloudTrail zeichnet AWS API-Aufrufe auf, die in einem bestimmten Konto ausgeführt werden. Die aufgezeichneten Informationen umfassen Folgendes:
CloudTrail verwendet Amazon S3 zum Speichern und Bereitstellen von Logdateien. Sie können CloudTrail-Logs in einem bestimmten S3-Bucket zur Langzeitanalyse erfassen. Für Echtzeitanalysen können Sie CloudTrail so konfigurieren, dass Logs an CloudWatch-Logs gesendet werden. Für einen Weg, der in allen Regionen in einem Konto aktiviert ist, sendet CloudTrail Protokolldateien aus allen diesen Regionen an eine CloudWatch Logs-Loggruppe. Der Sicherheits-Hub empfiehlt, CloudTrail-Logs an CloudWatch-Logs zu senden. Mit dieser Empfehlung soll sichergestellt werden, dass Kontoaktivitäten erfasst, überwacht und entsprechend gemeldet werden. Sie können CloudWatch-Logs verwenden, um dies mit Ihren AWS-Diensten einzurichten. Diese Empfehlung schließt nicht aus, dass eine andere Lösung verwendet werden kann. Das Senden von CloudTrail-Logs an CloudWatch-Logs ermöglicht das Logging von Aktivitäten in Echtzeit und des Verlaufs basierend auf Nutzer, API, Ressource und IP-Adresse. Auf diese Weise können Sie Alarme und Benachrichtigungen für ungewöhnliche oder empfindliche Kontoaktivitäten einrichten. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle CloudTrail-Pfade für das Senden von Logs an AWS CloudWatch konfiguriert sind
|
No AWS Credentials in CodeBuild Project Environment Variables
Kategoriename in der API: |
Ergebnisbeschreibung: Damit wird geprüft, ob das Projekt die Umgebungsvariablen Die Anmeldedaten für die Authentifizierung Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle Projekte, die die Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY enthalten, nicht im Klartext vorliegen
|
Codebuild Project Source Repo Url Check
Kategoriename in der API: |
Ergebnisbeschreibung: Damit wird geprüft, ob die Bitbucket-Quell-Repository-URL eines AWS CodeBuild-Projekts persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Die Kontrolle schlägt fehl, wenn die Bitbucket-Quell-Repository-URL persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Anmeldedaten sollten nicht im Klartext gespeichert oder übertragen werden und nicht in der URL des Quell-Repositorys erscheinen. Anstelle von persönlichen Zugriffstokens oder Anmeldedaten sollten Sie in CodeBuild auf Ihren Quellanbieter zugreifen und die URL des Quell-Repositorys so ändern, dass sie nur den Pfad zum Speicherort des Bitbucket-Repositorys enthält. Die Verwendung von persönlichen Zugriffstokens oder Anmeldedaten kann zu unbeabsichtigten Datenlecks oder unbefugtem Zugriff führen. Preisstufe: Enterprise Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüfen Sie, ob alle Projekte, die GitHub oder Bitbucket als Quelle nutzen, OAuth verwenden
|
Credentials Unused 45 Days Greater Disabled
Kategoriename in der API: |
Ergebnisbeschreibung: AWS IAM-Nutzer können mit verschiedenen Arten von Anmeldedaten auf AWS-Ressourcen zugreifen, z. B. Passwörter oder Zugriffsschlüssel. Es wird empfohlen, alle Anmeldedaten, die in den letzten 45 Tagen nicht verwendet wurden, zu deaktivieren oder zu entfernen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass Anmeldedaten, die seit mindestens 45 Tagen nicht verwendet wurden, deaktiviert werden
|
Default Security Group Vpc Restricts All Traffic
Kategoriename in der API: |
Ergebnisbeschreibung: Eine VPC umfasst eine Standardsicherheitsgruppe, deren Anfangseinstellungen den gesamten eingehenden Traffic ablehnen, den gesamten ausgehenden Traffic zulassen und den gesamten Traffic zwischen Instanzen zulassen, die der Sicherheitsgruppe zugewiesen sind. Wenn Sie beim Starten einer Instanz keine Sicherheitsgruppe angeben, wird die Instanz automatisch dieser Standardsicherheitsgruppe zugewiesen. Sicherheitsgruppen bieten eine zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, den gesamten Traffic durch die Standard-Sicherheitsgruppe einzuschränken. Die Standard-VPC in jeder Region sollte entsprechend aktualisiert werden. Alle neu erstellten VPCs enthalten automatisch eine Standardsicherheitsgruppe, die behoben werden muss, um dieser Empfehlung zu entsprechen. HINWEIS:Bei der Umsetzung dieser Empfehlung ist das VPC-Fluss-Logging von unschätzbarem Wert, um den Portzugriff mit den geringsten Berechtigungen zu bestimmen, der für ein ordnungsgemäßes Funktionieren der Systeme erforderlich ist, da es alle Annahmen und Ablehnungen von Paketen unter den aktuellen Sicherheitsgruppen protokollieren kann. Dies reduziert die primäre Hürde für das Engineering mit den geringsten Berechtigungen erheblich: Es werden die von Systemen in der Umgebung benötigte Mindestanzahl von Ports ermittelt. Auch wenn die Empfehlung für das VPC-Fluss-Logging in dieser Benchmark nicht als dauerhafte Sicherheitsmaßnahme übernommen wird, sollte sie während jeder Phase der Erkennung und Entwicklung für Sicherheitsgruppen mit den geringsten Berechtigungen verwendet werden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt
|
Dms Replication Not Public
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob AWS DMS-Replikationsinstanzen öffentlich sind. Dazu wird der Wert des Felds Eine private Replikationsinstanz hat eine private IP-Adresse, auf die Sie außerhalb des Replikationsnetzwerks nicht zugreifen können. Eine Replikationsinstanz sollte eine private IP-Adresse haben, wenn sich die Quell- und die Zieldatenbank im selben Netzwerk befinden. Das Netzwerk muss außerdem über VPN, AWS Direct Connect oder VPC-Peering mit der VPC der Replikationsinstanz verbunden sein. Weitere Informationen zu öffentlichen und privaten Replikationsinstanzen finden Sie unter Öffentliche und private Replikationsinstanzen im Nutzerhandbuch für den AWS Database Migration Service. Achten Sie außerdem darauf, dass nur autorisierte Nutzer Zugriff auf die Konfiguration Ihrer AWS DMS-Instanz haben. Schränken Sie dazu die IAM-Berechtigungen der Nutzer zum Ändern von AWS DMS-Einstellungen und -Ressourcen ein. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Replikationsinstanzen von AWS Database Migration Service öffentlich sind
|
Do Setup Access Keys During Initial User Setup All Iam Users Console
Kategoriename in der API: |
Ergebnisbeschreibung: In der AWS-Konsole sind beim Erstellen eines neuen IAM-Nutzers standardmäßig keine Kästchen ausgewählt. Beim Erstellen der IAM-Nutzeranmeldedaten müssen Sie festlegen, welche Art von Zugriff sie benötigen. Programmatischer Zugriff: Der IAM-Nutzer muss möglicherweise API-Aufrufe ausführen, die AWS CLI oder die Tools for Windows PowerShell verwenden. Erstellen Sie in diesem Fall einen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für diesen Nutzer. Zugriff auf AWS Management Console: Wenn der Nutzer Zugriff auf die AWS Management Console benötigt, erstellen Sie ein Passwort für den Nutzer. Preisstufe: Enterprise Compliance standards:
|
Richten Sie während der anfänglichen Nutzereinrichtung für alle IAM-Nutzer, die ein Console-Passwort haben, keine Zugriffsschlüssel ein
|
Dynamodb Autoscaling Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Damit wird geprüft, ob eine Amazon DynamoDB-Tabelle ihre Lese- und Schreibkapazität nach Bedarf skalieren kann. Diese Steuerung gilt, wenn die Tabelle entweder den On-Demand-Kapazitätsmodus oder den Bereitstellungsmodus mit konfiguriertem Autoscaling verwendet. Durch die bedarfsgerechte Skalierung der Kapazität werden Ausnahmen gedrosselt, wodurch die Verfügbarkeit Ihrer Anwendungen aufrechterhalten wird. DynamoDB-Tabellen im On-Demand-Kapazitätsmodus werden nur durch die Standardtabellenkontingente für den DynamoDB-Durchsatz begrenzt. Wenn Sie diese Kontingente erhöhen möchten, können Sie ein Support-Ticket über den AWS-Support einreichen. DynamoDB-Tabellen im bereitgestellten Modus mit Autoscaling passen die bereitgestellte Durchsatzkapazität dynamisch in Reaktion auf Traffic-Muster an. Weitere Informationen zur DynamoDB-Anfragedrosselung finden Sie im Amazon DynamoDB-Entwicklerhandbuch unter „Anfragedrosselung und Burst-Kapazität“. Preisstufe: Enterprise Compliance standards:
|
DynamoDB-Tabellen sollten die Kapazität gemäß Nachfrage automatisch skalieren
|
Dynamodb In Backup Plan
Kategoriename in der API: |
Ergebnisbeschreibung: Mit diesem Steuerelement wird ausgewertet, ob eine DynamoDB-Tabelle durch einen Sicherungsplan abgedeckt ist. Die Steuerung schlägt fehl, wenn eine DynamoDB-Tabelle nicht durch einen Sicherungsplan abgedeckt ist. Mit diesem Steuerelement werden nur DynamoDB-Tabellen im Status AKTIV ausgewertet. Sicherungen helfen Ihnen bei der schnelleren Wiederherstellung nach einem Sicherheitsvorfall. Außerdem stärken sie die Ausfallsicherheit Ihrer Systeme. Wenn Sie DynamoDB-Tabellen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen. Preisstufe: Enterprise Compliance standards:
|
Für DynamoDB-Tabellen sollte es einen Sicherungsplan geben
|
Dynamodb Pitr Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Wiederherstellung zu einem bestimmten Zeitpunkt ist einer der verfügbaren Mechanismen zum Sichern von DynamoDB-Tabellen. Eine Sicherung zu einem bestimmten Zeitpunkt wird 35 Tage lang gespeichert. Wenn Sie eine längere Aufbewahrung benötigen, lesen Sie in der AWS-Dokumentation den Abschnitt Geplante Sicherungen für Amazon DynamoDB mit AWS Backup einrichten. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die Wiederherstellung zu einem bestimmten Zeitpunkt für alle AWS DynamoDB-Tabellen aktiviert ist
|
Dynamodb Table Encrypted Kms
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob alle DynamoDB-Tabellen mit einem vom Kunden verwalteten KMS-Schlüssel (nicht standardmäßig) verschlüsselt sind. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle DynamoDB-Tabellen mit AWS Key Management Service (KMS) verschlüsselt sind
|
Ebs Optimized Instance
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die EBS-Optimierung für die EBS-optimierten EC2-Instanzen aktiviert ist Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die EBS-Optimierung für alle Instanzen aktiviert ist, die diese unterstützen
|
Ebs Snapshot Public Restorable Check
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Kontrolle schlägt fehl, wenn Amazon EBS-Snapshots von jemandem wiederhergestellt werden können. EBS-Snapshots werden verwendet, um die Daten auf Ihren EBS-Volumes zu einem bestimmten Zeitpunkt in Amazon S3 zu sichern. Sie können die Snapshots verwenden, um vorherige Status von EBS-Volumes wiederherzustellen. Es ist selten akzeptabel, eine Momentaufnahme mit der Öffentlichkeit zu teilen. In der Regel wurde die Entscheidung, einen Snapshot öffentlich freizugeben, irrtümlicherweise oder ohne umfassende Kenntnisse über die Auswirkungen getroffen. So wird sichergestellt, dass das Teilen dieser Inhalte vollständig geplant und beabsichtigt war. Preisstufe: Enterprise Compliance standards:
|
Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein
|
Ebs Volume Encryption Enabled All Regions
Kategoriename in der API: |
Ergebnisbeschreibung: Elastic Compute Cloud (EC2) unterstützt die Verschlüsselung ruhender Daten, wenn der Elastic Block Store-Dienst (EBS) verwendet wird. Wenn diese Option standardmäßig deaktiviert ist, wird das Erzwingen der Verschlüsselung bei der Erstellung eines EBS-Volumes unterstützt. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die EBS-Volume-Verschlüsselung in allen Regionen aktiviert ist
|
Ec2 Instances In Vpc
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon VPC bietet mehr Sicherheitsfunktionen als EC2 Classic. Es wird empfohlen, dass alle Knoten zu einer Amazon VPC gehören. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass alle Instanzen zu einer VPC gehören
|
Ec2 Instance No Public Ip
Kategoriename in der API: |
Ergebnisbeschreibung: Bei EC2-Instanzen mit öffentlicher IP-Adresse besteht ein erhöhtes Risiko einer Manipulation. Es wird empfohlen, EC2-Instanzen nicht mit einer öffentlichen IP-Adresse zu konfigurieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine Instanz eine öffentliche IP-Adresse hat
|
Ec2 Managedinstance Association Compliance Status Check
Kategoriename in der API: |
Ergebnisbeschreibung: Eine State Manager-Verknüpfung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. Die Konfiguration definiert den Status, den Sie auf Ihren Instanzen beibehalten möchten. Beispielsweise kann eine Verknüpfung angeben, dass auf Ihren Instanzen Antivirensoftware installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen werden müssen. EC2-Instanzen, die eine Verknüpfung mit AWS Systems Manager haben, werden von Systems Manager verwaltet, was das Anwenden von Patches, das Beheben von Fehlkonfigurationen und das Reagieren auf Sicherheitsereignisse erleichtert. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie den Compliancestatus der AWS Systems Manager-Verknüpfung
|
Ec2 Managedinstance Patch Compliance Status Check
Kategoriename in der API: |
Ergebnisbeschreibung: Mit diesem Steuerelement wird geprüft, ob der Status der AWS Systems Manager-Verknüpfungscompliance COMPLIANT oder NON_COMPLIANT ist, nachdem die Verknüpfung auf einer Instanz ausgeführt wurde. Die Steuerung schlägt fehl, wenn der Compliancestatus der Verknüpfung NON_COMPLIANT ist. Eine State Manager-Verknüpfung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. Die Konfiguration definiert den Status, den Sie auf Ihren Instanzen beibehalten möchten. Beispielsweise kann eine Verknüpfung angeben, dass auf Ihren Instanzen Antivirensoftware installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen werden müssen. Nachdem Sie eine oder mehrere State Manager-Verknüpfungen erstellt haben, stehen Ihnen sofort Informationen zum Compliancestatus zur Verfügung. Sie können den Compliancestatus in der Console oder als Reaktion auf AWS CLI-Befehle oder entsprechende Systems Manager API-Aktionen ansehen. Bei Verknüpfungen wird unter „Konfigurationscompliance“ der Compliancestatus angezeigt („Konform“ oder „Nicht konform“). Außerdem wird der Schweregrad angezeigt, der der Verknüpfung zugewiesen ist, z. B. „Kritisch“ oder „Mittel“. Weitere Informationen zur Compliance der State Manager-Verknüpfung finden Sie im AWS Systems Manager-Nutzerhandbuch unter Informationen zur Einhaltung der State Manager-Verknüpfung. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie den Status der AWS Systems Manager-Patchcompliance
|
Ec2 Metadata Service Allows Imdsv2
Kategoriename in der API: |
Ergebnisbeschreibung: Beim Aktivieren des Metadatendienstes auf AWS EC2-Instanzen können Nutzer entweder den Instanzmetadatendienst Version 1 (IMDSv1; eine Anfrage/Antwort-Methode) oder den Instanzmetadatendienst Version 2 (IMDSv2; eine sitzungsorientierte Methode) verwenden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass der EC2-Metadatendienst nur IMDSv2 zulässt
|
Ec2 Volume Inuse Check
Kategoriename in der API: |
Ergebnisbeschreibung: Erkennen und Entfernen nicht angehängter (nicht verwendeter) Elastic Block Store-Volumes (EBS-Volumes) in Ihrem AWS-Konto, um die Kosten Ihrer monatlichen AWS-Rechnung zu senken. Das Löschen nicht verwendeter EBS-Volumes verringert auch das Risiko, dass vertrauliche/sensible Daten Ihr Unternehmen verlassen. Außerdem prüft diese Steuerung auch, ob archivierte EC2-Instanzen zum Löschen von Volumes bei der Beendigung konfiguriert sind. EC2-Instanzen sind standardmäßig so konfiguriert, dass sie die Daten in allen mit der Instanz verknüpften EBS-Volumes und das Root-EBS-Volume der Instanz löschen. Alle Nicht-Root-EBS-Volumes, die beim Start oder während der Ausführung an die Instanz angehängt sind, bleiben jedoch standardmäßig nach der Beendigung erhalten. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob EBS-Volumes an EC2-Instanzen angehängt und zum Löschen bei Instanzbeendigung konfiguriert sind
|
Efs Encrypted Check
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon EFS unterstützt zwei Formen der Verschlüsselung für Dateisysteme: die Verschlüsselung von Daten bei der Übertragung und die Verschlüsselung ruhender Daten. Dadurch wird geprüft, ob für alle EFS-Dateisysteme die Verschlüsselung ruhender Daten für alle aktivierten Regionen im Konto konfiguriert ist. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob EFS zum Verschlüsseln von Dateidaten mit KMS konfiguriert ist
|
Efs In Backup Plan
Kategoriename in der API: |
Ergebnisbeschreibung: In den Best Practices für Amazon wird empfohlen, Sicherungen für Ihre Elastic File Systems (EFS) zu konfigurieren. Dadurch wird in allen EFS in jeder aktivierten Region in Ihrem AWS-Konto nach aktivierten Sicherungen gesucht. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob EFS-Dateisysteme in AWS-Sicherungsplänen enthalten sind
|
Elb Acm Certificate Required
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob der klassische Load Balancer HTTPS/SSL-Zertifikate verwendet, die von AWS Certificate Manager (ACM) bereitgestellt werden. Die Steuerung schlägt fehl, wenn der mit dem HTTPS/SSL-Listener konfigurierte klassische Load Balancer kein von ACM bereitgestelltes Zertifikat verwendet. Zum Erstellen eines Zertifikats können Sie entweder ACM oder ein Tool verwenden, das die SSL- und TLS-Protokolle unterstützt, z. B. OpenSSL. Security Hub empfiehlt, dass Sie ACM verwenden, um Zertifikate für Ihren Load-Balancer zu erstellen oder zu importieren. ACM lässt sich in klassische Load Balancer einbinden, sodass Sie das Zertifikat auf Ihrem Load Balancer bereitstellen können. Außerdem sollten Sie diese Zertifikate automatisch verlängern. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle klassischen Load Balancer SSL-Zertifikate verwenden, die von AWS Certificate Manager bereitgestellt wurden
|
Elb Deletion Protection Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob für einen Application Load Balancer der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn der Löschschutz nicht konfiguriert ist. Aktivieren Sie den Löschschutz, um den Application Load Balancer vor dem Löschen zu schützen. Preisstufe: Enterprise Compliance standards:
|
Der Löschschutz für Application Load Balancer sollte aktiviert sein
|
Elb Logging Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob Logging für den Application Load Balancer und den klassischen Load Balancer aktiviert ist. Die Steuerung schlägt fehl, wenn access_logs.s3.enabled auf „false“ gesetzt ist. Elastic Load Balancing bietet Zugriffslogs, die detaillierte Informationen über Anfragen erfassen, die an Ihren Load-Balancer gesendet werden. Jedes Protokoll enthält Informationen wie die Uhrzeit, zu der die Anfrage eingegangen ist, die IP-Adresse des Clients, Latenzen, Anfragepfade und Serverantworten. Sie können diese Zugriffslogs verwenden, um Traffic-Muster zu analysieren und Probleme zu beheben. Weitere Informationen finden Sie unter Zugriffslogs für Ihren klassischen Load Balancer im Nutzerhandbuch für klassische Load Balancer. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Logging für klassische und Application Load Balancer aktiviert ist
|
Elb Tls Https Listeners Only
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Prüfung wird sichergestellt, dass alle klassischen Load Balancer für die Verwendung einer sicheren Kommunikation konfiguriert sind. Ein Listener ist ein Prozess, der nach Verbindungsanfragen sucht. Sie ist mit einem Protokoll und einem Port für Frontend-Verbindungen (Client zu Load-Balancer) sowie einem Protokoll und einem Port für Backend-Verbindungen (Load-Balancer zu Instanz) konfiguriert. Informationen zu den Ports, Protokollen und Listener-Konfigurationen, die von Elastic Load Balancing unterstützt werden, finden Sie unter Listener für Ihren klassischen Load Balancer. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob SSL- oder HTTPS-Listener für alle klassischen Load Balancer konfiguriert sind
|
Encrypted Volumes
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die angehängten EBS-Volumes verschlüsselt sind. Um diese Prüfung zu bestehen, müssen EBS-Volumes aktiv und verschlüsselt sein. Wenn das EBS-Volume nicht angehängt ist, unterliegt es dieser Prüfung nicht. Für eine zusätzliche Sicherheitsebene der sensiblen Daten in EBS-Volumes sollten Sie die EBS-Verschlüsselung inaktiver Daten aktivieren. Die Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Ressourcen, bei der Sie keine eigene Schlüsselverwaltungsinfrastruktur erstellen, pflegen und schützen müssen. Zum Erstellen verschlüsselter Volumes und Snapshots werden KMS-Schlüssel verwendet. Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie unter Amazon EBS-Verschlüsselung im Amazon EC2-Benutzerhandbuch für Linux-Instanzen. Preisstufe: Enterprise Compliance standards:
|
Ruhende Daten von angehängten Amazon EBS-Volumes sollten verschlüsselt sein
|
Encryption At Rest Enabled Rds Instances
Kategoriename in der API: |
Ergebnisbeschreibung: Mit Amazon RDS verschlüsselte DB-Instanzen verwenden den branchenüblichen AES-256-Verschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, auf dem Ihre Amazon RDS DB-Instanzen gehostet werden. Nach der Verschlüsselung Ihrer Daten führt Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent mit minimaler Auswirkung auf die Leistung durch. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Verschlüsselung ruhender Daten für RDS-Instanzen aktiviert ist
|
Encryption Enabled Efs File Systems
Kategoriename in der API: |
Ergebnisbeschreibung: EFS-Daten sollten im inaktiven Zustand mit AWS KMS (Key Management Service) verschlüsselt werden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Verschlüsselung für EFS-Dateisysteme aktiviert ist
|
Iam Password Policy
Kategoriename in der API: |
Ergebnisbeschreibung: AWS ermöglicht benutzerdefinierte Passwortrichtlinien in Ihrem AWS-Konto, um Komplexitätsanforderungen und obligatorische Rotationszeiträume für die Passwörter Ihrer IAM-Nutzer anzugeben. Wenn Sie keine benutzerdefinierte Passwortrichtlinie festlegen, müssen die IAM-Nutzerpasswörter der AWS-Standard-Passwortrichtlinie entsprechen. In den Best Practices für die AWS-Sicherheit werden die folgenden Anforderungen an die Komplexität von Passwörtern empfohlen:
Mit dieser Einstellung werden alle angegebenen Anforderungen der Passwortrichtlinie geprüft. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die Richtlinie für Kontopasswörter für IAM-Nutzer den angegebenen Anforderungen entspricht
|
Iam Password Policy Prevents Password Reuse
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Passwortrichtlinien können die Wiederverwendung eines bestimmten Passworts durch denselben Nutzer verhindern. Es wird empfohlen, die Wiederverwendung von Passwörtern durch die Passwortrichtlinie zu verhindern. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert
|
Iam Password Policy Requires Minimum Length 14 Greater
Kategoriename in der API: |
Ergebnisbeschreibung: Passwortrichtlinien werden teilweise verwendet, um Anforderungen an die Komplexität von Passwörtern durchzusetzen. Mit IAM-Passwortrichtlinien können Sie dafür sorgen, dass Passwörter mindestens eine bestimmte Länge haben. Die Passwortrichtlinie sollte eine Mindestpasswortlänge von 14 Zeichen voraussetzen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die IAM-Passwortrichtlinie eine Mindestlänge von 14 Zeichen verlangt
|
Iam Policies Allow Full Administrative Privileges Attached
Kategoriename in der API: |
Ergebnisbeschreibung: Mit IAM-Richtlinien werden Nutzern, Gruppen oder Rollen Berechtigungen gewährt. Es wird empfohlen und gilt als standardmäßige Sicherheitsempfehlung, die geringste Berechtigung zu gewähren, also nur die Berechtigungen zu gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Bestimmen Sie, was Nutzer tun müssen, und erstellen Sie dann Richtlinien, mit denen Nutzer nur diese Aufgaben ausführen können, anstatt vollständige Administratorberechtigungen zu erteilen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine IAM-Richtlinien angehängt sind, die uneingeschränkte „*:*“-Administratorberechtigungen gewähren
|
Iam Users Receive Permissions Groups
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Nutzern wird über IAM-Richtlinien Zugriff auf Dienste, Funktionen und Daten gewährt. Es gibt vier Möglichkeiten, Richtlinien für einen Nutzer zu definieren: 1) Sie können die Nutzerrichtlinie direkt (auch als Inline-Richtlinie oder Nutzerrichtlinie bezeichnet) bearbeiten, 2) eine Richtlinie direkt mit einem Nutzer verknüpfen, 3) den Nutzer einer IAM-Gruppe mit einer verknüpften Richtlinie hinzufügen und 4) den Nutzer einer IAM-Gruppe mit einer Inline-Richtlinie hinzufügen. Es wird nur die dritte Implementierung empfohlen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass IAM-Nutzer Berechtigungen nur über Gruppen erhalten
|
Iam User Group Membership Check
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Nutzer sollten immer Teil einer IAM-Gruppe sein, um die Best Practices für die IAM-Sicherheit einzuhalten. Durch das Hinzufügen von Nutzern zu einer Gruppe können Richtlinien für verschiedene Nutzertypen freigegeben werden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob IAM-Nutzer Mitglieder von mindestens einer IAM-Gruppe sind
|
Iam User Mfa Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Multi-Faktor-Authentifizierung (MFA) ist eine Best Practice, bei der Nutzernamen und Passwörter zusätzlich geschützt werden. Wenn sich ein Nutzer bei der MFA in der AWS-Verwaltungskonsole anmeldet, muss er einen zeitkritischen Authentifizierungscode angeben, der von einem registrierten virtuellen oder physischen Gerät bereitgestellt wird. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für AWS IAM-Nutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert ist
|
Iam User Unused Credentials Check
Kategoriename in der API: |
Ergebnisbeschreibung: Damit wird nach IAM-Passwörtern oder aktiven Zugriffschlüsseln gesucht, die in den letzten 90 Tagen nicht verwendet wurden. In den Best Practices wird empfohlen, alle Anmeldedaten zu entfernen, zu deaktivieren oder zu rotieren, die 90 Tage oder länger nicht verwendet wurden. So können Anmeldedaten, die mit einem manipulierten oder nicht mehr genutzten Konto verknüpft sind, schneller verwendet werden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle AWS IAM-Nutzer Passwörter oder aktive Zugriffsschlüssel haben, die in der unter „maxCredentialUsageAge“ angegebenen Anzahl von Tagen nicht verwendet wurden (Standardeinstellung: 90)
|
Kms Cmk Not Scheduled For Deletion
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Einstellung wird geprüft, ob KMS-Schlüssel zum Löschen vorgemerkt sind. Die Kontrolle schlägt fehl, wenn ein KMS-Schlüssel zum Löschen vorgemerkt ist. KMS-Schlüssel können nach dem Löschen nicht wiederhergestellt werden. Daten, die mit einem KMS-Schlüssel verschlüsselt wurden, sind auch dauerhaft nicht wiederherstellbar, wenn der KMS-Schlüssel gelöscht wird. Wenn wichtige Daten mit einem KMS-Schlüssel verschlüsselt wurden, der zum Löschen vorgemerkt ist, sollten Sie die Daten entschlüsseln oder unter einem neuen KMS-Schlüssel neu verschlüsseln, es sei denn, Sie führen absichtlich eine kryptografische Löschung durch. Wenn ein KMS-Schlüssel zum Löschen vorgemerkt ist, wird eine obligatorische Wartezeit erzwungen, damit das Löschen rückgängig gemacht werden kann, falls der Löschvorgang irrtümlich geplant wurde. Die standardmäßige Wartezeit beträgt 30 Tage, kann aber auf bis zu 7 Tage reduziert werden, wenn der KMS-Schlüssel zum Löschen vorgemerkt ist. Während der Wartezeit kann das geplante Löschen abgebrochen werden und der KMS-Schlüssel wird nicht gelöscht. Weitere Informationen zum Löschen von KMS-Schlüsseln finden Sie unter KMS-Schlüssel löschen im AWS Key Management Service-Entwicklerhandbuch. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie alle CMKs darauf, dass sie nicht zum Löschen geplant sind
|
Lambda Concurrency Check
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob für die Lambda-Funktion ein Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Die Regel ist NON_COMPLIANT, wenn die Lambda-Funktion nicht mit einem Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Preisstufe: Enterprise Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüfen Sie, ob für Lambda-Funktionen das Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist
|
Lambda Dlq Check
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob eine Lambda-Funktion mit einer Dead-Letter-Warteschlange konfiguriert ist. Die Regel ist NON_COMPLIANT, wenn die Lambda-Funktion nicht mit einer Dead-Letter-Warteschlange konfiguriert ist. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Lambda-Funktionen mit einer Dead-Letter-Warteschlange konfiguriert sind
|
Lambda Function Public Access Prohibited
Kategoriename in der API: |
Ergebnisbeschreibung: In den Best Practices von AWS wird empfohlen, die Lambda-Funktion nicht öffentlich zugänglich zu machen. Mit dieser Richtlinie werden alle Lambda-Funktionen geprüft, die in allen aktivierten Regionen in Ihrem Konto bereitgestellt werden. Sie schlägt fehl, wenn sie den öffentlichen Zugriff nicht zulassen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die an die Lambda-Funktion angehängte Richtlinie den öffentlichen Zugriff verhindert
|
Lambda Inside Vpc
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob sich eine Lambda-Funktion in einer VPC befindet. Möglicherweise werden fehlgeschlagene Ergebnisse für Lambda@Edge-Ressourcen angezeigt. Die Konfiguration des VPC-Subnetz-Routings wird nicht ausgewertet, um die öffentliche Erreichbarkeit zu bestimmen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Lambda-Funktionen in einer VPC vorhanden sind
|
Mfa Delete Enabled S3 Buckets
Kategoriename in der API: |
Ergebnisbeschreibung: Sobald MFA Delete für Ihren vertraulichen und klassifizierten S3-Bucket aktiviert ist, müssen Nutzer zwei Authentifizierungsformen haben. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass MFA-Löschungen für S3-Buckets aktiviert sind
|
Mfa Enabled Root User Account
Kategoriename in der API: |
Ergebnisbeschreibung: Das Root-Nutzerkonto ist der Nutzer mit den meisten Berechtigungen in einem AWS-Konto. Mit der Multi-Faktor-Authentifizierung (MFA) wird der Nutzername und das Passwort zusätzlich geschützt. Wenn MFA aktiviert ist, wird ein Nutzer bei der Anmeldung auf einer AWS-Website aufgefordert, seinen Nutzernamen und sein Passwort sowie einen Authentifizierungscode von seinem AWS-MFA-Gerät einzugeben. Hinweis: Wenn virtuelle MFA für Root-Konten verwendet wird, sollte das verwendete Gerät KEIN persönliches Gerät sein, sondern ein zweckbestimmtes Mobilgerät (Tablet oder Smartphone), das unabhängig von individuellen persönlichen Geräten verwaltet und geschützt wird. („nicht persönliche virtuelle MFA“) verringern das Risiko, den Zugriff auf die MFA zu verlieren, wenn ein Gerät verloren geht, ein Gerät eingetauscht wird oder die Person, die das Gerät besitzt, nicht mehr im Unternehmen beschäftigt ist. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass MFA für das Root-Nutzerkonto aktiviert ist
|
Multi Factor Authentication Mfa Enabled All Iam Users Console
Kategoriename in der API: |
Ergebnisbeschreibung: Die Multi-Faktor-Authentifizierung (MFA) bietet zusätzliche Sicherheit bei der Authentifizierung, die über herkömmliche Anmeldedaten hinausgeht. Wenn MFA aktiviert ist, wird ein Nutzer bei der Anmeldung in der AWS-Konsole aufgefordert, seinen Nutzernamen und sein Passwort sowie einen Authentifizierungscode von seinem physischen oder virtuellen MFA-Token einzugeben. Es wird empfohlen, MFA für alle Konten zu aktivieren, die ein Konsolenpasswort haben. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer aktiviert ist, die ein Console-Passwort haben
|
No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration
Kategoriename in der API: |
Ergebnisbeschreibung: Die NACL-Funktion (Network Access Control List) bietet zustandslose Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, keine NACL uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zu erlauben, z. B. SSH an Port Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine Netzwerk-ACLs eingehenden Traffic von 0.0.0.0/0 an Remote-Serververwaltungsports zulassen
|
No Root User Account Access Key Exists
Kategoriename in der API: |
Ergebnisbeschreibung: Das Root-Nutzerkonto ist der Nutzer mit den meisten Berechtigungen in einem AWS-Konto. AWS-Zugriffsschlüssel ermöglichen programmatischen Zugriff auf ein bestimmtes AWS-Konto. Es wird empfohlen, alle Zugriffsschlüssel zu löschen, die mit dem Root-Nutzerkonto verknüpft sind. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden ist
|
No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, keine Sicherheitsgruppe zu erlauben, uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zu erlauben, z. B. SSH an Port Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von 0.0.0.0/0 an Remote-Serververwaltungsports zulassen
|
No Security Groups Allow Ingress 0 Remote Server Administration
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zulassen, z. B. SSH an Port Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von ::/0 an Remote-Serververwaltungsports zulassen
|
One Active Access Key Available Any Single Iam User
Kategoriename in der API: |
Ergebnisbeschreibung: Zugriffsschlüssel sind langfristige Anmeldedaten für einen IAM-Nutzer oder den Root-Nutzer des AWS-Kontos. Sie können Zugriffsschlüssel verwenden, um programmatische Anfragen an die AWS CLI oder AWS API zu signieren (direkt oder mithilfe des AWS SDK). Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass pro IAM-Nutzer nur ein aktiver Zugriffsschlüssel verfügbar ist
|
Public Access Given Rds Instance
Kategoriename in der API: |
Ergebnisbeschreibung: Achten Sie darauf, dass in Ihrem AWS-Konto bereitgestellte RDS-Datenbankinstanzen unbefugten Zugriff einschränken, um Sicherheitsrisiken zu minimieren. Wenn Sie den Zugriff auf öffentlich zugängliche RDS-Datenbankinstanzen einschränken möchten, müssen Sie das Flag „Öffentlich zugänglich“ der Datenbank deaktivieren und die mit der Instanz verknüpfte VPC-Sicherheitsgruppe aktualisieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass RDS-Instanzen keine öffentliche Zugriffsberechtigung gewährt wird
|
Rds Enhanced Monitoring Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das erweiterte Monitoring bietet über einen in der Instanz installierten Agent Echtzeitmesswerte zum Betriebssystem, auf dem die RDS-Instanz ausgeführt wird. Weitere Informationen finden Sie unter Betriebssystemmesswerte mit erweitertem Monitoring überwachen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob erweitertes Monitoring für alle RDS-Datenbankinstanzen aktiviert ist
|
Rds Instance Deletion Protection Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Aktivieren des Instanzlöschungsschutzes ist eine zusätzliche Schutzebene vor versehentlichem Löschen der Datenbank oder vor dem Löschen durch eine nicht autorisierte Entität. Wenn der Löschschutz aktiviert ist, kann eine RDS-Datenbankinstanz nicht gelöscht werden. Bevor eine Löschanfrage erfolgreich sein kann, muss der Löschschutz deaktiviert werden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für alle RDS-Instanzen der Löschschutz aktiviert ist
|
Rds In Backup Plan
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Prüfung wird bewertet, ob Amazon RDS DB-Instanzen durch einen Sicherungsplan abgedeckt sind. Diese Kontrolle schlägt fehl, wenn eine RDS-Datenbankinstanz nicht durch einen Sicherungsplan abgedeckt ist. AWS Backup ist ein vollständig verwalteter Sicherungsdienst, der die Sicherung von Daten für alle AWS-Dienste zentralisiert und automatisiert. Mit AWS Backup können Sie Sicherungsrichtlinien, sogenannte Sicherungspläne, erstellen. Mit diesen Plänen können Sie Ihre Sicherungsanforderungen definieren, z. B. wie oft Ihre Daten gesichert werden sollen und wie lange diese Sicherungen aufbewahrt werden sollen. Wenn Sie RDS-Datenbankinstanzen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen. Preisstufe: Enterprise Compliance standards:
|
Für die RDS-Datenbankinstanzen sollte es einen Sicherungsplan geben
|
Rds Logging Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob die folgenden Logs von Amazon RDS aktiviert und an CloudWatch gesendet werden. Für RDS-Datenbanken sollten relevante Logs aktiviert sein. Das Datenbank-Logging bietet detaillierte Datensätze zu Anfragen an RDS. Datenbanklogs können bei Sicherheits- und Zugriffsaudits hilfreich sein und bei der Diagnose von Verfügbarkeitsproblemen helfen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob exportierte Logs für alle RDS-Datenbankinstanzen aktiviert sind
|
Rds Multi Az Support
Kategoriename in der API: |
Ergebnisbeschreibung: RDS-Datenbankinstanzen sollten für mehrere Verfügbarkeitszonen (Availability Zones, AZs) konfiguriert sein. Dadurch wird die Verfügbarkeit der gespeicherten Daten sichergestellt. Multi-AZ-Bereitstellungen ermöglichen einen automatischen Failover bei Problemen mit der Verfügbarkeit der Verfügbarkeitszone und während der regelmäßigen RDS-Wartung. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die Hochverfügbarkeit für alle RDS-Datenbankinstanzen aktiviert ist
|
Redshift Cluster Configuration Check
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird nach wesentlichen Elementen eines Redshift-Clusters gesucht: Verschlüsselung ruhender Daten, Logging und Knotentyp. Diese Konfigurationselemente sind für die Wartung eines sicheren und beobachtbaren Redshift-Clusters wichtig. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für alle Redshift-Cluster die Verschlüsselung ruhender Daten, das Logging und der Knotentyp konfiguriert sind.
|
Redshift Cluster Maintenancesettings Check
Kategoriename in der API: |
Ergebnisbeschreibung: Automatische Upgrades der Hauptversion finden je nach Wartungsfenster statt Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für alle Redshift-Cluster „allowVersionUpgrade“ aktiviert ist und Werte für „preferredMaintenanceWindow“ sowie „automatedSnapshotRetentionPeriod“ festgelegt sind
|
Redshift Cluster Public Access Check
Kategoriename in der API: |
Ergebnisbeschreibung: Das PubliclyAccessible-Attribut der Amazon Redshift-Clusterkonfiguration gibt an, ob der Cluster öffentlich zugänglich ist. Wenn für den Cluster „PubliclyAccessible“ auf „true“ festgelegt ist, handelt es sich um eine mit dem Internet verbundene Instanz mit einem öffentlich auflösbaren DNS-Namen, der in eine öffentliche IP-Adresse aufgelöst wird. Wenn der Cluster nicht öffentlich zugänglich ist, handelt es sich um eine interne Instanz mit einem DNS-Namen, der in eine private IP-Adresse aufgelöst wird. Wenn Ihr Cluster nicht öffentlich zugänglich sein soll, sollte er nicht mit PubliclyAccessible auf „true“ konfiguriert werden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Redshift-Cluster öffentlich zugänglich sind
|
Restricted Common Ports
Kategoriename in der API: |
Ergebnisbeschreibung: Hiermit wird geprüft, ob uneingeschränkter eingehender Traffic für die Sicherheitsgruppen für die angegebenen Ports mit dem höchsten Risiko zugänglich ist. Diese Steuerung schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Traffic von „0.0.0.0/0“ oder „::/0“ für diese Ports zulässt. Der uneingeschränkte Zugriff (0.0.0.0/0) erhöht das Risiko von schädlichen Aktivitäten wie Hacking, Denial-of-Service-Angriffen und Datenverlust. Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten eingehenden Zugriff auf die folgenden Ports zulassen:
Preisstufe: Enterprise Compliance standards:
|
Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen
|
Restricted Ssh
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. CIS empfiehlt, keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf Port 22 zu erlauben. Durch das Entfernen uneingeschränkter Verbindungen zu Remote-Konsolendiensten wie SSH wird das Risiko eines Servers verringert. Preisstufe: Enterprise Compliance standards:
|
Sicherheitsgruppen sollten keinen eingehenden Traffic von 0.0.0.0/0 an Port 22 zulassen
|
Rotation Customer Created Cmks Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die automatische Schlüsselrotation für jeden Schlüssel aktiviert ist und mit der Schlüssel-ID des vom Kunden erstellten AWS KMS-Schlüssels übereinstimmt. Die Regel ist NON_COMPLIANT, wenn die AWS Config-Recorder-Rolle für eine Ressource nicht die Berechtigung kms:describeKey hat. Preisstufe: Enterprise Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Achten Sie darauf, dass die Rotation für vom Kunden erstellte CMKs aktiviert ist
|
Rotation Customer Created Symmetric Cmks Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dem AWS Key Management Service (KMS) können Kunden den Sicherungsschlüssel rotieren. Dabei handelt es sich um im KMS gespeichertes Schlüsselmaterial, das mit der Schlüssel-ID des vom Kunden erstellten Masterschlüssels (Customer Created Customer Master Key, CMK) verknüpft ist. Er ist der Sicherungsschlüssel, der für kryptografische Vorgänge wie Verschlüsselung und Entschlüsselung verwendet wird. Bei der automatisierten Schlüsselrotation werden derzeit alle vorherigen Sicherungsschlüssel beibehalten, sodass die Entschlüsselung verschlüsselter Daten transparent erfolgen kann. Es wird empfohlen, die CMK-Schlüsselrotation für symmetrische Schlüssel zu aktivieren. Die Schlüsselrotation kann für einen asymmetrischen CMK nicht aktiviert werden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Rotation für vom Kunden erstellte symmetrische CMKs aktiviert ist
|
Routing Tables Vpc Peering Are Least Access
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob Routingtabellen für VPC-Peering mit dem Hauptkonto der geringsten Berechtigung konfiguriert sind. Preisstufe: Enterprise Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Achten Sie darauf, dass Routingtabellen für VPC-Peering den geringsten Zugriff gewähren
|
S3 Account Level Public Access Blocks
Kategoriename in der API: |
Ergebnisbeschreibung: Der öffentliche Zugriff von Amazon S3 Block bietet Einstellungen für Zugangspunkte, Buckets und Konten, mit denen Sie den öffentlichen Zugriff auf Amazon S3-Ressourcen verwalten können. Standardmäßig ist bei neuen Buckets, Zugangspunkten und Objekten kein öffentlicher Zugriff möglich. Preisstufe: Enterprise Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüfen Sie, ob die erforderlichen S3-Einstellungen zum Blockieren des öffentlichen Zugriffs auf Kontoebene konfiguriert sind
|
S3 Bucket Logging Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das AWS S3-Serverzugriffs-Logging zeichnet Zugriffsanfragen auf Storage-Buckets auf, was für Sicherheitsaudits nützlich ist. Standardmäßig ist das Serverzugriffs-Logging für S3-Buckets nicht aktiviert. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Logging für alle S3-Buckets aktiviert ist
|
S3 Bucket Policy Set Deny Http Requests
Kategoriename in der API: |
Ergebnisbeschreibung: Auf Amazon S3-Bucket-Ebene können Sie Berechtigungen über eine Bucket-Richtlinie konfigurieren, sodass die Objekte nur über HTTPS zugänglich sind. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die S3-Bucket-Richtlinie auf Ablehnen von HTTP-Anfragen festgelegt ist
|
S3 Bucket Replication Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dieses Steuerelement prüft, ob für einen Amazon S3-Bucket die regionsübergreifende Replikation aktiviert ist. Die Steuerung schlägt fehl, wenn für den Bucket keine regionsübergreifende Replikation oder die Replikation für dieselbe Region ebenfalls aktiviert ist. Replikation ist das automatische, asynchrone Kopieren von Objekten zwischen Buckets in derselben oder in verschiedenen AWS-Regionen. Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen oder mehrere Ziel-Buckets kopiert. In den Best Practices von AWS wird die Replikation für Quell- und Ziel-Buckets empfohlen, die demselben AWS-Konto gehören. Neben der Verfügbarkeit sollten Sie Einstellungen zur Härtung anderer Systeme in Betracht ziehen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die regionsübergreifende Replikation für S3-Buckets aktiviert ist
|
S3 Bucket Server Side Encryption Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob für Ihren S3-Bucket entweder die Standardverschlüsselung von Amazon S3 aktiviert ist oder ob die S3-Bucket-Richtlinie „put-object“-Anfragen ohne serverseitige Verschlüsselung explizit ablehnt. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass alle S3-Buckets die Verschlüsselung ruhender Daten verwenden
|
S3 Bucket Versioning Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Mit Amazon S3 können Sie mehrere Varianten eines Objekts im selben Bucket speichern und die Wiederherstellung nach unbeabsichtigten Nutzeraktionen und Anwendungsfehlern vereinfachen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die Versionsverwaltung für alle S3-Buckets aktiviert ist
|
S3 Default Encryption Kms
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die Amazon S3-Buckets mit AWS Key Management Service (AWS KMS) verschlüsselt sind Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle Buckets mit KMS verschlüsselt sind
|
Sagemaker Notebook Instance Kms Key Configured
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein AWS KMS-Schlüssel (AWS Key Management Service) für eine Amazon SageMaker-Notebookinstanz konfiguriert ist. Die Regel ist NON_COMPLIANT, wenn „KmsKeyId“ für die SageMaker-Notebookinstanz nicht angegeben ist. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für alle SageMaker-Notebookinstanzen die Verwendung von KMS konfiguriert ist
|
Sagemaker Notebook No Direct Internet Access
Kategoriename in der API: |
Ergebnisbeschreibung: Prüfen Sie, ob der direkte Internetzugriff für eine SageMaker-Notebookinstanz deaktiviert ist. Dazu wird geprüft, ob das Feld „DirectInternetAccess“ für die Notebookinstanz deaktiviert ist. Wenn Sie Ihre SageMaker-Instanz ohne VPC konfigurieren, ist der direkte Internetzugriff für Ihre Instanz standardmäßig aktiviert. Konfigurieren Sie Ihre Instanz mit einer VPC und ändern Sie die Standardeinstellung in „Deaktivieren – Zugriff auf das Internet über eine VPC“. Sie benötigen einen Internetzugang, um Modelle über ein Notebook zu trainieren oder zu hosten. Für den Internetzugriff muss Ihre VPC ein NAT-Gateway haben und Ihre Sicherheitsgruppe ausgehende Verbindungen zulässt. Weitere Informationen zum Verbinden einer Notebookinstanz mit Ressourcen in einer VPC finden Sie im Amazon SageMaker-Entwicklerleitfaden unter „Notebookinstanz mit Ressourcen in einer VPC verbinden“. Achten Sie außerdem darauf, dass nur autorisierte Nutzer auf Ihre SageMaker-Konfiguration zugreifen können. Schränken Sie die IAM-Berechtigungen der Nutzer ein, um SageMaker-Einstellungen und -Ressourcen zu ändern. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob der direkte Internetzugriff für alle Amazon SageMaker-Notebookinstanzen deaktiviert ist
|
Secretsmanager Rotation Enabled Check
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein in AWS Secrets Manager gespeichertes Secret mit automatischer Rotation konfiguriert ist. Die Steuerung schlägt fehl, wenn das Secret nicht mit automatischer Rotation konfiguriert ist. Wenn Sie einen benutzerdefinierten Wert für den Parameter Mit Secret Manager können Sie den Sicherheitsstatus Ihrer Organisation verbessern. Secrets umfassen Datenbankanmeldedaten, Passwörter und API-Schlüssel von Drittanbietern. Mit Secret Manager können Sie Secrets zentral speichern, sie automatisch verschlüsseln, den Zugriff auf Secrets steuern sowie Secrets sicher und automatisch rotieren. Secrets Manager kann Secrets rotieren. Mithilfe der Rotation können Sie langfristige Secrets durch kurzfristige ersetzen. Durch die Rotation von Secrets wird beschränkt, wie lange ein nicht autorisierter Nutzer ein manipuliertes Secret verwenden kann. Aus diesem Grund sollten Sie Ihre Secrets häufig rotieren. Weitere Informationen zur Rotation finden Sie unter AWS Secrets Manager-Secrets rotieren im AWS Secrets Manager-Nutzerhandbuch. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für alle AWS Secrets Manager-Secrets die Rotation aktiviert ist
|
Sns Encrypted Kms
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein SNS-Thema im inaktiven Zustand mit AWS KMS verschlüsselt wird. Die Steuerelemente schlagen fehl, wenn ein SNS-Thema keinen KMS-Schlüssel für die serverseitige Verschlüsselung (SSE) verwendet. Durch die Verschlüsselung ruhender Daten verringert sich das Risiko, dass auf dem Laufwerk gespeicherte Daten von einem nicht bei AWS authentifizierten Nutzer aufgerufen werden. Außerdem werden weitere Zugriffskontrollen hinzugefügt, um den Zugriff nicht autorisierter Nutzer auf die Daten zu begrenzen. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. Für eine zusätzliche Sicherheitsebene sollten SNS-Themen im Ruhezustand verschlüsselt werden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle SNS-Themen mit KMS verschlüsselt sind
|
Vpc Default Security Group Closed
Kategoriename in der API: |
Ergebnisbeschreibung: Hier wird geprüft, ob die Standardsicherheitsgruppe einer VPC eingehenden oder ausgehenden Traffic zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Traffic zulässt. Die Regeln für die Standardsicherheitsgruppe lassen den gesamten ausgehenden und eingehenden Traffic von Netzwerkschnittstellen (und den zugehörigen Instanzen) zu, die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, nicht die Standardsicherheitsgruppe zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Einstellung der Regeln für die Standardsicherheitsgruppe so ändern, dass ein- und ausgehender Traffic eingeschränkt wird. Dies verhindert unbeabsichtigten Traffic, wenn die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2-Instanzen konfiguriert wird. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt
|
Vpc Flow Logging Enabled All Vpcs
Kategoriename in der API: |
Ergebnisbeschreibung: VPC-Flusslogs sind ein Feature, mit dem Sie Informationen über den IP-Traffic erfassen können, der in Ihrer VPC an Netzwerkschnittstellen ein- und ausgeht. Nachdem Sie ein Flusslog erstellt haben, können Sie die zugehörigen Daten in Amazon CloudWatch Logs ansehen und abrufen. Es wird empfohlen, VPC-Flusslogs für das Paket „Ablehnungen“ für VPCs zu aktivieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass VPC-Fluss-Logging in allen VPCs aktiviert ist
|
Vpc Sg Open Only To Authorized Ports
Kategoriename in der API: |
Ergebnisbeschreibung: Mit diesem Steuerelement wird geprüft, ob eine Amazon EC2-Sicherheitsgruppe uneingeschränkten eingehenden Traffic von nicht autorisierten Ports zulässt. Der Kontrollstatus wird wie folgt bestimmt: Wenn Sie den Standardwert für „AuthorizedTcpPorts“ verwenden, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem anderen Port als den Ports 80 und 443 zulässt. Wenn Sie benutzerdefinierte Werte für „authorizedTcpPorts“ oder „authorizedUdpPorts“ angeben, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem nicht aufgeführten Port zulässt. Wenn kein Parameter verwendet wird, schlägt die Steuerung für alle Sicherheitsgruppen mit einer Regel für uneingeschränkten eingehenden Traffic fehl. Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS. Regeln für Sicherheitsgruppen sollten dem Prinzip der geringsten Berechtigung folgen. Uneingeschränkter Zugriff (IP-Adresse mit dem Suffix /0) erhöht das Risiko von schädlichen Aktivitäten wie Hacking, Denial-of-Service-Angriffen und Datenverlust. Sofern ein Port nicht ausdrücklich erlaubt ist, sollte über den Port uneingeschränkter Zugriff verweigert werden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Sicherheitsgruppen mit 0.0.0.0/0 von VPCs nur bestimmten eingehenden TCP/UDP-Traffic zulassen
|
Both VPC VPN Tunnels Up
Kategoriename in der API: |
Ergebnisbeschreibung: Ein VPN-Tunnel ist eine verschlüsselte Verbindung, über die Daten innerhalb einer AWS Site-to-Site-VPN-Verbindung vom Kundennetzwerk zu oder von AWS übertragen werden können. Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie gleichzeitig für Hochverfügbarkeit verwenden können. Es ist wichtig, für eine sichere und hochverfügbare Verbindung zwischen einer AWS-VPC und Ihrem Remote-Netzwerk sicherzustellen, dass beide VPN-Tunnel für eine VPN-Verbindung eingerichtet sind. Dieses Steuerelement prüft, ob beide vom AWS Site-to-Site-VPN bereitgestellte VPN-Tunnel den Status UP haben. Die Steuerung schlägt fehl, wenn sich einer oder beide Tunnel im Status DOWN befinden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob beide von AWS Site-to-Site bereitgestellten AWS-VPN-Tunnel den Status UP haben
|
Web Security Scanner-Ergebnisse
Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.
| Kategorie | Ergebnisbeschreibung | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
|---|---|---|---|
Accessible Git repository
Kategoriename in der API: |
Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository.
Preisstufe: Standard |
A5 | A01 |
Accessible SVN repository
Kategoriename in der API: |
Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository.
Preisstufe: Standard |
A5 | A01 |
Cacheable password input
Kategoriename in der API: |
In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden.
Preisstufe: Premium |
A3 | A04 |
Clear text password
Kategoriename in der API: |
Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort.
Preisstufe: Standard |
A3 | A02 |
Insecure allow origin ends with validation
Kategoriename in der API: |
Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Suffix des Anfrageheaders Origin, bevor er im Antwortheader Access-Control-Allow-Origin widergespiegelt wird. Prüfen Sie zur Korrektur dieses Ergebnisses, ob die erwartete Stammdomain Teil des Headerwerts Origin ist, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben. Stellen Sie bei Subdomain-Platzhaltern der Stammdomain einen Punkt voran, z. B. .endsWith(".google.com").
Preisstufe: Premium |
A5 | A01 |
Insecure allow origin starts with validation
Kategoriename in der API: |
Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Präfix des Anfrageheaders Origin, bevor er im Antwortheader Access-Control-Allow-Origin widergespiegelt wird. Um dieses Ergebnis zu korrigieren, prüfen Sie, ob die erwartete Domain vollständig mit dem Headerwert Origin übereinstimmt, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben, z. B. .equals(".google.com").
Preisstufe: Premium |
A5 | A01 |
Invalid content type
Kategoriename in der API: |
Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu korrigieren, legen Sie für den HTTP-Header X-Content-Type-Options den richtigen Wert fest.
Preisstufe: Standard |
A6 | A05 |
Invalid header
Kategoriename in der API: |
Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
Preisstufe: Standard |
A6 | A05 |
Mismatching security header values
Kategoriename in der API: |
Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
Preisstufe: Standard |
A6 | A05 |
Misspelled security header name
Kategoriename in der API: |
Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
Preisstufe: Standard |
A6 | A05 |
Mixed content
Kategoriename in der API: |
Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden.
Preisstufe: Standard |
A6 | A05 |
Outdated library
Kategoriename in der API: |
Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben.
Preisstufe: Standard |
A9 | A06 |
Server side request forgery
Kategoriename in der API: |
Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben.
Preisstufe: Standard |
Nicht zutreffend | A10 |
Session ID leak
Kategoriename in der API: |
Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzungs-ID des Nutzers im Anfrageheader Referer. Diese Sicherheitslücke gewährt der empfangenden Domain Zugriff auf die Sitzungs-ID, mit der die Identität des Nutzers angenommen oder dieser sicher identifiziert werden kann.
Preisstufe: Premium |
A2 | A07 |
SQL injection
Kategoriename in der API: |
Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen, um dieses Ergebnis anzusprechen.
Preisstufe: Premium |
A1 | A03 |
Struts insecure deserialization
Kategoriename in der API: |
Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren.
Preisstufe: Premium |
A8 | A08 |
XSS
Kategoriename in der API: |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.
Preisstufe: Standard |
A7 | A03 |
XSS angular callback
Kategoriename in der API: |
Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden, um das Problem zu beheben.
Preisstufe: Standard |
A7 | A03 |
XSS error
Kategoriename in der API: |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.
Preisstufe: Standard |
A7 | A03 |
XXE reflected file leakage
Kategoriename in der API: |
Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host offenlegt. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben.
Preisstufe: Premium |
A4 | A05 |
Prototype pollution
Kategoriename in der API: |
Die Anwendung ist anfällig für Verschmutzung durch Prototypen. Diese Sicherheitslücke tritt auf, wenn Attributen des Object.prototype-Objekts von Angreifern steuerbare Werte zugewiesen werden können. Es wird allgemein angenommen, dass die in diese Prototypen eingefügten Werte zu Cross-Site-Scripting oder ähnlichen clientseitigen Sicherheitslücken sowie zu logischen Fehlern führen.
Preisstufe: Standard |
A1 | A03 |
Ergebnisse und Behebung von Rapid Vulnerability Detection
Rapid Vulnerability Detection erkennt schwache Anmeldedaten, unvollständige Softwareinstallationen und andere kritische Sicherheitslücken, bei denen die Wahrscheinlichkeit der Ausnutzung hoch ist. Der Dienst erkennt automatisch Netzwerkendpunkte, Protokolle, offene Ports, Netzwerkdienste und installierte Softwarepakete.
Die Ergebnisse der schnellen Sicherheitslückenerkennung sind frühzeitig eine Warnung vor Sicherheitslücken und wir empfehlen Ihnen, diese sofort zu beheben.
Informationen zum Aufrufen der Ergebnisse finden Sie unter Ergebnisse in Security Command Center prüfen.
Mit Rapid Vulnerability Detection-Scans werden die folgenden Ergebnistypen identifiziert.
| Ergebnistyp | Ergebnisbeschreibung | OWASP-Top-10-Codes |
|---|---|---|
| Schwache Ergebnisse zu Anmeldedaten | ||
WEAK_CREDENTIALS
|
Dieser Detektor sucht nach schwachen Anmeldedaten mithilfe von Bruch-Force-Methoden vom Typ ncrack. Unterstützte Dienste:SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Abhilfe : Erzwingen Sie eine Richtlinie für ein starkes Passwort. Erstellen Sie eindeutige Anmeldedaten für Ihre Dienste und vermeiden Sie die Verwendung von Wörterbuchwörtern in Passwörtern. |
2021 A07 2017 A2 |
| Ergebnisse der zugänglichen Benutzeroberfläche | ||
ELASTICSEARCH_API_EXPOSED
|
Mit der
Elasticsearch API können Aufrufer beliebige Abfragen ausführen, Skripts schreiben und ausführen sowie dem Dienst weitere Dokumente hinzufügen.
Abhilfe : Entfernen Sie den direkten Zugriff auf die Elasticsearch API, indem Sie Anfragen über eine Anwendung weiterleiten, oder beschränken Sie den Zugriff auf authentifizierte Nutzer. Weitere Informationen finden Sie unter Sicherheitseinstellungen in Elasticsearch. |
2021 A01, A05 2017 A5, A6 |
EXPOSED_GRAFANA_ENDPOINT
|
In Grafana 8.0.0 bis 8.3.0 können Nutzer ohne Authentifizierung auf einen Endpunkt zugreifen, der eine Sicherheitslücke beim Verzeichnisdurchlauf hat, durch die jeder Nutzer beliebige Dateien auf dem Server ohne Authentifizierung lesen kann. Weitere Informationen finden Sie unter CVE-2021-43798. Problembehebung : Patchen Sie Grafana oder führen Sie ein Upgrade von Grafana auf eine neuere Version durch. Weitere Informationen finden Sie unter Grafana-Pfaddurchlauf. |
2021 A06, A07 2017 A2, A9 |
EXPOSED_METABASE
|
Die Versionen x.40.0 bis x.40.4 von Metabase, einer Open-Source-Datenanalyseplattform, enthalten eine Sicherheitslücke in der Unterstützung benutzerdefinierter GeoJSON-Karten und potenzieller lokaler Dateien, einschließlich Umgebungsvariablen. URLs wurden vor dem Laden nicht validiert. Weitere Informationen finden Sie unter CVE-2021-41277. Problembehebung: Führen Sie ein Upgrade auf die Wartungsversionen 0.40.5 oder höher oder 1.40.5 oder höher durch. Weitere Informationen findest du unter Die GeoJSON-URL-Validierung kann Serverdateien und Umgebungsvariablen nicht autorisierten Nutzern zugänglich machen. |
2021 A06 2017 A3, A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
Dieser Detektor prüft, ob vertrauliche Bedienelement-Endpunkte von
Spring Boot-Anwendungen verfügbar gemacht werden. Einige der Standardendpunkte wie /heapdump können vertrauliche Informationen enthalten. Andere Endpunkte wie /env können zur Remote-Codeausführung führen.
Derzeit ist nur /heapdump ausgewählt.
Abhilfe : Deaktivieren Sie den Zugriff auf vertrauliche Auslöser-Endpunkte. Weitere Informationen finden Sie unter HTTP-Endpunkte sichern. |
2021 A01, A05 2017 A5, A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
Dieser Detektor prüft, ob die
Hadoop Yarn ResourceManager API, die die Rechen- und Speicherressourcen eines Hadoop-Clusters steuert, verfügbar ist und eine nicht authentifizierte Codeausführung ermöglicht.
Problembehebung : Verwenden Sie Access Control Lists mit der API. |
2021 A01, A05 2017 A5, A6 |
JAVA_JMX_RMI_EXPOSED
|
Die
Java Management Extension (JMX) ermöglicht Remote-Monitoring und -Diagnose für Java-Anwendungen. Wenn Sie JMX mit einem ungeschützten Remote Methode-Aufrufendpunkt ausführen, können alle Remote-Nutzer eine javax.management.loading.MLet MBean-Datei erstellen und damit neue MBeans aus beliebigen URLs erstellen.
Problembehebung: Informationen zum ordnungsgemäßen Konfigurieren des Remote-Monitoring finden Sie unter Monitoring und Verwaltung mit JMX-Technologie. |
2021 A01, A05 2017 A5, A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
Dieser Detektor prüft, ob ein nicht authentifiziertes Jupyter-Notebook verfügbar gemacht wird. Jupyter ermöglicht Remote-Codeausführung auf dem Hostcomputer.
Bei einem nicht authentifizierten Jupyter-Notebook besteht die Gefahr der Remotecodeausführung auf der Hosting-VM.
Problembehebung: Fügen Sie Ihrem Jupyter Notebook-Server die Tokenauthentifizierung hinzu oder verwenden Sie neuere Versionen von Jupyter Notebook, die standardmäßig die Tokenauthentifizierung verwenden. |
2021 A01, A05 2017 A5, A6 |
KUBERNETES_API_EXPOSED
|
Die
Kubernetes API wird bereitgestellt und kann von nicht authentifizierten Aufrufern aufgerufen werden. Dies ermöglicht die beliebige Codeausführung auf dem Kubernetes-Cluster.
Abhilfe : Authentifizierung für alle API-Anfragen erforderlich. Weitere Informationen finden Sie in der Anleitung zur Authentifizierung der Kubernetes API. |
2021 A01, A05 2017 A5, A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
Dieser Detektor prüft, ob eine WordPress-Installation abgeschlossen ist. Eine noch nicht abgeschlossene WordPress-Installation macht die Seite /wp-admin/install.php offen, über die Angreifer ein Administratorpasswort festlegen und möglicherweise das System manipulieren können.
Problembehebung : Schließen Sie die WordPress-Installation ab. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
Dieser Detektor sucht nach einer nicht authentifizierten Jenkins-Instanz. Dazu wird ein Prüfungs-Ping als anonymer Besucher an den /view/all/newJob-Endpunkt gesendet. Eine authentifizierte Jenkins-Instanz zeigt das Formular createItem. Damit können beliebige Jobs erstellt werden, die zu einer Remotecodeausführung führen können.
Problembehebung: Folgen Sie der Anleitung von Jenkins zum Verwalten der Sicherheit, um den nicht authentifizierten Zugriff zu blockieren. |
2021 A01, A05 2017 A5, A6 |
| Ergebnisse von anfälliger Software | ||
APACHE_HTTPD_RCE
|
In Apache HTTP Server 2.4.49 wurde eine Schwachstelle gefunden, die es einem Angreifer ermöglicht, mithilfe eines Path Traversal-Angriffs URLs Dateien außerhalb des erwarteten Dokumentenstamms zuzuordnen und die Quelle interpretierter Dateien wie CGI-Skripts zu sehen. Dieses Problem wird bekanntermaßen ausgenutzt. Dieses Problem betrifft Apache 2.4.49 und 2.4.50, jedoch nicht ältere Versionen. Weitere Informationen zu dieser Sicherheitslücke finden Sie hier: Abhilfe: Schützen Sie Dateien außerhalb des Dokumentenstamms, indem Sie die Anweisung "require all verboten" (alle verweigert) in Apache HTTP Server konfigurieren. |
2021 A01, A06 2017 A5, A9 |
APACHE_HTTPD_SSRF
|
Angreifer können einen URI zum Apache-Webserver erstellen, der dazu führt, dass Problembehebung: Führen Sie ein Upgrade des Apache HTTP-Servers auf eine neuere Version durch. |
2021 A06, A10 2017 A9 |
CONSUL_RCE
|
Angreifer können auf einem Consul-Server beliebigen Code ausführen, da die Consul-Instanz mit
Nach der Prüfung bereinigt Rapid Vulnerability Detection den Dienst und hebt seine Registrierung mithilfe des REST-Endpunkts Problembehebung: Setzen Sie „enable-script-checks“ in der Console-Instanzkonfiguration auf |
2021 A05, A06 2017 A6, A9 |
DRUID_RCE
|
Apache Druid bietet die Möglichkeit, von Nutzern bereitgestellter JavaScript-Code auszuführen, der in verschiedene Arten von Anfragen eingebettet ist. Diese Funktion ist für die Verwendung in Umgebungen mit hohen Vertrauenswürdigkeit vorgesehen und standardmäßig deaktiviert. In Druid 0.20.0 und früheren Versionen kann ein authentifizierter Nutzer jedoch eine speziell entwickelte Anfrage senden, die Druid zwingt, den vom Nutzer bereitgestellten JavaScript-Code für diese Anfrage auszuführen, unabhängig von der Serverkonfiguration. Hiermit kann Code auf dem Zielcomputer mit den Berechtigungen des Druid-Serverprozesses ausgeführt werden. Weitere Informationen finden Sie unter CVE-2021-25646 Details. Problembehebung: Führen Sie ein Upgrade von Apache Druid auf eine neuere Version durch. |
2021 A05, A06 2017 A6, A9 |
DRUPAL_RCE
Diese Kategorie umfasst zwei Sicherheitslücken in Drupal. Mehrere Ergebnisse dieses Typs können auf mehr als eine Sicherheitslücke hinweisen. |
Drupal-Versionen vor 7.58, 8.x vor 8.3.9, 8.4.x vor 8.4.6 und 8.5.x vor 8.5.1 sind anfällig für die Remote-Codeausführung in Form API-AJAX-Anfragen.
Problembehebung: Führen Sie ein Upgrade auf andere Drupal-Versionen durch. |
2021 A06 2017 A9 |
|
Drupal-Versionen 8.5.x vor 8.5.11 und 8.6.x vor 8.6.10 sind anfällig für die Remote-Codeausführung, wenn entweder das RESTful-Webdienstmodul oder die JSON:API aktiviert ist. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer mithilfe einer benutzerdefinierten POST-Anfrage ausgenutzt werden.
Problembehebung: Führen Sie ein Upgrade auf andere Drupal-Versionen durch. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Durch eine Sicherheitslücke in
Apache Flink-Versionen 1.11.0, 1.11.1 und 1.11.2 können Angreifer jede Datei im lokalen Dateisystem des JobManagers über die REST-Schnittstelle lesen des JobManager-Prozesses. Der Zugriff ist auf Dateien beschränkt, auf die über den JobManager-Prozess zugegriffen werden kann.
Problembehebung: Wenn Ihre Flink-Instanzen verfügbar sind, führen Sie ein Upgrade auf Flink 1.11.3 oder 1.12.0 durch. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
In GitLab Community Edition (CE) und Enterprise Edition (EE) Version 11.9 und höher validiert GitLab die Bilddateien, die an einen Dateiparser übergeben werden, nicht korrekt. Ein Angreifer kann diese Sicherheitslücke zur Remoteausführung von Befehlen ausnutzen. Problembehebung : Führen Sie ein Upgrade auf GitLab CE- oder EE-Release 13.10.3, 13.9.6 und 13.8.8 oder höher durch. Weitere Informationen finden Sie unter Maßnahmen von selbstverwalteten Kunden als Reaktion auf CVE-2021-22205 erforderlich. |
2021 A06 2017 A9 |
GoCD_RCE
|
In GoCD 21.2.0 und früheren Versionen gibt es einen Endpunkt, auf den ohne Authentifizierung zugegriffen werden kann. Dieser Endpunkt hat eine Sicherheitslücke beim Verzeichnisdurchlauf, durch die Nutzer jede beliebige Datei auf dem Server ohne Authentifizierung lesen können. Problembehebung: Führen Sie ein Upgrade auf Version 21.3.0 oder höher durch. Weitere Informationen finden Sie in den Versionshinweisen zu GoCD 21.3.0. |
2021 A06, A07 2017 A2, A9 |
JENKINS_RCE
|
Die
Jenkins-Versionen 2.56 und niedriger sowie 2.46.1 LTS und niedriger sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann auch durch einen nicht authentifizierten Angreifer ausgelöst werden, der ein schädliches serialisiertes Java-Objekt verwendet.
Problembehebung: Installieren Sie eine alternative Jenkins-Version. |
2021 A06, A08 2017 A8, A9 |
JOOMLA_RCE
Diese Kategorie enthält zwei Sicherheitslücken in Joomla. Mehrere Ergebnisse dieses Typs können auf mehr als eine Sicherheitslücke hinweisen. |
Die
Joomla-Versionen 1.5.x, 2.x und 3.x vor 3.4.6 sind anfällig für Remote-Codeausführung. Diese Sicherheitslücke kann durch einen erstellten Header mit serialisierten PHP-Objekten ausgelöst werden.
Abhilfe : Installieren Sie eine alternative Joomla-Version. |
2021 A06, A08 2017 A8, A9 |
|
Joomla-Versionen 3.0.0 bis 3.4.6 sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann durch das Senden einer POST-Anfrage mit einem gefälschten serialisierten PHP-Objekt ausgelöst werden.
Abhilfe : Installieren Sie eine alternative Joomla-Version. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
In Apache Log4j2 2.14.1 und früheren Versionen bieten JNDI-Funktionen, die in Konfigurationen, Lognachrichten und Parametern verwendet werden, keinen Schutz vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten. Weitere Informationen finden Sie unter CVE-2021-44228. Problembehebung: Informationen zur Abhilfe finden Sie unter Apache Log4j-Sicherheitslücken. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
MantisBT durch Version 2.3.0 ermöglicht das Zurücksetzen von Passwörtern und nicht authentifizierten Administratorzugriff. Dazu wird verify.php ein leerer Wert confirm_hash bereitgestellt.
Abhilfe : Aktualisieren Sie MantisBT auf eine neuere Version oder folgen Sie der Anleitung von Mantis, um ein kritisches Sicherheitsupdate anzuwenden. |
2021 A06 2017 A9 |
OGNL_RCE
|
Confluence Server- und Data Center-Instanzen enthalten eine OGNL-Injection-Sicherheitslücke, die es einem nicht authentifizierten Angreifer ermöglicht, beliebigen Code auszuführen. Weitere Informationen finden Sie unter CVE-2021-26084. Abhilfe:Informationen zur Abhilfe finden Sie unter Confluence Server Webwork OGNL Injection – CVE-2021-26084. |
2021 A03 2017 A1 |
OPENAM_RCE
|
Der OpenAM-Server 14.6.2 und niedriger sowie der ForgeRock-AM-Server 6.5.3 und niedriger haben auf mehreren Seiten eine Sicherheitslücke bei der Java-Deserialisierung im Parameter Problembehebung: Führen Sie ein Upgrade auf eine neuere Version durch. Informationen zur Abhilfe bei ForgeRock finden Sie unter AM-Sicherheitshinweis Nr. 202104. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke, einschließlich der Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Diese leicht ausnutzbare Sicherheitslücke ermöglicht einem nicht authentifizierten Angreifer mit Netzwerkzugriff über HTTP, einen Oracle WebLogic Server zu manipulieren. Erfolgreiche Angriffe auf diese Sicherheitslücke können zu einer Übernahme von Oracle WebLogic Server führen. Weitere Informationen finden Sie unter CVE-2020-14882. Problembehebung: Informationen zu Patches finden Sie unter Oracle Critical Patch Update Advisory – Oktober 2020. |
2021 A06, A07 2017 A2, A9 |
PHPUNIT_RCE
|
PHPUnit-Versionen vor 5.6.3 ermöglichen die Ausführung von Remote-Code mit einer einzelnen nicht authentifizierten POST-Anfrage.
Problembehebung : Führen Sie ein Upgrade auf neuere PHPUnit-Versionen durch. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
PHP-Versionen vor 5.3.12 und Versionen 5.4.x vor 5.4.2, wenn sie als CGI-Script konfiguriert sind, ermöglichen die Remote-Ausführung von Code. Abfragestrings, denen das Zeichen = (Gleichheitszeichen) fehlt, werden vom anfälligen Code nicht ordnungsgemäß verarbeitet. Dadurch können Angreifer Befehlszeilenoptionen hinzufügen, die auf dem Server ausgeführt werden.
Problembehebung: Installieren Sie eine alternative PHP-Version. |
2021 A05, A06 2017 A6, A9 |
PORTAL_RCE
|
Die Deserialisierung nicht vertrauenswürdiger Daten in Versionen des
Liferay-Portals vor Version 7.2.1 CE GA2 ermöglicht Remote-Angriffen die Ausführung von beliebigem Code über JSON-Webdienste.
Problembehebung : Führen Sie ein Upgrade auf neuere Liferay Portal-Versionen durch. |
2021 A06, A08 2017 A8, A9 |
REDIS_RCE
|
Wenn eine Redis-Instanz keine Authentifizierung zum Ausführen von Administratorbefehlen erfordert, können Angreifer möglicherweise beliebigen Code ausführen. Abhilfe : Konfigurieren Sie Redis so, dass eine Authentifizierung erforderlich ist. |
2021 A01, A05 2017 A5, A6 |
SOLR_FILE_EXPOSED
|
In Apache Solr, einem Open-Source-Suchserver, ist die Authentifizierung nicht aktiviert. Wenn Apache Solr keine Authentifizierung erfordert, kann ein Angreifer direkt eine Anfrage zur Aktivierung einer bestimmten Konfiguration erstellen und schließlich eine serverseitige Anfragefälschung (SSRF) implementieren oder beliebige Dateien lesen. Problembehebung: Führen Sie ein Upgrade auf alternative Apache Solr-Versionen durch. |
2021 A07, A10 2017 A2 |
SOLR_RCE
|
Die
Apache Solr-Versionen 5.0.0 bis Apache Solr 8.3.1 sind anfällig für die Remote-Codeausführung über den VelocityResponseWriter, wenn params.resource.loader.enabled auf true gesetzt ist. Dadurch können Angreifer einen Parameter erstellen, der eine schädliche Velocity-Vorlage enthält.
Problembehebung: Führen Sie ein Upgrade auf alternative Apache Solr-Versionen durch. |
2021 A06 2017 A9 |
STRUTS_RCE
Diese Kategorie umfasst drei Sicherheitslücken in Apache Struts. Mehrere Ergebnisse dieses Typs können auf mehr als eine Sicherheitslücke hinweisen. |
Apache Struts-Versionen vor 2.3.32 und 2.5.x vor 2.5.10.1 sind anfällig für die Remote-Codeausführung. Die Sicherheitslücke kann auch durch einen nicht authentifizierten Angreifer ausgelöst werden, der einen erstellten Content-Type-Header bereitstellt.
Problembehebung : Installieren Sie eine alternative Apache Struts-Version. |
2021 A06 2017 A9 |
| Das
REST-Plug-in in den Apache Struts-Versionen 2.1.1 bis 2.3.x vor 2.3.34 und 2.5.x vor 2.5.13 ist bei der Deserialisierung von erstellten XML-Nutzlasten anfällig für Remote-Codeausführung.
Problembehebung : Installieren Sie eine alternative Apache Struts-Version. |
2021 A06, A08 2017 A8, A9 |
|
Die
Apache Struts-Versionen 2.3 bis 2.3.34 und 2.5 bis 2.5.16 sind für die Ausführung von Remote-Code anfällig, wenn alwaysSelectFullNamespace auf true gesetzt ist und bestimmte Es sind noch andere Aktionskonfigurationen vorhanden.
Abhilfe : Installieren Sie Version 2.3.35 oder 2.5.17. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Apache Tomcat-Versionen 9.x vor 9.0.31, 8.x vor 8.5.51, 7.x vor 7.0.100 und alle 6.x sind anfällig für Quellcode und die Offenlegung der Konfiguration über einen bereitgestellten Apache JServ Protocol-Connector. In manchen Fällen wird diese Funktion für die Ausführung von Remote-Code verwendet, wenn das Hochladen von Dateien erlaubt ist.
Problembehebung: Führen Sie ein Upgrade auf alternative Apache Tomcat-Versionen durch. |
2021 A06 2017 A3, A9 |
VBULLETIN_RCE
|
Bei
vBulletin-Servern, auf denen die Versionen 5.0.0 bis 5.5.4 ausgeführt werden, kann die Ausführung von Remote-Code nicht ausgeführt werden. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer ausgenutzt werden, der einen Abfrageparameter in einer routestring-Anfrage verwendet.
Problembehebung: Führen Sie ein Upgrade auf alternative VMware vCenter Server-Versionen durch. |
2021 A03, A06 2017 A1, A9 |
VCENTER_RCE
|
VMware vCenter Server in den Versionen 7.x vor 7.0 U1c, 6.7 vor 6.7 U3l und 6.5 vor 6.5 U3n sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann ausgelöst werden, wenn ein Angreifer eine erstellte Java-Serverseiten-Datei in ein über das Internet zugängliches Verzeichnis hochlädt und dann die Ausführung dieser Datei auslöst.
Problembehebung: Führen Sie ein Upgrade auf alternative VMware vCenter Server-Versionen durch. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke bei der Remote-Codeausführung, darunter die Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Diese Sicherheitslücke steht im Zusammenhang mit CVE-2020-14750, CVE-2020-14882 und CVE-2020-14883. Weitere Informationen finden Sie unter CVE-2020-14883. Problembehebung: Informationen zu Patches finden Sie unter Oracle Critical Patch Update Advisory – Oktober 2020. |
2021 A06, A07 2017 A2, A9 |
IAM-Recommender-Ergebnisse
In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die vom IAM Recommender generiert werden.
Jedes IAM-Recommender-Ergebnis enthält spezifische Empfehlungen zum Entfernen oder Ersetzen einer Rolle, die übermäßige Berechtigungen von einem Hauptkonto in Ihrer Google Cloud-Umgebung enthält.
Die vom IAM-Recommender generierten Ergebnisse entsprechen Empfehlungen, die in der Google Cloud Console auf der IAM-Seite des betroffenen Projekts, Ordners oder der betroffenen Organisation angezeigt werden.
Weitere Informationen zur Einbindung des IAM-Recommenders in Security Command Center finden Sie unter Sicherheitsquellen.
| Detektor | Zusammenfassung |
|---|---|
IAM role has excessive permissions
Kategoriename in der API: |
Ergebnisbeschreibung:Der IAM-Recommender hat ein Dienstkonto mit einer oder mehreren IAM-Rollen erkannt, die dem Nutzerkonto übermäßig viele Berechtigungen gewähren. Preisstufe: Premium Unterstützte Assets:
Beheben Sie das Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden auf |
Service agent role replaced with basic role
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Recommender hat erkannt, dass die ursprüngliche IAM-Standardrolle, die einem Dienst-Agent zugewiesen wurde, durch eine der einfachen IAM-Rollen ersetzt wurde: Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind Legacy-Rollen mit übermäßig Berechtigungen und sollten Dienst-Agents nicht gewährt werden. Preisstufe: Premium Unterstützte Assets:
Beheben Sie das Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden auf |
Service agent granted basic role
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Recommender hat in IAM erkannt, dass einem Dienst-Agent eine der einfachen IAM-Rollen Inhaber, Bearbeiter oder Betrachter zugewiesen wurde. Einfache Rollen sind Legacy-Rollen mit zu umfangreichen Berechtigungen und sollten Dienst-Agents nicht gewährt werden. Preisstufe: Premium Unterstützte Assets:
Beheben Sie das Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden auf |
Unused IAM role
Kategoriename in der API: |
Ergebnisbeschreibung:Der IAM-Recommender hat ein Nutzerkonto mit einer IAM-Rolle erkannt, die in den letzten 90 Tagen nicht verwendet wurde. Preisstufe: Premium Unterstützte Assets:
Beheben Sie das Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden auf |
CIEM-Ergebnisse
In der folgenden Tabelle sind die Security Command Center-Identitäten und -Zugriffsergebnisse für AWS aufgeführt, die von Cloud Infrastructure Entitlement Management (CIEM) generiert werden.
Die CIEM-Ergebnisse enthalten spezifische Empfehlungen zum Entfernen oder Ersetzen stark eingeschränkter AWS IAM-Richtlinien, die mit angenommenen Identitäten, Nutzern oder Gruppen in Ihrer AWS-Umgebung verknüpft sind.
Weitere Informationen zu CIEM finden Sie unter Übersicht über Cloud Infrastructure Entitlement Management.
| Detektor | Zusammenfassung |
|---|---|
Assumed identity has excessive permissions
Kategoriename in der API: |
Beschreibung der Erkenntnis:In Ihrer AWS-Umgebung hat CIEM eine angenommene IAM-Rolle mit einer oder mehreren stark moderaten Richtlinien erkannt, die gegen das Prinzip der geringsten Berechtigung verstoßen und die Sicherheitsrisiken erhöhen. Preisstufe: Enterprise
Beheben Sie das Ergebnis : Verwenden Sie je nach Ergebnis die AWS Management Console, um eine der folgenden Abhilfeaufgaben auszuführen:
Informationen zu den spezifischen Abhilfemaßnahmen finden Sie in den Details des Ergebnisses. |
Group has excessive permissions
Kategoriename in der API: |
Beschreibung der Erkenntnis:In Ihrer AWS-Umgebung hat CIEM eine IAM-Gruppe mit einer oder mehreren stark moderaten Richtlinien erkannt, die gegen das Prinzip der geringsten Berechtigung verstoßen und die Sicherheitsrisiken erhöhen. Preisstufe: Enterprise Beheben Sie das Ergebnis : Verwenden Sie je nach Ergebnis die AWS Management Console, um eine der folgenden Abhilfeaufgaben auszuführen:
Informationen zu den spezifischen Abhilfemaßnahmen finden Sie in den Details des Ergebnisses. |
User has excessive permissions
Kategoriename in der API: |
Beschreibung der Erkenntnis:In Ihrer AWS-Umgebung hat CIEM einen IAM-Nutzer mit einer oder mehreren stark moderaten Richtlinien erkannt, die gegen das Prinzip der geringsten Berechtigung verstoßen und die Sicherheitsrisiken erhöhen. Preisstufe: Enterprise Beheben Sie das Ergebnis : Verwenden Sie je nach Ergebnis die AWS Management Console, um eine der folgenden Abhilfeaufgaben auszuführen:
Informationen zu den spezifischen Abhilfemaßnahmen finden Sie in den Details des Ergebnisses. |
Ergebnisse des Sicherheitsstatusdiensts
In der folgenden Tabelle sind die Ergebnisse des Security Command Center aufgeführt, die vom Dienst für den Sicherheitsstatus generiert werden.
Jedes Ergebnis des Sicherheitsstatusdienstes identifiziert eine Instanz einer Abweichung von Ihrem definierten Sicherheitsstatus.
| Ergebnis | Zusammenfassung |
|---|---|
SHA Canned Module Drifted
Kategoriename in der API: |
Ergebnisbeschreibung:Der Security Posture-Dienst hat eine Änderung an einem Security Health Analytics-Detektor erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium
Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Detektoreinstellungen in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können den Security Health Analytics-Detektor oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie den Security Health Analytics-Detektor in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
SHA Custom Module Drifted
Kategoriename in der API: |
Ergebnisbeschreibung:Der Security Posture-Dienst hat eine Änderung an einem benutzerdefinierten Security Health Analytics-Modul erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Moduleinstellungen in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Modul von Security Health Analytics oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Modul für Security Health Analytics in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefiniertes Modul aktualisieren. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
SHA Custom Module Deleted
Kategoriename in der API: |
Ergebnisbeschreibung:Der Security Posture-Dienst hat erkannt, dass ein benutzerdefiniertes Modul für Security Health Analytics gelöscht wurde. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Moduleinstellungen in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Modul von Security Health Analytics oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Modul für Security Health Analytics in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefiniertes Modul aktualisieren. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
Org Policy Canned Constraint Drifted
Kategoriename in der API: |
Ergebnisbeschreibung:Der Security Posture-Dienst hat eine Änderung an einer Organisationsrichtlinie erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die Organisationsrichtlinie oder den Status und die Bereitstellung des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
Org Policy Canned Constraint Deleted
Kategoriename in der API: |
Ergebnisbeschreibung:Der Security Posture-Dienst hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die Organisationsrichtlinie oder den Status und die Bereitstellung des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
Org Policy Custom Constraint Drifted
Kategoriename in der API: |
Ergebnisbeschreibung:Der Security Posture-Dienst hat eine Änderung an einer benutzerdefinierten Organisationsrichtlinie erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der benutzerdefinierten Organisationsrichtlinien in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
Org Policy Custom Constraint Deleted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Security Posture-Dienst hat erkannt, dass eine benutzerdefinierte Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung. Preisstufe: Premium Beheben Sie das Ergebnis : Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der benutzerdefinierten Organisationsrichtlinien in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
VM Manager
VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.
Wenn Sie VM Manager mit Security Command Center Premium auf Organisationsebene aktivieren, schreibt VM Manager Ergebnisse aus den Sicherheitslückenberichten, die sich in der Vorschau befinden, in Security Command Center. Die Berichte identifizieren Sicherheitslücken in auf VMs installierten Betriebssystemen, einschließlich Common Vulnerabilities and Exposures (CVEs).
Wenn Sie VM Manager mit Aktivierungen von Security Command Center Premium auf Projektebene verwenden möchten, aktivieren Sie Security Command Center Standard in der übergeordneten Organisation.
Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.
Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit diesem Feature können Sie die Patchverwaltung auf Projektebene für alle Projekte vornehmen.
Der Schweregrad der von VM Manager erhaltenen Ergebnisse zu Sicherheitslücken ist immer entweder CRITICAL oder HIGH.
VM Manager-Ergebnisse
Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen | Compliance-Standards |
|---|---|---|---|
OS vulnerability
Kategoriename in der API: |
Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt. Preisstufe: Premium
Unterstützte Assets |
VM Manager Berichte zu Sicherheitslücken Detaillierte Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine-VMs, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs). Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter Details zu Betriebssystemen.Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt:
|
Korrekturmaßnahmen für VM-Manager-Ergebnisse
Ein OS_VULNERABILITY-Ergebnis gibt an, dass VM Manager eine Sicherheitslücke in den installierten Betriebssystempaketen in einer Compute Engine-VM gefunden hat.
So können Sie dieses Ergebnis beheben:
Rufen Sie im Security Command Center die Seite Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Unterabschnitt Kategorie von Schnellfiltern die Option Betriebssystem-Sicherheitslücke aus. Die Ergebnisse der Ergebnisabfrage werden so gefiltert, dass nur Ergebnisse zu Sicherheitslücken des Betriebssystems angezeigt werden.
Klicken Sie in der Liste Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf den Kategorienamen des Ergebnisses, das Sie korrigieren möchten. Die Detailseite der Betriebssystem-Sicherheitslücke wird geöffnet.
Klicken Sie auf den Tab JSON. Die JSON-Datei für dieses Ergebnis wird angezeigt.
Kopieren Sie den Wert des Felds
externalUri. Dieser Wert ist der URI für die Seite Betriebssysteminformationen der Compute Engine-VM-Instanz, auf der das anfällige Betriebssystem installiert ist.Wenden Sie alle erforderlichen Patches für das Betriebssystem an, das im Abschnitt Allgemeine Informationen angezeigt wird. Eine Anleitung zum Bereitstellen von Patches finden Sie unter Patchjobs erstellen.
Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Ergebnisse in der Google Cloud Console prüfen
So überprüfen Sie die Ergebnisse in der Google Cloud Console:
Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option VM Manager aus.
Die Tabelle wird mit den Ergebnissen von VM Manager gefüllt.
Klicken Sie auf den Namen des Ergebnisses unter
Category, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.Überprüfen Sie auf dem Tab Zusammenfassung die Informationen zum Ergebnis, einschließlich Informationen darüber, was erkannt wurde, die betroffene Ressource und mehr.
Informationen zum Beheben von VM Manager-Ergebnissen finden Sie unter VM Manager-Ergebnisse korrigieren.
VM Manager-Ergebnisse ausblenden
Möglicherweise möchten Sie einige oder alle VM Manager-Ergebnisse in Security Command Center ausblenden, wenn sie für Ihre Sicherheitsanforderungen nicht relevant sind.
Sie können VM Manager-Ergebnisse ausblenden. Dazu erstellen Sie eine Ausblendungsregel und fügen Abfrageattribute hinzu, die für die VM Manager-Ergebnisse spezifisch sind, die Sie ausblenden möchten.
So erstellen Sie über die Google Cloud Console eine Ausblendungsregel für VM Manager:
Rufen Sie in der Google Cloud Console die Security Command Center-Seite Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Klicken Sie auf Ausblendungsoptionen und wählen Sie dann Ausblendungsregel erstellen aus.
Geben Sie eine ID für eine Ausblendungs-Regel ein. Dieser Wert ist erforderlich.
Geben Sie eine Beschreibung der Ausblendungsregel ein, die den Kontext dafür enthält, warum die Ergebnisse ausgeblendet werden. Dieser Wert ist optional, wird aber empfohlen.
Bestätigen Sie den Geltungsbereich der Ausblendungsregel, indem Sie den Wert Übergeordnete Ressource prüfen.
Erstellen Sie im Feld Ergebnisabfrage Ihre Abfrageanweisungen. Klicken Sie dazu auf Filter hinzufügen. Alternativ können Sie die Abfrageanweisungen manuell eingeben.
- Wählen Sie im Dialogfeld Filter auswählen die Option Ergebnis > Anzeigename der Quelle > VM Manager aus.
- Klicken Sie auf Anwenden.
Wiederholen Sie den Vorgang, bis die Ausblendungsabfrage alle Attribute enthält, die Sie ausblenden möchten.
Wenn Sie beispielsweise bestimmte CVE-IDs in den Ergebnissen zu VM Manager-Sicherheitslücken ausblenden möchten, wählen Sie Vulnerability > CVE ID (Sicherheitslücke > CVE-ID) und dann die CVE-IDs aus, die Sie ausblenden möchten.
Die Ergebnisabfrage sieht in etwa so aus:
Klicken Sie auf Vorschau übereinstimmender Ergebnisse anzeigen.
Eine Tabelle zeigt Ergebnisse an, die Ihrer Abfrage entsprechen.
Klicken Sie auf Speichern.
Sensitive Data Protection
In diesem Abschnitt werden die von Sensitive Data Protection generierten Ergebnisse zu Sicherheitslücken beschrieben, welche Compliancestandards unterstützt werden und wie Sie die Ergebnisse beheben können.
Sensitive Data Protection sendet außerdem Beobachtungsergebnisse an Security Command Center. Weitere Informationen zu den Beobachtungsergebnissen und zum Schutz sensibler Daten finden Sie unter Schutz sensibler Daten.
Weitere Informationen zum Aufrufen der Ergebnisse finden Sie unter Ergebnisse zum Schutz sensibler Daten in der Google Cloud Console prüfen.
Mit dem Erkennungsdienst für Sensitive Data Protection können Sie ermitteln, ob Ihre Cloud Functions-Umgebungsvariablen Secrets wie Passwörter, Authentifizierungstoken und Google Cloud-Anmeldedaten enthalten. Eine vollständige Liste der Secret-Typen, die Sensitive Data Protection in diesem Feature erkennt, finden Sie unter Anmeldedaten und Secrets.
| Ergebnistyp | Ergebnisbeschreibung | Compliancestandards |
|---|---|---|
Secrets in environment variablesKategoriename in der API: SECRETS_IN_ENVIRONMENT_VARIABLES
|
Dieser Detektor sucht in Cloud Functions-Umgebungsvariablen nach Secrets.
Abhilfe : Entfernen Sie das Secret aus der Umgebungsvariablen und speichern Sie es stattdessen in Secret Manager. |
CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18 |
Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Secrets in Umgebungsvariablen an Security Command Center melden.
Policy Controller
Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster, die als Flottenmitgliedschaften registriert sind. Diese Richtlinien dienen als Schutzmaßnahmen und können Sie beim Verwalten von Best Practices, der Sicherheit und der Compliance in Ihren Clustern und Ihrer Flotte unterstützen.
Auf dieser Seite werden nicht alle einzelnen Policy Controller-Ergebnisse aufgelistet. Die Informationen zu den Ergebnissen der Misconfiguration-Klasse, die Policy Controller in das Security Command Center schreibt, sind jedoch dieselben wie die Clusterverstöße, die für jedes Policy Controller-Bundle dokumentiert wurden. Die Dokumentation für die einzelnen Policy Controller-Ergebnistypen finden Sie in den folgenden Policy Controller-Bundles:
- CIS Kubernetes Benchmark Version 1.5.1: Eine Reihe von Empfehlungen zur Konfiguration von Kubernetes, um einen starken Sicherheitsstatus zu unterstützen. Informationen zu diesem Bundle finden Sie auch im GitHub-Repository für
cis-k8s-v1.5.1. - PCI-DSS v3.2.1, ein Bundle, das die Compliance Ihrer Clusterressourcen mit einigen Aspekten des Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1 bewertet.
Informationen zu diesem Bundle finden Sie auch im GitHub-Repository für
pci-dss-v3.
Diese Funktion ist nicht mit VPC Service Controls-Dienstperimetern in der Stackdriver API kompatibel.
Policy Controller-Ergebnisse finden und beheben
Die Policy Controller-Kategorien entsprechen den Einschränkungsnamen, die in der Dokumentation zu Policy Controller-Bundles aufgeführt sind. Ein require-namespace-network-policies-Ergebnis gibt beispielsweise an, dass ein Namespace gegen die Richtlinie verstößt, dass jeder Namespace in einem Cluster eine NetworkPolicy hat.
So korrigieren Sie ein Ergebnis:
Rufen Sie im Security Command Center die Seite Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Unterabschnitt Kategorie von Schnellfiltern den Namen des Policy Controller-Ergebnisses aus, das Sie korrigieren möchten. Die Ergebnisse der Ergebnisabfrage werden so gefiltert, dass nur Ergebnisse aus dieser Kategorie angezeigt werden.
Klicken Sie in der Liste Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf den Kategorienamen des Ergebnisses, das Sie korrigieren möchten. Die Detailseite für das Ergebnis wird geöffnet.
Überprüfen Sie auf dem Tab Zusammenfassung die Informationen zum Ergebnis, einschließlich Informationen darüber, was erkannt wurde, die betroffene Ressource und mehr.
Lesen Sie in der Überschrift Nächste Schritte Informationen zum Beheben des Ergebnisses, einschließlich Links zur Kubernetes-Dokumentation zu dem Problem.
Nächste Schritte
- Weitere Informationen zur Verwendung von Security Health Analytics
- Weitere Informationen zur Verwendung von Web Security Scanner
- Rapid Vulnerability Detection verwenden
- Vorschläge zur Behebung von Security Health Analytics-Ergebnissen und zur Behebung von Web Security Scanner-Ergebnissen