Security Health Analytics- und Web Security Scanner-Detektoren generieren Sicherheitslücken, die in Security Command Center verfügbar sind. Wenn sie in Security Command Center aktiviert sind, generieren integrierte Dienste wie VM Manager auch Ergebnisse zu Sicherheitslücken.
Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) und Berechtigungen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu IAM-Rollen im Security Command Center finden Sie unter Zugriffssteuerung.
Detektoren und Compliance
Security Command Center überwacht Ihre Compliance mithilfe von Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards zugeordnet sind.
Für jeden unterstützten Sicherheitsstandard wird in Security Command Center eine Teilmenge der Steuerelemente geprüft. Für die aktivierten Steuerelemente sehen Sie im Security Command Center, wie viele davon bestanden haben. Für die Kontrollen, die nicht bestanden haben, wird in Security Command Center eine Liste mit Ergebnissen angezeigt, die die Kontrollfehler beschreiben.
Das CIS prüft und zertifiziert die Zuordnungen der Security Command Center-Detektoren zu den einzelnen unterstützten Versionen des CIS Google Cloud Foundations Benchmarks. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.
In Security Command Center werden regelmäßig neue Benchmarkversionen und -standards unterstützt. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, den neuesten unterstützten Benchmark oder Standard zu verwenden.
Mit dem Dienst zum Bestimmen des Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.
Weitere Informationen zum Verwalten der Compliance finden Sie unter Compliance mit Sicherheitsstandards prüfen und melden.
Unterstützte Sicherheitsstandards
Google Cloud
In Security Command Center werden Detektoren für Google Cloud einem oder mehreren der folgenden Compliance-Standards zugeordnet:
- CIS Controls 8.0 (Center for Information Security)
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix (CCM) 4
- US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- ISO 27001, 2022 und 2013 (International Organization for Standardization)
- National Institute of Standards and Technology (NIST) 800-53 R5 und R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 und 2017
- Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
- System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)
AWS
In Security Command Center werden Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zugeordnet:
Eine Anleitung zum Aufrufen und Exportieren von Complianceberichten finden Sie im Abschnitt Compliance unter Security Command Center in der Google Cloud Console verwenden.
Deaktivierung nach der Behebung von Problemen
Nachdem Sie eine Sicherheitslücke oder Fehlkonfiguration behoben haben, setzt der Security Command Center-Dienst, der das Ergebnis erkannt hat, den Status des Ergebnisses beim nächsten Scan des Erkennungsdienstes automatisch auf INACTIVE. Wie lange es dauert, bis ein behobenes Ergebnis in Security Command Center auf INACTIVE gesetzt wird, hängt vom Zeitplan des Scans ab, bei dem das Ergebnis erkannt wurde.
Die Security Command Center-Dienste setzen den Status eines Ergebnisses zu einer Sicherheitslücke oder Fehlkonfiguration auch auf INACTIVE, wenn bei einem Scan festgestellt wird, dass die betroffene Ressource gelöscht wurde.
Weitere Informationen zu Scanintervallen finden Sie in den folgenden Themen:
Ergebnisse von Security Health Analytics
Detektoren von Security Health Analytics überwachen einen Teil der Ressourcen aus Cloud Asset Inventory (CAI), wobei sie Benachrichtigungen über Ressourcenänderungen und Richtlinienänderungen der Identitäts- und Zugriffsverwaltung (IAM) erhalten. Einige Detektoren rufen Daten ab, indem sie Google Cloud APIs direkt aufrufen, wie in Tabellen weiter unten auf dieser Seite angegeben.
Weitere Informationen zu Security Health Analytics, Scanzeitplänen und der Unterstützung von Security Health Analytics für integrierte und benutzerdefinierte Modul-Detektoren finden Sie unter Security Health Analytics – Übersicht.
In den folgenden Tabellen werden die Detektoren von Security Health Analytics, die unterstützten Assets und Compliance-Standards, die für Scans verwendeten Einstellungen und die generierten Ergebnistypen beschrieben. Sie können Ergebnisse nach verschiedenen Attributen filtern, indem Sie in der Google Cloud Console die Seite Sicherheitslücken von Security Command Center aufrufen.
Eine Anleitung zum Beheben von Problemen und zum Schutz Ihrer Ressourcen finden Sie unter Ergebnisse von Security Health Analytics beheben.
Ergebnisse zu Sicherheitslücken beim API-Schlüssel
Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
API key APIs unrestricted
Kategoriename in der API: |
Ergebnisbeschreibung: API-Schlüssel werden zu häufig verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Ruft das Attribut
|
API key apps unrestricted
Kategoriename in der API: |
Ergebnisbeschreibung: API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Ruft des Attribut
|
API key exists
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Ruft alle API-Schlüssel ab, die zu einem Projekt gehören.
|
API key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Ruft den im Attribut
|
Sicherheitslücken in Cloud Asset Inventory
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Asset Inventory-Konfigurationen und gehören zum Typ CLOUD_ASSET_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Cloud Asset API disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Erfassung von Google Cloud-Ressourcen und IAM-Richtlinien durch Cloud Asset Inventory ermöglicht Sicherheitsanalysen, das Tracking von Ressourcenänderungen und die Complianceprüfung. Wir empfehlen, den Cloud Asset Inventory-Dienst für alle Projekte zu aktivieren. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob der Cloud Asset Inventory-Dienst aktiviert ist.
|
Ergebnisse zu Sicherheitslücken bei Compute-Images
Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Public Compute image
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Compute Engine-Image ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.
COMPUTE_INSTANCE_SCANNER-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Der Name solcher Instanzen beginnt mit "gke-" und kann von Nutzern nicht bearbeitet werden. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Confidential Computing disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Confidential Computing ist auf Compute Engine-Instanzen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Compute project wide SSH keys allowed
Kategoriename in der API: |
Ergebnisbeschreibung: Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Objekt
|
Compute Secure Boot disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen. Preisstufe: Premium Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft das Attribut
|
Compute serial ports enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Serielle Ports sind für eine Instanz aktiviert und ermöglichen Verbindungen zur seriellen Konsole der Instanz. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Objekt
|
Default service account used
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Disk CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft das Feld
|
Disk CSEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Sonderfalldetektor. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Feld
|
Full API access
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Ruft das Feld
|
HTTP load balancer
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Bestimmt, ob das Attribut
|
Instance OS Login disabled
Kategoriename in der API: |
Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets
Compliance-Standards:
|
Prüft, ob das Attribut
|
IP forwarding enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die IP-Weiterleitung ist für Instanzen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
OS login disabled
Kategoriename in der API: |
Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Objekt
|
Public IP address
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz hat eine öffentliche IP-Adresse. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Shielded VM disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Auf dieser Instanz ist Shielded VM deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Weak SSL policy
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz hat eine schwache SSL-Richtlinie. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob
|
Ergebnisse zu Container-Sicherheitslücken
Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Alpha cluster enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Alphacluster-Features sind für einen GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Auto repair disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das automatische Reparaturfeature eines GKE-Clusters, das Knoten in einem fehlerfreien, laufenden Zustand hält, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Auto upgrade disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Feature für automatische Upgrades eines GKE-Clusters, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Binary authorization disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Binärautorisierung ist entweder im GKE-Cluster deaktiviert oder die Richtlinie für die Binärautorisierung ist so konfiguriert, dass alle Images bereitgestellt werden können. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Dabei werden folgende Elemente überprüft:
|
Cluster logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Logging ist für einen GKE-Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Cluster monitoring disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Monitoring ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Cluster private Google access disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Clusterhosts sind nicht so konfiguriert, dass nur private interne IP-Adressen für den Zugriff auf Google APIs verwendet werden. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Cluster secrets encryption disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Cluster shielded nodes disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Shielded GKE-Knoten sind für einen Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
COS not used
Kategoriename in der API: |
Ergebnisbeschreibung: Compute Engine-VMs nutzen nicht Container-Optimzed OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Integrity monitoring disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Integritätsmonitoring ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Intranode visibility disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
IP alias disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Legacy authorization enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Legacy-Autorisierung ist in GKE-Clustern aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Legacy metadata enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Legacy-Metadaten sind für GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Master authorized networks disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Autorisierte Control Plane Authorized Networks ist in GKE-Clustern nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Network policy disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Netzwerkrichtlinie ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Feld
|
Nodepool boot CMEK disabled
Kategoriename in der API: |
Beschreibung: Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft das Attribut
|
Nodepool secure boot disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Secure Boot ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Over privileged account
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkonto hat in einem Cluster übermäßig Zugriff auf das Projekt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Wertet das Attribut
|
Over privileged scopes
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Knotendienstkonto hat große Zugriffsbereiche. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob der im Attribut config.oauthScopes eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich des Dienstkontos ist: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write oder https://www.googleapis.com/auth/monitoring.
|
Pod security policy disabled
Kategoriename in der API: |
Ergebnisbeschreibung: PodSecurityPolicy ist in einem GKE-Cluster deaktiviert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Private cluster disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen GKE-Cluster ist ein privater Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Release channel disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein GKE-Cluster ist nicht auf eine Release-Version abonniert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Web UI enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die GKE-Web-UI (Dashboard) ist aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft das Feld
|
Workload Identity disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Workload Identity ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Dataproc-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Dataproc und gehören zum Detektortyp DATAPROC_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Dataproc CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dataproc-Cluster wurde ohne CMEK-Verschlüsselungskonfiguration erstellt. Mit CMEK werden die von Ihnen in Cloud Key Management Service erstellten und verwalteten Schlüssel mit den Schlüsseln umschlossen, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Dataproc image outdated
Kategoriename in der API: |
Ergebnis-Beschreibung: Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228) und CVE-2021-45046). Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft, ob das Feld
|
Ergebnisse zu Dataset-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
BigQuery table CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Dataset CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein BigQuery-Dataset ist nicht für die Verwendung eines standardmäßigen CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Public dataset
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dataset ist für den öffentlichen Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu DNS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
DNSSEC disabled
Kategoriename in der API: |
Ergebnisbeschreibung: DNSSEC ist für Cloud DNS-Zonen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
RSASHA1 for signing
Kategoriename in der API: |
Ergebnisbeschreibung: RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Objekt
|
Ergebnisse zu Firewall-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Egress deny rule not set
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Firewall wurde keine Regel für ausgehenden Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Firewall rule logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Logging von Firewallregeln ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open Cassandra port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CASSANDRA-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open ciscosecure websm port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open directory services port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DIRECTORY_SERVICE-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open DNS port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DNS-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open elasticsearch port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ELASTICSEARCH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open firewall
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie öffentlich zugänglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft die Attribute
|
Open FTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen FTP-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open HTTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open LDAP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open Memcached port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open MongoDB port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open MySQL port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen MySQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open NetBIOS port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open OracleDB port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open pop3 port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open PostgreSQL port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open RDP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open Redis port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Open SMTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Open SSH port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Open Telnet port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu IAM-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Access Transparency disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Access Transparency für Google Cloud ist für Ihre Organisation deaktiviert. Mit Access Transparency werden Logs erstellt, wenn Google Cloud-Mitarbeiter zur Bereitstellung von Support auf die Projekte in Ihrer Organisation zugreifen. Aktivieren Sie Access Transparency, um zu protokollieren, wer von Google Cloud wann und warum auf Ihre Daten zugreift. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob in Ihrer Organisation Access Transparency aktiviert ist.
|
Admin service account
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkonto hat die Berechtigung Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle vom Nutzer erstellten Dienstkonten (angezeigt durch das Präfix iam.gserviceaccount.com), denen
|
Essential Contacts Not Configured
Kategoriename in der API: |
Beschreibung der Abweichung:Ihre Organisation hat keine Person oder Gruppe benannt, die Benachrichtigungen von Google Cloud zu wichtigen Ereignissen wie Angriffen, Sicherheitslücken und Datenpannen innerhalb Ihrer Google Cloud-Organisation erhält. Wir empfehlen, eine oder mehrere Personen oder Gruppen in Ihrem Unternehmen als wichtigen Kontakt anzugeben. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob für die folgenden Kategorien für wichtige Kontakte ein Kontakt angegeben ist:
|
KMS role separation
Kategoriename in der API: |
Ergebnisbeschreibung: Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) hat: CryptoKey-Verschlüsseler/Entschlüsseler, Entschlüsseler oder Verschlüsseler. Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft IAM-Zulassungsrichtlinien in Ressourcenmetadaten und ruft Hauptkonten ab, denen gleichzeitig eine der folgenden Rollen zugewiesen ist: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter und roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
|
Non org IAM member
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 lösen derzeit nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Vergleicht @gmail.com-E-Mail-Adressen im Feld
|
Open group IAM member
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft die IAM-Richtlinie in Ressourcenmetadaten auf alle Bindungen, die ein Mitglied (Hauptkonto) mit dem Präfix group enthalten. Wenn die Gruppe eine offene Gruppe ist, generiert Security Health Analytics dieses Ergebnis.
|
Over privileged service account user
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene, statt für ein bestimmtes Dienstkonto. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf alle Hauptkonten, denen roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator auf Projektebene zugewiesen ist.
|
Primitive roles used
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat eine der folgenden einfachen Rollen:
Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen eine
|
Redis role used on org
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen. Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets
Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf Hauptkonten, denen
|
Service account role separation
Kategoriename in der API: |
Ergebnisbeschreibung: Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung". Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen sowohl roles/iam.serviceAccountUser als auch roles/iam.serviceAccountAdmin zugewiesen ist.
|
Service account key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Wertet den Zeitstempel der Schlüsselerstellung aus, der im Attribut
|
User managed service account key
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer verwaltet einen Dienstkontoschlüssel. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu KMS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
KMS key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Verschlüsselungsschlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft Ressourcenmetadaten auf das Vorhandensein von
|
KMS project has owner
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in Projektmetadaten auf Hauptkonten, denen
|
KMS public key
Kategoriename in der API: |
Ergebnisbeschreibung: Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Too many KMS users
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft IAM-Zulassungsrichtlinien auf Schlüsselbunde, Projekte und Organisationen und ruft Hauptkonten mit Rollen ab, mit denen sie Daten mithilfe von Cloud KMS-Schlüsseln verschlüsseln, entschlüsseln oder signieren können: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer und roles/cloudkms.signerVerifier.
|
Ergebnisse zu Logging-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Audit logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Audit-Logging wurde für diese Ressource deaktiviert. Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf das Vorhandensein eines
|
Bucket logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt einen Storage-Bucket ohne aktiviertes Logging. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Locked retention policy not set
Kategoriename in der API: |
Ergebnisbeschreibung: Für Logs ist keine gesperrte Aufbewahrungsrichtlinie festgelegt. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Log not exported
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Ressource ist keine geeignete Logsenke konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets
Compliance-Standards:
|
Ruft ein
|
Object versioning disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Ergebnisse zu Monitoring-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:
- Den
RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll. - Die
QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken. - Die
AlertPolicyFailureReasons, die angeben, ob für das Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder ob die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Audit config not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Audit-Konfigurationsänderungen konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Bucket IAM not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen der Cloud Storage-IAM-Berechtigungen konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Custom role not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen benutzerdefinierter Rollen konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Firewall not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an VPC-Netzwerk-Firewallregeln konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Network not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Owner not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Route not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
SQL instance not monitored
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud SQL-Instanzen konfiguriert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Ergebnisse zur Multi-Faktor-Authentifizierung
Der MFA_SCANNER-Detektor erkennt Sicherheitslücken bei der Multi-Faktor-Authentifizierung für Nutzer.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
MFA not enforced
Kategoriename in der API: |
Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. In Google Workspace können Sie für neue Nutzer einen Toleranzzeitraum für die Registrierung festlegen, in dem sie sich für die Bestätigung in zwei Schritten registrieren müssen. Dieser Detector erstellt während des Kulanzzeitraums für die Registrierung Ergebnisse für Nutzer. Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Wertet Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity aus.
|
Ergebnisse zu Netzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Default network
Kategoriename in der API: |
Ergebnisbeschreibung: Das Standardnetzwerk ist in einem Projekt vorhanden. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
DNS logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft alle
|
Legacy network
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Legacy-Netzwerk ist in einem Projekt vorhanden. Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs
|
Load balancer logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Logging ist für den Load Balancer deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Sicherheitslücken in Organisationsrichtlinien
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Org policy Confidential VM policy
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien in Confidential VM durchsetzen.
Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft, ob das Attribut
|
Org policy location restriction
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Einschränkung constraints/gcp.resourceLocations. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien durchsetzen.
Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft das Attribut
|
|
Unterstützte Assets für ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Da Cloud KMS-Assets nicht gelöscht werden können, gilt das Asset nicht als außerhalb der Region, wenn die Daten des Assets zerstört wurden. 2 Da Cloud KMS-Importjobs einen gesteuerten Lebenszyklus haben und nicht vorzeitig beendet werden können, gilt ein ImportJob nicht als außerhalb der Region, wenn er abgelaufen ist und nicht mehr verwendet werden kann, um Schlüssel zu importieren. 3 Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, gilt ein Job nicht als außerhalb der Region, wenn er einen Endstatus (beendet oder per Drain beendet) erreicht hat, in dem er nicht mehr zur Verarbeitung von Daten verwendet werden kann. |
||
Pub/Sub-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Pub/Sub-Konfigurationen und gehören zum Typ PUBSUB_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Pubsub CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft das Feld
|
Ergebnisse zu SQL-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
AlloyDB auto backup disabled
Kategoriename in der API: |
Ergebnisbeschreibung: In einem AlloyDB for PostgreSQL-Cluster sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
AlloyDB backups disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen AlloyDB for PostgreSQL-Cluster sind keine Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob die
|
AlloyDB CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein AlloyDB-Cluster wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Feld
|
AlloyDB log min error statement severity
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Damit alle Nachrichtentypen in den Protokollen abgedeckt sind, wird eine Meldung ausgegeben, wenn das Feld
|
AlloyDB log min messages
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Damit alle Nachrichtentypen in den Protokollen abgedeckt sind, wird eine Meldung ausgegeben, wenn das Feld
|
AlloyDB log error verbosity
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Um eine ausreichende Abdeckung der Nachrichtentypen in den Protokollen zu gewährleisten, wird eine Meldung ausgegeben, wenn das Feld
|
AlloyDB public IP
Kategoriename in der API: |
Ergebnisbeschreibung: Eine AlloyDB for PostgreSQL-Datenbankinstanz hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
AlloyDB SSL not enforced
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine AlloyDB for PostgreSQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Auto backup disabled
Kategoriename in der API: |
Ergebnisbeschreibung: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Public SQL instance
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob für das Attribut
|
SSL not enforced
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Cloud SQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
SQL CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Eine SQL-Datenbankinstanz wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft das Feld
|
SQL contained database authentication
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL cross DB ownership chaining
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL external scripts enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL local infile
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log checkpoints disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log connections disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log disconnections disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log duration disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log error verbosity
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log lock waits disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log min duration statement enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log min error statement
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
SQL log min error statement severity
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log min messages
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Damit alle Nachrichtentypen in den Protokollen abgedeckt sind, wird eine Meldung ausgegeben, wenn das Feld
|
SQL log executor stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log hostname enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log parser stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log planner stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log statement
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log statement stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log temp files
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL no root password
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse ist für das Root-Konto kein Passwort konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
SQL public IP
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob der IP-Adresstyp einer Cloud SQL-Datenbank auf
|
SQL remote access enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL skip show database disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL trace flag 3625
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL user connections configured
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL user options configured
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL weak root password
Kategoriename in der API: |
Ergebnisbeschreibung: In einer Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse ist ein schwaches Passwort für das Root-Konto konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Vergleicht das Passwort für das Root-Konto der Cloud SQL-Datenbank mit einer Liste gängiger Passwörter.
|
Ergebnisse zu Speichersicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Bucket CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüft das Feld
|
Bucket policy only disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Der einheitliche Zugriff auf Bucket-Ebene, zuvor "Nur Bucket-Richtlinie" genannt, ist nicht konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Public bucket ACL
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Cloud Storage-Bucket ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets auf öffentliche Rollen,
|
Public log bucket
Kategoriename in der API: |
Ergebnisbeschreibung: Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich. Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets für die Hauptkonten
|
Ergebnisse zu Subnetzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
Flow logs disabled
Kategoriename in der API: |
Ergebnisbeschreibung: In einem VPC-Subnetzwerk sind Flusslogs deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Flow logs settings not recommended
Kategoriename in der API: |
Ergebnisbeschreibung: Für ein VPC-Subnetzwerk sind VPC-Flusslogs entweder deaktiviert oder nicht gemäß den Empfehlungen von CIS Benchmark 1.3 konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Private Google access disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
AWS-Ergebnisse
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudShell ist eine praktische Möglichkeit, Befehle für die Befehlszeile für AWS-Dienste auszuführen. Eine verwaltete IAM-Richtlinie (AWSCloudShellFullAccess) gewährt vollen Zugriff auf CloudShell, was das Hoch- und Herunterladen von Dateien zwischen dem lokalen System eines Nutzers und der CloudShell-Umgebung ermöglicht. Innerhalb der CloudShell-Umgebung hat ein Nutzer sudo-Berechtigungen und kann auf das Internet zugreifen. So ist es beispielsweise möglich, Software zur Dateiübertragung zu installieren und Daten von CloudShell auf externe Internetserver zu verschieben. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass der Zugriff auf AWSCloudShellFullAccess eingeschränkt ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, die zum Signieren programmatischer Anfragen an AWS verwendet werden. AWS-Nutzer benötigen eigene Zugriffsschlüssel, um AWS programmatisch über die AWS-Befehlszeile, Tools für Windows PowerShell, die AWS SDKs oder direkte HTTP-Aufrufe mithilfe der APIs für einzelne AWS-Dienste aufzurufen. Es wird empfohlen, alle Zugriffsschlüssel regelmäßig zu rotieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass Zugriffsschlüssel mindestens alle 90 Tage rotiert werden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Wenn Sie HTTPS-Verbindungen zu Ihrer Website oder Anwendung in AWS aktivieren möchten, benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können ACM oder IAM zum Speichern und Bereitstellen von Serverzertifikaten verwenden. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass alle abgelaufenen SSL-/TLS-Zertifikate entfernt werden, die in AWS IAM gespeichert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Hier wird geprüft, ob Ihre Autoscaling-Gruppen, die mit einem Load Balancer verknüpft sind, Elastic Load Balancing-Systemdiagnosen verwenden. So kann die Gruppe den Status einer Instanz anhand zusätzlicher Tests des Load Balancers ermitteln. Mit Elastic Load Balancing-Systemdiagnosen lässt sich die Verfügbarkeit von Anwendungen unterstützen, die EC2-Autoscaling-Gruppen verwenden. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle mit einem Load Balancer verknüpften Autoscaling-Gruppen Systemdiagnosen verwenden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Achten Sie darauf, dass für RDS-Datenbankinstanzen das Flag „Auto Minor Version Upgrade“ aktiviert ist, damit während des angegebenen Wartungszeitraums automatisch Engine-Nebenversionen installiert werden. So erhalten RDS-Instanzen die neuen Funktionen, Fehlerkorrekturen und Sicherheitspatches für ihre Datenbank-Engines. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass das automatische Upgrade von Nebenversionen für RDS-Instanzen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: AWS Config ist ein Webdienst, der die Konfigurationsverwaltung unterstützter AWS-Ressourcen in Ihrem Konto durchführt und Ihnen Protokolldateien zur Verfügung stellt. Zu den erfassten Informationen gehören das Konfigurationselement (AWS-Ressource), Beziehungen zwischen Konfigurationselementen (AWS-Ressourcen) und alle Konfigurationsänderungen zwischen Ressourcen. Wir empfehlen, AWS Config in allen Regionen zu aktivieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass AWS Config in allen Regionen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Sicherheits-Hub erfasst Sicherheitsdaten aus AWS-Konten, ‑Diensten und unterstützten Drittanbieterprodukten und hilft Ihnen, Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität zu identifizieren. Wenn Sie Security Hub aktivieren, werden Ergebnisse von aktivierten AWS-Diensten wie Amazon GuardDuty, Amazon Inspector und Amazon Macie erfasst, zusammengefasst, organisiert und priorisiert. Sie können auch Integrationen mit Sicherheitsprodukten von AWS-Partnern aktivieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass AWS Security Hub aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe für ein Konto aufzeichnet und diese Protokolle gemäß den IAM-Richtlinien für Nutzer und Ressourcen verfügbar macht. Der AWS Key Management Service (KMS) ist ein verwalteter Dienst, mit dem Sie die Verschlüsselungsschlüssel zum Verschlüsseln von Kontodaten erstellen und steuern können. Er verwendet Hardware Security Modules (HSMs), um die Sicherheit der Verschlüsselungsschlüssel zu schützen. CloudTrail-Protokolle können so konfiguriert werden, dass die serverseitige Verschlüsselung (Server-Side Encryption, SSE) und vom Kunden erstellte KMS-Masterschlüssel (Customer Managed Keys, CMK) verwendet werden, um CloudTrail-Protokolle weiter zu schützen. Wir empfehlen, CloudTrail für die Verwendung von SSE-KMS zu konfigurieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass CloudTrail-Logs im Ruhezustand mit KMS-CMKs verschlüsselt werden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Bei der Validierung von CloudTrail-Logdateien wird eine digital signierte Digestdatei mit einem Hashwert für jedes Protokoll erstellt, das CloudTrail in S3 schreibt. Anhand dieser Dateien lässt sich feststellen, ob eine Logdatei nach der Übermittlung durch CloudTrail geändert, gelöscht oder unverändert geblieben ist. Es wird empfohlen, die Dateivalidierung für alle CloudTrails zu aktivieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Validierung der CloudTrail-Logdatei aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudTrail ist ein Webdienst, mit dem AWS API-Aufrufe in einem bestimmten AWS-Konto aufgezeichnet werden. Zu den aufgezeichneten Informationen gehören die Identität des API-Aufrufers, die Uhrzeit des API-Aufrufs, die Quell-IP-Adresse des API-Aufrufers, die Anfrageparameter und die vom AWS-Dienst zurückgegebenen Antwortelemente. CloudTrail verwendet Amazon S3 für die Speicherung und Übermittlung von Protokolldateien. Protokolldateien werden daher dauerhaft gespeichert. Sie können CloudTrail-Logs nicht nur in einem bestimmten S3-Bucket für die langfristige Analyse erfassen, sondern auch Echtzeitanalysen durchführen, indem Sie CloudTrail so konfigurieren, dass Logs an CloudWatch-Logs gesendet werden. Wenn ein Pfad in allen Regionen eines Kontos aktiviert ist, sendet CloudTrail Protokolldateien aus allen diesen Regionen an eine CloudWatch Logs-Protokollgruppe. Wir empfehlen, CloudTrail-Logs an CloudWatch-Logs zu senden. Hinweis: Mit dieser Empfehlung soll sichergestellt werden, dass AWS-Kontoaktivitäten erfasst, überwacht und ggf. entsprechend alarmiert werden. CloudWatch-Logs ist eine native Möglichkeit, dies mit AWS-Diensten zu erreichen, schließt aber die Verwendung einer alternativen Lösung nicht aus. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass CloudTrail-Pfade in CloudWatch-Logs eingebunden sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Hier wird geprüft, ob für Amazon CloudWatch Aktionen definiert sind, wenn ein Alarm zwischen den Status „OK“, „ALARM“ und „INSUFFICIENT_DATA“ wechselt. Es ist sehr wichtig, Aktionen für den ALARM-Status in Amazon CloudWatch-Benachrichtigungen zu konfigurieren, um eine sofortige Reaktion auszulösen, wenn die überwachten Messwerte Schwellenwerte überschreiten. Alarme haben mindestens eine Aktion. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für CloudWatch-Alarme mindestens eine Alarmaktion, eine INSUFFICIENT_DATA-Aktion oder eine OK-Aktion aktiviert ist.
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Prüfung wird sichergestellt, dass CloudWatch-Protokolle mit KMS konfiguriert sind. Loggruppendaten werden in CloudWatch-Logs immer verschlüsselt. CloudWatch Logs verwendet standardmäßig die serverseitige Verschlüsselung für inaktive Protokolldaten. Alternativ können Sie für diese Verschlüsselung den AWS Key Management Service verwenden. In diesem Fall erfolgt die Verschlüsselung mit einem AWS KMS-Schlüssel. Die Verschlüsselung mit AWS KMS wird auf Protokollgruppenebene aktiviert, indem Sie einer Protokollgruppe einen KMS-Schlüssel zuweisen, entweder beim Erstellen der Protokollgruppe oder danach. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle Loggruppen in Amazon CloudWatch-Logs mit KMS verschlüsselt sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Einstellung wird geprüft, ob CloudTrail-Pfade so konfiguriert sind, dass Protokolle an CloudWatch-Logs gesendet werden. Die Prüfung schlägt fehl, wenn die Eigenschaft „CloudWatchLogsLogGroupArn“ des Logs leer ist. CloudTrail zeichnet AWS API-Aufrufe auf, die in einem bestimmten Konto getätigt werden. Zu den aufgezeichneten Informationen gehören:
CloudTrail verwendet Amazon S3 für die Speicherung und Übermittlung von Protokolldateien. Sie können CloudTrail-Protokolle zur langfristigen Analyse in einem bestimmten S3-Bucket erfassen. Wenn Sie eine Echtzeitanalyse durchführen möchten, können Sie CloudTrail so konfigurieren, dass Protokolle an CloudWatch Logs gesendet werden. Wenn ein Pfad in allen Regionen eines Kontos aktiviert ist, sendet CloudTrail Protokolldateien aus allen diesen Regionen an eine CloudWatch Logs-Protokollgruppe. Security Hub empfiehlt, CloudTrail-Protokolle an CloudWatch-Protokolle zu senden. Diese Empfehlung soll dafür sorgen, dass Kontoaktivitäten erfasst, überwacht und bei Bedarf entsprechend alarmiert werden. Sie können CloudWatch-Logs verwenden, um dies mit Ihren AWS-Diensten einzurichten. Diese Empfehlung schließt die Verwendung einer anderen Lösung nicht aus. Wenn Sie CloudTrail-Logs an CloudWatch-Logs senden, können Sie Echtzeit- und Verlaufsprotokolle nach Nutzer, API, Ressource und IP-Adresse erfassen. So können Sie Benachrichtigungen für ungewöhnliche oder sensible Kontoaktivitäten einrichten. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle CloudTrail-Pfade für das Senden von Logs an AWS CloudWatch konfiguriert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Hier wird geprüft, ob das Projekt die Umgebungsvariablen Authentifizierungsdaten Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle Projekte, die die Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY enthalten, nicht im Klartext vorliegen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Hier wird geprüft, ob die URL des Bitbucket-Quellrepositories eines AWS CodeBuild-Projekts persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Die Prüfung schlägt fehl, wenn die URL des Bitbucket-Quell-Repositories persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Anmeldedaten dürfen nicht im Klartext gespeichert oder übertragen werden und dürfen nicht in der URL des Quell-Repositorys erscheinen. Anstatt persönliche Zugriffstokens oder Anmeldedaten sollten Sie in CodeBuild auf Ihren Quellanbieter zugreifen und die URL des Quell-Repositories so ändern, dass sie nur den Pfad zum Bitbucket-Repository-Speicherort enthält. Die Verwendung persönlicher Zugriffstokens oder Anmeldedaten kann zu unbeabsichtigter Datenpufferung oder unbefugtem Zugriff führen. Preisstufe: Enterprise Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüfen Sie, ob alle Projekte, die GitHub oder Bitbucket als Quelle nutzen, OAuth verwenden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: AWS IAM-Nutzer können mit verschiedenen Anmeldedaten wie Passwörtern oder Zugriffsschlüsseln auf AWS-Ressourcen zugreifen. Wir empfehlen, alle Anmeldedaten zu deaktivieren oder zu entfernen, die seit mindestens 45 Tagen nicht verwendet wurden. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass Anmeldedaten, die seit mindestens 45 Tagen nicht verwendet wurden, deaktiviert werden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Eine VPC wird mit einer Standardsicherheitsgruppe geliefert, deren anfängliche Einstellungen den gesamten eingehenden Traffic ablehnen, den gesamten ausgehenden Traffic zulassen und den gesamten Traffic zwischen den der Sicherheitsgruppe zugewiesenen Instanzen zulassen. Wenn Sie beim Starten einer Instanz keine Sicherheitsgruppe angeben, wird die Instanz automatisch dieser Standardsicherheitsgruppe zugewiesen. Sicherheitsgruppen ermöglichen eine zustandsabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu AWS-Ressourcen. Es wird empfohlen, dass die Standardsicherheitsgruppe den gesamten Traffic einschränkt. Die Standardsicherheitsgruppe der Standard-VPC in jeder Region muss entsprechend aktualisiert werden. Alle neu erstellten VPCs enthalten automatisch eine Standardsicherheitsgruppe, die korrigiert werden muss, um dieser Empfehlung zu entsprechen. HINWEIS:Bei der Implementierung dieser Empfehlung ist die VPC-Flussinstanz-Protokollierung von unschätzbarem Wert, um den Portzugriff mit den geringsten Berechtigungen zu ermitteln, der für die ordnungsgemäße Funktion der Systeme erforderlich ist. Denn damit können alle Pakete akzeptiert und abgelehnt werden, die in den aktuellen Sicherheitsgruppen auftreten. Dadurch wird die Hauptbarriere für die Zugriffssteuerung nach dem Prinzip der geringsten Berechtigung erheblich reduziert: die Ermittlung der Mindestanzahl von Ports, die von den Systemen in der Umgebung benötigt werden. Auch wenn die Empfehlung für die VPC-Flussisolierung in diesem Benchmark nicht als dauerhafte Sicherheitsmaßnahme übernommen wird, sollte sie während der gesamten Phase der Ermittlung und Entwicklung für Sicherheitsgruppen mit den geringsten Berechtigungen verwendet werden. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob AWS DMS-Replikationsinstanzen öffentlich sind. Dazu wird der Wert des Felds Eine private Replikationsinstanz hat eine private IP-Adresse, auf die Sie nicht außerhalb des Replikationsnetzwerks zugreifen können. Eine Replikationsinstanz sollte eine private IP-Adresse haben, wenn sich die Quell- und Zieldatenbanken im selben Netzwerk befinden. Das Netzwerk muss außerdem über ein VPN, AWS Direct Connect oder VPC-Peering mit dem VPC der Replikationsinstanz verbunden sein. Weitere Informationen zu öffentlichen und privaten Replikationsinstanzen finden Sie im Benutzerhandbuch für AWS Database Migration Service unter Öffentliche und private Replikationsinstanzen. Außerdem sollten Sie dafür sorgen, dass der Zugriff auf die Konfiguration Ihrer AWS DMS-Instanz nur autorisierten Nutzern gewährt wird. Dazu müssen Sie die IAM-Berechtigungen der Nutzer einschränken, damit sie die AWS DMS-Einstellungen und ‑Ressourcen nicht ändern können. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Replikationsinstanzen von AWS Database Migration Service öffentlich sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: In der AWS-Konsole sind beim Erstellen eines neuen IAM-Nutzers standardmäßig keine Kästchen angeklickt. Wenn Sie die IAM-Nutzeranmeldedaten erstellen, müssen Sie festlegen, welche Art von Zugriff erforderlich ist. Programmatischer Zugriff: Der IAM-Nutzer muss möglicherweise API-Aufrufe ausführen, die AWS CLI oder die Tools für Windows PowerShell verwenden. Erstellen Sie in diesem Fall einen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für diesen Nutzer. Zugriff auf die AWS Management Console: Wenn der Nutzer auf die AWS Management Console zugreifen muss, erstellen Sie ein Passwort für ihn. Preisstufe: Enterprise Compliance-Standards:
|
Richten Sie während der anfänglichen Nutzereinrichtung für alle IAM-Nutzer, die ein Console-Passwort haben, keine Zugriffsschlüssel ein
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Hier wird geprüft, ob die Lese- und Schreibkapazität einer Amazon DynamoDB-Tabelle nach Bedarf skaliert werden kann. Dieser Steuerelemente wird übergeben, wenn für die Tabelle entweder der On-Demand-Kapazitätsmodus oder der bereitgestellte Modus mit konfiguriertem Autoscaling verwendet wird. Wenn Sie die Kapazität an die Nachfrage anpassen, werden Drosselungsausnahmen vermieden, was die Verfügbarkeit Ihrer Anwendungen aufrechterhält. DynamoDB-Tabellen im Modus „On-Demand-Kapazität“ sind nur durch die Standardtabellenkontingente für den DynamoDB-Durchsatz begrenzt. Wenn Sie diese Kontingente erhöhen möchten, können Sie über den AWS-Support ein Support-Ticket einreichen. Bei DynamoDB-Tabellen im bereitgestellten Modus mit automatischer Skalierung wird die bereitgestellte Durchsatzkapazität dynamisch an die Verkehrsmuster angepasst. Weitere Informationen zur Drosselung von DynamoDB-Anfragen finden Sie im Amazon DynamoDB Developer Guide unter „Anfragedrosselung und Burst-Kapazität“. Preisstufe: Enterprise Compliance-Standards:
|
DynamoDB-Tabellen sollten die Kapazität gemäß Nachfrage automatisch skalieren
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Prüfung wird ermittelt, ob für eine DynamoDB-Tabelle ein Sicherungsplan vorhanden ist. Die Prüfung schlägt fehl, wenn für eine DynamoDB-Tabelle kein Sicherungsplan vorhanden ist. Mit dieser Einstellung werden nur DynamoDB-Tabellen ausgewertet, die den Status „AKTIV“ haben. Mithilfe von Sicherungen können Sie sich nach einem Sicherheitsvorfall schneller erholen. Außerdem erhöhen sie die Ausfallsicherheit Ihrer Systeme. Wenn Sie DynamoDB-Tabellen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen. Preisstufe: Enterprise Compliance-Standards:
|
Für DynamoDB-Tabellen sollte es einen Sicherungsplan geben
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Die Wiederherstellung zu einem bestimmten Zeitpunkt (Point-In-Time-Recovery, PITR) ist einer der Mechanismen, mit denen DynamoDB-Tabellen gesichert werden können. Eine Sicherung eines bestimmten Zeitpunkts wird 35 Tage lang aufbewahrt. Wenn Sie eine längere Aufbewahrungsdauer benötigen, lesen Sie den Artikel Geplante Sicherungen für Amazon DynamoDB mit AWS Backup einrichten in der AWS-Dokumentation. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob die Wiederherstellung zu einem bestimmten Zeitpunkt für alle AWS DynamoDB-Tabellen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob alle DynamoDB-Tabellen mit einem vom Kunden verwalteten KMS-Schlüssel (nicht standardmäßig) verschlüsselt sind. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle DynamoDB-Tabellen mit AWS Key Management Service (KMS) verschlüsselt sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüfen Sie, ob die EBS-Optimierung für Ihre EC2-Instanzen aktiviert ist, die EBS-optimiert werden können Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob die EBS-Optimierung für alle Instanzen aktiviert ist, die diese unterstützen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Prüfung schlägt fehl, wenn Amazon EBS-Snapshots von allen wiederhergestellt werden können. Mit EBS-Snapshots werden die Daten auf Ihren EBS-Volumes zu einem bestimmten Zeitpunkt in Amazon S3 gesichert. Mit den Snapshots können Sie vorherige Zustände von EBS-Volumes wiederherstellen. Es ist selten akzeptabel, einen Snapshot öffentlich zu teilen. In der Regel wurde die Entscheidung, einen Snapshot öffentlich zu teilen, irrtümlich oder ohne vollständige Kenntnis der Auswirkungen getroffen. So wird sichergestellt, dass alle entsprechenden Freigaben geplant und beabsichtigt waren. Preisstufe: Enterprise Compliance-Standards:
|
Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Elastic Compute Cloud (EC2) unterstützt die Ruhedatenverschlüsselung bei Verwendung des Elastic Block Store (EBS)-Dienstes. Die Erzwingung der Verschlüsselung beim Erstellen eines EBS-Volumes ist zwar standardmäßig deaktiviert, wird aber unterstützt. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die EBS-Volume-Verschlüsselung in allen Regionen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon VPC bietet mehr Sicherheitsfunktionen als EC2 Classic. Es wird empfohlen, dass alle Knoten zu einer Amazon VPC gehören. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass alle Instanzen zu einer VPC gehören
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Bei EC2-Instanzen mit einer öffentlichen IP-Adresse besteht ein erhöhtes Risiko von Manipulationen. Es wird empfohlen, EC2-Instanzen nicht mit einer öffentlichen IP-Adresse zu konfigurieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass keine Instanz eine öffentliche IP-Adresse hat
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Verknüpfung mit dem State Manager ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. In der Konfiguration wird der Status definiert, der auf Ihren Instanzen beibehalten werden soll. Eine Verknüpfung kann beispielsweise angeben, dass Antivirensoftware auf Ihren Instanzen installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen. EC2-Instanzen, die mit AWS Systems Manager verknüpft sind, werden von Systems Manager verwaltet. Dadurch können Sie leichter Patches anwenden, Fehlkonfigurationen beheben und auf Sicherheitsereignisse reagieren. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie den Compliancestatus der AWS Systems Manager-Verknüpfung
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Steuerung wird geprüft, ob der Status der AWS Systems Manager-Verknüpfung „COMPLIANT“ (Einhaltung) oder „NON_COMPLIANT“ (Nichteinhaltung) ist, nachdem die Verknüpfung auf einer Instanz ausgeführt wurde. Die Prüfung schlägt fehl, wenn der Compliance-Status der Verknüpfung „NON_COMPLIANT“ (Nicht konform) ist. Eine Verknüpfung mit dem State Manager ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. In der Konfiguration wird der Status definiert, der auf Ihren Instanzen beibehalten werden soll. Eine Verknüpfung kann beispielsweise angeben, dass Antivirensoftware auf Ihren Instanzen installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen. Nachdem Sie eine oder mehrere State Manager-Verknüpfungen erstellt haben, sind Informationen zum Compliance-Status sofort verfügbar. Sie können den Compliance-Status in der Console oder als Reaktion auf AWS CLI-Befehle oder entsprechende Systems Manager API-Aktionen aufrufen. Bei Verknüpfungen wird unter „Konfigurationskonformität“ der Konformitätsstatus angezeigt („Konform“ oder „Nicht konform“). Außerdem wird die Schweregradstufe angezeigt, die der Verknüpfung zugewiesen ist, z. B. „Kritisch“ oder „Mittel“. Weitere Informationen zur Compliance von State Manager-Verknüpfungen finden Sie im AWS Systems Manager-Benutzerhandbuch unter Compliance von State Manager-Verknüpfungen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie den Status der AWS Systems Manager-Patchcompliance
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Wenn Sie den Metadatendienst auf AWS EC2-Instanzen aktivieren, haben Sie die Möglichkeit, entweder die Instanzmetadatendienst-Version 1 (IMDSv1; eine Anfrage/Antwort-Methode) oder die Instanzmetadatendienst-Version 2 (IMDSv2; eine sitzungsorientierte Methode) zu verwenden. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass der EC2-Metadatendienst nur IMDSv2 zulässt
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Sie können nicht bereitgestellte (ungenutzte) EBS-Volumes (Elastic Block Store) in Ihrem AWS-Konto ermitteln und entfernen, um die Kosten Ihrer monatlichen AWS-Rechnung zu senken. Durch das Löschen nicht verwendeter EBS-Volumes verringern Sie auch das Risiko, dass vertrauliche/sensible Daten Ihre Räumlichkeiten verlassen. Außerdem wird geprüft, ob archivierte EC2-Instanzen so konfiguriert sind, dass Volumes bei der Beendigung gelöscht werden. Standardmäßig sind EC2-Instanzen so konfiguriert, dass die Daten in allen mit der Instanz verknüpften EBS-Volumes und das Stamm-EBS-Volume der Instanz gelöscht werden. Alle nicht-root-EBS-Volumes, die der Instanz beim Start oder während der Ausführung bereitgestellt wurden, werden jedoch standardmäßig nach der Beendigung beibehalten. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob EBS-Volumes an EC2-Instanzen angehängt und zum Löschen bei Instanzbeendigung konfiguriert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon EFS unterstützt zwei Formen der Verschlüsselung für Dateisysteme: die Verschlüsselung von Daten während der Übertragung und die Verschlüsselung inaktiver Daten. Dabei wird geprüft, ob alle EFS-Dateisysteme in allen aktivierten Regionen des Kontos mit der Ruhedatenträgerverschlüsselung konfiguriert sind. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob EFS zum Verschlüsseln von Dateidaten mit KMS konfiguriert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Gemäß den Best Practices von Amazon sollten Sie Sicherungen für Ihre Elastic File Systems (EFS) konfigurieren. Dabei werden alle EFS in allen aktivierten Regionen in Ihrem AWS-Konto auf aktivierte Sicherungen geprüft. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob EFS-Dateisysteme in AWS-Sicherungsplänen enthalten sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob der klassische Load Balancer HTTPS-/SSL-Zertifikate verwendet, die von AWS Certificate Manager (ACM) bereitgestellt wurden. Die Prüfung schlägt fehl, wenn der mit einem HTTPS-/SSL-Listener konfigurierte klassische Load Balancer kein von ACM bereitgestelltes Zertifikat verwendet. Sie können entweder ACM oder ein Tool verwenden, das die SSL- und TLS-Protokolle unterstützt, z. B. OpenSSL. Security Hub empfiehlt, Zertifikate für Ihren Load Balancer mit ACM zu erstellen oder zu importieren. ACM lässt sich in klassische Load Balancer einbinden, sodass Sie das Zertifikat auf Ihrem Load Balancer bereitstellen können. Außerdem sollten Sie diese Zertifikate automatisch verlängern. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle klassischen Load Balancer SSL-Zertifikate verwenden, die von AWS Certificate Manager bereitgestellt wurden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob für einen Application Load Balancer der Löschschutz aktiviert ist. Die Funktion schlägt fehl, wenn der Löschschutz nicht konfiguriert ist. Aktivieren Sie den Löschschutz, um Ihren Application Load Balancer vor dem Löschen zu schützen. Preisstufe: Enterprise Compliance-Standards:
|
Der Löschschutz für Application Load Balancer sollte aktiviert sein
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Hier wird geprüft, ob für den Application Load Balancer und den klassischen Load Balancer Logging aktiviert ist. Die Steuerung schlägt fehl, wenn „access_logs.s3.enabled“ auf „false“ festgelegt ist. Elastic Load Balancing bietet Zugriffsprotokolle, die detaillierte Informationen zu Anfragen enthalten, die an Ihren Load Balancer gesendet werden. Jedes Protokoll enthält Informationen wie den Zeitpunkt, zu dem die Anfrage empfangen wurde, die IP-Adresse des Clients, Latenzen, Anfragepfade und Serverantworten. Sie können diese Zugriffsprotokolle verwenden, um Zugriffsmuster zu analysieren und Probleme zu beheben. Weitere Informationen finden Sie im Nutzerhandbuch für klassische Load Balancer unter Zugriffsprotokolle für Ihren klassischen Load Balancer. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Logging für klassische und Application Load Balancer aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Prüfung wird sichergestellt, dass alle klassischen Load Balancer für die sichere Kommunikation konfiguriert sind. Ein Listener ist ein Prozess, der nach Verbindungsanfragen sucht. Er ist mit einem Protokoll und einem Port für Front-End-Verbindungen (Client zum Load Balancer) und einem Protokoll und einem Port für Back-End-Verbindungen (Load Balancer zur Instanz) konfiguriert. Informationen zu den von Elastic Load Balancing unterstützten Ports, Protokollen und Listenerkonfigurationen finden Sie unter Listener für Ihren klassischen Load Balancer. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob SSL- oder HTTPS-Listener für alle klassischen Load Balancer konfiguriert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die EBS-Volumes, die angehängt sind, verschlüsselt sind. Damit diese Prüfung bestanden wird, müssen EBS-Volumes verwendet und verschlüsselt sein. Wenn das EBS-Volume nicht angehängt ist, unterliegt es dieser Prüfung nicht. Für zusätzlichen Schutz Ihrer sensiblen Daten in EBS-Volumes sollten Sie die EBS-Verschlüsselung inaktiver Daten aktivieren. Die Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Ressourcen, bei der Sie keine eigene Schlüsselverwaltungsinfrastruktur erstellen, verwalten und sichern müssen. Beim Erstellen verschlüsselter Volumes und Snapshots werden KMS-Schlüssel verwendet. Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie im Amazon EC2-Nutzerhandbuch für Linux-Instanzen. Preisstufe: Enterprise Compliance-Standards:
|
Ruhende Daten von angehängten Amazon EBS-Volumes sollten verschlüsselt sein
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Bei verschlüsselten Amazon RDS-Datenbankinstanzen werden Ihre Daten auf dem Server, auf dem Ihre Amazon RDS-Datenbankinstanzen gehostet werden, mit dem branchenüblichen AES-256-Verschlüsselungsalgorithmus verschlüsselt. Nach der Verschlüsselung Ihrer Daten übernimmt Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Verschlüsselung ruhender Daten für RDS-Instanzen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: EFS-Daten sollten im Ruhezustand mit AWS KMS (Key Management Service) verschlüsselt werden. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Verschlüsselung für EFS-Dateisysteme aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: AWS ermöglicht benutzerdefinierte Passwortrichtlinien für Ihr AWS-Konto, um Komplexitätsanforderungen und obligatorische Rotationszeiträume für die Passwörter Ihrer IAM-Nutzer anzugeben. Wenn Sie keine benutzerdefinierte Passwortrichtlinie festlegen, müssen IAM-Nutzerpasswörter der Standard-AWS-Passwortrichtlinie entsprechen. Gemäß den Best Practices für die Sicherheit von AWS sollten Passwörter folgende Anforderungen erfüllen:
Hier werden alle angegebenen Anforderungen an die Passwortrichtlinie geprüft. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob die Richtlinie für Kontopasswörter für IAM-Nutzer den angegebenen Anforderungen entspricht
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit IAM-Passwortrichtlinien lässt sich verhindern, dass ein bestimmtes Passwort vom selben Nutzer wiederverwendet wird. Es wird empfohlen, dass die Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Passwortrichtlinien werden unter anderem verwendet, um Anforderungen an die Passwortkomplexität durchzusetzen. Mit IAM-Passwortrichtlinien können Sie dafür sorgen, dass Passwörter mindestens eine bestimmte Länge haben. Wir empfehlen, dass die Passwortrichtlinie eine Mindestlänge von 14 Zeichen vorschreibt. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die IAM-Passwortrichtlinie eine Mindestlänge von 14 Zeichen verlangt
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit IAM-Richtlinien werden Nutzern, Gruppen oder Rollen Berechtigungen gewährt. Es wird empfohlen und gilt als Standardsicherheitsratschlag, die geringste Berechtigung zu gewähren, d. h. nur die Berechtigungen zu gewähren, die für die Ausführung einer Aufgabe erforderlich sind. Legen Sie fest, was Nutzer tun müssen, und erstellen Sie dann Richtlinien für sie, mit denen sie nur diese Aufgaben ausführen können, anstatt ihnen volle Administratorberechtigungen zu gewähren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass keine IAM-Richtlinien angehängt sind, die uneingeschränkte „*:*“-Administratorberechtigungen gewähren
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Nutzern wird über IAM-Richtlinien Zugriff auf Dienste, Funktionen und Daten gewährt. Es gibt vier Möglichkeiten, Richtlinien für einen Nutzer zu definieren: 1) Nutzerrichtlinie direkt bearbeiten (Inline-Richtlinie oder Nutzerrichtlinie); 2) Richtlinie direkt mit einem Nutzer verknüpfen; 3) Nutzer einer IAM-Gruppe mit einer verknüpften Richtlinie hinzufügen; 4) Nutzer einer IAM-Gruppe mit einer Inline-Richtlinie hinzufügen. Wir empfehlen nur die dritte Implementierung. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass IAM-Nutzer Berechtigungen nur über Gruppen erhalten
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Nutzer sollten immer zu einer IAM-Gruppe gehören, um die Best Practices für die IAM-Sicherheit einzuhalten. Wenn Sie einer Gruppe Nutzer hinzufügen, können Sie Richtlinien für verschiedene Nutzertypen freigeben. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob IAM-Nutzer Mitglieder von mindestens einer IAM-Gruppe sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Die Multi-Faktor-Authentifizierung (MFA) ist eine Best Practice, die neben Nutzernamen und Passwörtern eine zusätzliche Schutzebene bietet. Bei der MFA muss ein Nutzer, der sich in der AWS-Verwaltungskonsole anmeldet, einen zeitlich begrenzten Authentifizierungscode angeben, der von einem registrierten virtuellen oder physischen Gerät bereitgestellt wird. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für AWS IAM-Nutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Dabei werden IAM-Passwörter oder aktive Zugriffsschlüssel geprüft, die in den letzten 90 Tagen nicht verwendet wurden. Gemäß den Best Practices sollten Sie alle Anmeldedaten entfernen, deaktivieren oder alle 90 Tage rotieren, die seit mindestens 90 Tagen nicht verwendet wurden. So wird die Wahrscheinlichkeit verringert, dass Anmeldedaten, die mit einem manipulierten oder inaktiven Konto verknüpft sind, verwendet werden. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle AWS IAM-Nutzer Passwörter oder aktive Zugriffsschlüssel haben, die in der unter „maxCredentialUsageAge“ angegebenen Anzahl von Tagen nicht verwendet wurden (Standardeinstellung: 90)
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Einstellung wird geprüft, ob KMS-Schlüssel zum Löschen geplant sind. Die Prüfung schlägt fehl, wenn ein KMS-Schlüssel zum Löschen geplant ist. KMS-Schlüssel können nach dem Löschen nicht wiederhergestellt werden. Daten, die mit einem KMS-Schlüssel verschlüsselt wurden, können auch nicht wiederhergestellt werden, wenn der KMS-Schlüssel gelöscht wird. Wenn sinnvolle Daten mit einem KMS-Schlüssel verschlüsselt wurden, der zum Löschen vorgemerkt ist, sollten Sie die Daten entschlüsseln oder mit einem neuen KMS-Schlüssel neu verschlüsseln, es sei denn, Sie führen absichtlich eine kryptografische Vernichtung durch. Wenn ein KMS-Schlüssel zum Löschen geplant ist, wird eine obligatorische Wartezeit erzwungen, damit das Löschen rückgängig gemacht werden kann, falls es irrtümlich geplant wurde. Die Standardwartezeit beträgt 30 Tage, kann aber auf bis zu 7 Tage verkürzt werden, wenn das Löschen des KMS-Schlüssels geplant ist. Während der Wartezeit kann die geplante Löschung abgebrochen werden und der KMS-Schlüssel wird nicht gelöscht. Weitere Informationen zum Löschen von KMS-Schlüsseln finden Sie im Entwicklerhandbuch für den AWS Key Management Service unter KMS-Schlüssel löschen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie alle CMKs darauf, dass sie nicht zum Löschen geplant sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob für die Lambda-Funktion das Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Die Regel hat den Status „NICHT KONFORM“, wenn für die Lambda-Funktion kein Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Preisstufe: Enterprise Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüfen Sie, ob für Lambda-Funktionen das Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob eine Lambda-Funktion mit einer Dead-Letter-Warteschlange konfiguriert ist. Die Regel hat den Status „NICHT KONFORM“, wenn die Lambda-Funktion nicht mit einer Dead-Letter-Warteschlange konfiguriert ist. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Lambda-Funktionen mit einer Dead-Letter-Warteschlange konfiguriert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Gemäß den AWS-Best Practices sollte die Lambda-Funktion nicht öffentlich zugänglich sein. Mit dieser Richtlinie werden alle Lambda-Funktionen geprüft, die in allen aktivierten Regionen Ihres Kontos bereitgestellt werden. Die Prüfung schlägt fehl, wenn sie so konfiguriert sind, dass der öffentliche Zugriff zulässig ist. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob die an die Lambda-Funktion angehängte Richtlinie den öffentlichen Zugriff verhindert
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob sich eine Lambda-Funktion in einer VPC befindet. Möglicherweise werden für Lambda@Edge-Ressourcen Fehler angezeigt. Die VPC-Subnetz-Routingkonfiguration wird nicht ausgewertet, um die öffentliche Erreichbarkeit zu bestimmen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Lambda-Funktionen in einer VPC vorhanden sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Sobald die Funktion „MFA-Löschungen“ für Ihren sensiblen und klassifizierten S3-Bucket aktiviert ist, müssen Nutzer zwei Authentifizierungsmethoden verwenden. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass MFA-Löschungen für S3-Buckets aktiviert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Das Nutzerkonto „root“ ist der Nutzer mit den meisten Berechtigungen in einem AWS-Konto. Die Multi-Faktor-Authentifizierung (MFA) bietet neben einem Nutzernamen und Passwort einen zusätzlichen Schutz. Wenn die MFA aktiviert ist, werden Nutzer bei der Anmeldung auf einer AWS-Website nach ihrem Nutzernamen und Passwort sowie nach einem Authentifizierungscode von ihrem AWS-MFA-Gerät gefragt. Hinweis:Wenn die virtuelle MFA für Root-Konten verwendet wird, wird empfohlen, dass das verwendete Gerät KEIN privates Gerät ist, sondern ein spezielles Mobilgerät (Tablet oder Smartphone), das unabhängig von einzelnen privaten Geräten aufgeladen und gesichert wird. („nicht persönliche virtuelle MFA“) Dadurch wird das Risiko verringert, den Zugriff auf die MFA aufgrund von Geräteverlust, Gerätetausch oder wenn die Person, die das Gerät besitzt, nicht mehr im Unternehmen beschäftigt ist, zu verlieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass MFA für das Root-Nutzerkonto aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Authentifizierungsebene, die über herkömmliche Anmeldedaten hinausgeht. Wenn die MFA aktiviert ist, werden Nutzer bei der Anmeldung in der AWS Console aufgefordert, ihren Nutzernamen und ihr Passwort sowie einen Authentifizierungscode aus ihrem physischen oder virtuellen MFA-Token anzugeben. Wir empfehlen, die MFA für alle Konten zu aktivieren, die ein Console-Passwort haben. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer aktiviert ist, die ein Console-Passwort haben
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Die Network Access Control List-Funktion (NACL) ermöglicht die zustandslose Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen. Es wird empfohlen, dass keine NACL den uneingeschränkten Zugriff auf Remote-Server-Verwaltungsports zulässt, z. B. SSH auf Port Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass keine Netzwerk-ACLs eingehenden Traffic von 0.0.0.0/0 an Remote-Server-Verwaltungsports zulassen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Das Nutzerkonto „root“ ist der Nutzer mit den meisten Berechtigungen in einem AWS-Konto. AWS-Zugriffsschlüssel ermöglichen programmatischen Zugriff auf ein bestimmtes AWS-Konto. Es wird empfohlen, alle Zugriffsschlüssel zu löschen, die mit dem Root-Nutzerkonto verknüpft sind. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Remote-Serververwaltungsports zulässt, z. B. SSH auf Port Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von 0.0.0.0/0 an Remote-Serververwaltungsports zulassen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Remote-Serververwaltungsports zulässt, z. B. SSH auf Port Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von ::/0 an Remote-Serververwaltungsports zulassen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Zugriffsschlüssel sind langfristige Anmeldedaten für einen IAM-Nutzer oder den Nutzer „root“ des AWS-Kontos. Mit Zugriffsschlüsseln können Sie programmatische Anfragen an die AWS-Befehlszeile oder die AWS API signieren (direkt oder mit dem AWS SDK). Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass für jeden einzelnen IAM-Nutzer nur ein aktiver Zugriffsschlüssel verfügbar ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Achten Sie darauf, dass in Ihrem AWS-Konto bereitgestellte RDS-Datenbankinstanzen den unbefugten Zugriff einschränken, um Sicherheitsrisiken zu minimieren. Wenn Sie den Zugriff auf eine öffentlich zugängliche RDS-Datenbankinstanz einschränken möchten, müssen Sie das Flag „Öffentlich zugänglich“ für die Datenbank deaktivieren und die mit der Instanz verknüpfte VPC-Sicherheitsgruppe aktualisieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass RDS-Instanzen keine öffentliche Zugriffsberechtigung gewährt wird
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Das erweiterte Monitoring bietet Echtzeitmesswerte zum Betriebssystem, auf dem die RDS-Instanz ausgeführt wird, über einen in der Instanz installierten Agenten. Weitere Informationen finden Sie unter Betriebssystemmesswerte mit erweitertem Monitoring überwachen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob erweitertes Monitoring für alle RDS-Datenbankinstanzen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Wenn Sie den Schutz vor Instanzlöschungen aktivieren, wird eine zusätzliche Schutzebene gegen das versehentliche Löschen der Datenbank oder das Löschen durch eine nicht autorisierte Entität bereitgestellt. Solange der Löschschutz aktiviert ist, kann eine RDS-Datenbankinstanz nicht gelöscht werden. Damit ein Löschantrag erfolgreich sein kann, muss der Löschschutz deaktiviert sein. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für alle RDS-Instanzen der Löschschutz aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Bei dieser Prüfung wird ermittelt, ob für Amazon RDS-Datenbankinstanzen ein Sicherungsplan vorhanden ist. Diese Prüfung schlägt fehl, wenn für eine RDS-Datenbankinstanz kein Sicherungsplan vorhanden ist. AWS Backup ist ein vollständig verwalteter Sicherungsdienst, mit dem die Sicherung von Daten in AWS-Diensten zentralisiert und automatisiert wird. Mit AWS Backup können Sie Sicherungsrichtlinien erstellen, die als Sicherungspläne bezeichnet werden. Mit diesen Plänen können Sie Ihre Sicherungsanforderungen definieren, z. B. wie oft Ihre Daten gesichert werden sollen und wie lange diese Sicherungen aufbewahrt werden sollen. Wenn Sie RDS-Datenbankinstanzen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen. Preisstufe: Enterprise Compliance-Standards:
|
Für die RDS-Datenbankinstanzen sollte es einen Sicherungsplan geben
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Dabei wird geprüft, ob die folgenden Logs von Amazon RDS aktiviert und an CloudWatch gesendet werden. Für RDS-Datenbanken sollten die relevanten Protokolle aktiviert sein. Die Datenbankprotokollierung bietet detaillierte Einträge zu Anfragen an RDS. Datenbankprotokolle können bei Sicherheits- und Zugriffsaudits helfen und bei der Diagnose von Verfügbarkeitsproblemen unterstützen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob exportierte Logs für alle RDS-Datenbankinstanzen aktiviert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: RDS-Datenbankinstanzen sollten für mehrere Verfügbarkeitszonen (AZs) konfiguriert werden. So wird die Verfügbarkeit der gespeicherten Daten sichergestellt. Bei Bereitstellungen mit mehreren AZs ist ein automatischer Failover möglich, wenn ein Problem mit der Verfügbarkeitszone auftritt oder während der regelmäßigen RDS-Wartung. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob die Hochverfügbarkeit für alle RDS-Datenbankinstanzen aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Dabei werden die wesentlichen Elemente eines Redshift-Clusters geprüft: Verschlüsselung ruhender Daten, Logging und Knotentyp. Diese Konfigurationselemente sind wichtig für die Wartung eines sicheren und beobachtbaren Redshift-Clusters. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für alle Redshift-Cluster die Verschlüsselung ruhender Daten, das Logging und der Knotentyp konfiguriert sind.
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Automatische Upgrades der Hauptversion erfolgen gemäß dem Wartungsfenster. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für alle Redshift-Cluster „allowVersionUpgrade“ aktiviert ist und Werte für „preferredMaintenanceWindow“ sowie „automatedSnapshotRetentionPeriod“ festgelegt sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Das Attribut „PubliclyAccessible“ der Amazon Redshift-Clusterkonfiguration gibt an, ob der Cluster öffentlich zugänglich ist. Wenn der Cluster so konfiguriert ist, dass „PubliclyAccessible“ auf „true“ gesetzt ist, handelt es sich um eine internetfähige Instanz mit einem öffentlich auflösbaren DNS-Namen, der in eine öffentliche IP-Adresse aufgelöst wird. Wenn der Cluster nicht öffentlich zugänglich ist, handelt es sich um eine interne Instanz mit einem DNS-Namen, der in eine private IP-Adresse aufgelöst wird. Sofern Sie nicht beabsichtigen, dass Ihr Cluster öffentlich zugänglich ist, sollte die Einstellung „PubliclyAccessible“ nicht auf „true“ gesetzt sein. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Redshift-Cluster öffentlich zugänglich sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Dabei wird geprüft, ob für die Sicherheitsgruppen uneingeschränkter eintreffender Traffic auf die Ports mit dem höchsten Risiko zugreifen kann. Diese Steuerung schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Traffic von „0.0.0.0/0“ oder „::/0“ für diese Ports zulässt. Der unbeschränkte Zugriff (0.0.0.0/0) erhöht die Wahrscheinlichkeit für schädliche Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverlust. Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten Zugriff auf die folgenden Ports zulassen:
Preisstufe: Enterprise Compliance-Standards:
|
Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen. CIS empfiehlt, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 22 zulässt. Wenn Sie die uneingeschränkte Verbindung zu Remote-Konsolendiensten wie SSH entfernen, verringern Sie das Risiko für einen Server. Preisstufe: Enterprise Compliance-Standards:
|
Sicherheitsgruppen sollten keinen eingehenden Traffic von 0.0.0.0/0 an Port 22 zulassen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die automatische Schlüsselrotation für jeden Schlüssel aktiviert ist und mit der Schlüssel-ID des vom Kunden erstellten AWS KMS-Schlüssels übereinstimmt. Die Regel hat den Status „NICHT KONFORM“, wenn die Rolle „AWS Config-Aufzeichner“ für eine Ressource nicht die Berechtigung „kms:DescribeKey“ hat. Preisstufe: Enterprise Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Achten Sie darauf, dass die Rotation für vom Kunden erstellte CMKs aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dem AWS Key Management Service (KMS) können Kunden den Back-Key rotieren. Das ist Schlüsselmaterial, das im KMS gespeichert ist und mit der Schlüssel-ID des vom Kunden erstellten Kundenmasterschlüssels (CMK) verknüpft ist. Der Back-Key wird für kryptografische Vorgänge wie Verschlüsselung und Entschlüsselung verwendet. Bei der automatischen Schlüsselrotation werden derzeit alle vorherigen Sicherungsschlüssel beibehalten, damit die Entschlüsselung verschlüsselter Daten transparent erfolgen kann. Es wird empfohlen, die CMK-Schlüsselrotation für symmetrische Schlüssel zu aktivieren. Die Schlüsselrotation kann für keine asymmetrischen CMKs aktiviert werden. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Rotation für vom Kunden erstellte symmetrische CMKs aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob Routingtabellen für das VPC-Peering mit dem Prinzip der geringsten Berechtigung konfiguriert sind. Preisstufe: Enterprise Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Achten Sie darauf, dass Routingtabellen für VPC-Peering den geringsten Zugriff gewähren
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Die Funktion „Öffentlichen Zugriff blockieren“ von Amazon S3 bietet Einstellungen für Zugangspunkte, Buckets und Konten, mit denen Sie den öffentlichen Zugriff auf Amazon S3-Ressourcen verwalten können. Standardmäßig ist der öffentliche Zugriff auf neue Buckets, Zugangspunkte und Objekte nicht zulässig. Preisstufe: Enterprise Compliance-Standards: Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet. |
Prüfen Sie, ob die erforderlichen S3-Einstellungen zum Blockieren des öffentlichen Zugriffs auf Kontoebene konfiguriert sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon S3 bietet Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass S3-Buckets mit
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Bei der S3-Bucket-Zugriffsprotokollierung wird ein Log generiert, das Zugriffsdatensätze für jede Anfrage an Ihren S3-Bucket enthält. Ein Zugriffsprotokolleintrag enthält Details zur Anfrage, z. B. den Anfragetyp, die in der Anfrage angegebenen Ressourcen und die Uhrzeit und das Datum, zu dem die Anfrage verarbeitet wurde. Es wird empfohlen, das Bucket-Zugriffs-Logging für den CloudTrail-S3-Bucket zu aktivieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass das S3-Bucket-Zugriffs-Logging im CloudTrail S3-Bucket aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit der AWS S3-Serverzugriffs-Logging-Funktion werden Zugriffsanfragen an Speicher-Buckets protokolliert. Das ist für Sicherheitsaudits nützlich. Standardmäßig ist das Logging von Serverzugriffen für S3-Buckets nicht aktiviert. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Logging für alle S3-Buckets aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Auf Amazon S3-Bucket-Ebene können Sie Berechtigungen über eine Bucket-Richtlinie konfigurieren, sodass die Objekte nur über HTTPS zugänglich sind. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die S3-Bucket-Richtlinie auf Ablehnen von HTTP-Anfragen festgelegt ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Einstellung wird geprüft, ob die regionsübergreifende Replikation für einen Amazon S3-Bucket aktiviert ist. Die Prüfung schlägt fehl, wenn die regionsübergreifende Replikation für den Bucket nicht aktiviert ist oder wenn auch die Replikation innerhalb der Region aktiviert ist. Bei der Replikation werden Objekte automatisch und asynchron in Buckets in derselben oder in verschiedenen AWS-Regionen kopiert. Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen oder mehrere Ziel-Buckets kopiert. Gemäß den AWS-Best Practices wird die Replikation für Quell- und Ziel-Buckets empfohlen, die demselben AWS-Konto gehören. Neben der Verfügbarkeit sollten Sie auch andere Einstellungen zur Systemhärtung berücksichtigen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob die regionsübergreifende Replikation für S3-Buckets aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Dabei wird geprüft, ob für Ihren S3-Bucket entweder die Standardverschlüsselung von Amazon S3 aktiviert ist oder die S3-Bucket-Richtlinie Put-Objektanfragen ohne serverseitige Verschlüsselung ausdrücklich ablehnt. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass alle S3-Buckets die Verschlüsselung ruhender Daten verwenden
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit Amazon S3 können Sie mehrere Varianten eines Objekts im selben Bucket speichern. So können Sie sich leichter von unbeabsichtigten Nutzeraktionen und Anwendungsfehlern erholen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob die Versionsverwaltung für alle S3-Buckets aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die Amazon S3-Buckets mit AWS Key Management Service (AWS KMS) verschlüsselt sind Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle Buckets mit KMS verschlüsselt sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob für eine Amazon SageMaker-Notebookinstanz ein AWS Key Management Service-Schlüssel (AWS KMS) konfiguriert ist. Die Regel hat den Status „NICHT KONFORM“, wenn „KmsKeyId“ für die SageMaker-Notebookinstanz nicht angegeben ist. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für alle SageMaker-Notebookinstanzen die Verwendung von KMS konfiguriert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob der direkte Internetzugriff für eine SageMaker-Notebookinstanz deaktiviert ist. Dazu wird geprüft, ob das Feld „DirectInternetAccess“ für die Notebook-Instanz deaktiviert ist. Wenn Sie Ihre SageMaker-Instanz ohne VPC konfigurieren, ist standardmäßig der direkte Internetzugriff auf Ihrer Instanz aktiviert. Sie sollten Ihre Instanz mit einer VPC konfigurieren und die Standardeinstellung in „Deaktivieren – Internetzugriff über eine VPC“ ändern. Wenn Sie Modelle auf einem Notebook trainieren oder hosten möchten, benötigen Sie Internetzugriff. Damit der Internetzugriff möglich ist, muss Ihre VPC ein NAT-Gateway haben und Ihre Sicherheitsgruppe ausgehende Verbindungen zulassen. Weitere Informationen zum Verbinden einer Notebook-Instanz mit Ressourcen in einer VPC finden Sie im Amazon SageMaker Developer Guide unter „Notebook-Instanz mit Ressourcen in einer VPC verbinden“. Außerdem sollten Sie dafür sorgen, dass der Zugriff auf Ihre SageMaker-Konfiguration auf autorisierte Nutzer beschränkt ist. Beschränken Sie die IAM-Berechtigungen der Nutzer, um die SageMaker-Einstellungen und ‑Ressourcen zu ändern. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob der direkte Internetzugriff für alle Amazon SageMaker-Notebookinstanzen deaktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein in AWS Secrets Manager gespeichertes Secret für die automatische Rotation konfiguriert ist. Die Steuerung schlägt fehl, wenn das Secret nicht für die automatische Rotation konfiguriert ist. Wenn Sie einen benutzerdefinierten Wert für den Parameter Mit Secret Manager können Sie die Sicherheit Ihres Unternehmens verbessern. Zu Secrets gehören Datenbankanmeldedaten, Passwörter und API-Schlüssel von Drittanbietern. Mit Secret Manager können Sie Secrets zentral speichern, automatisch verschlüsseln, den Zugriff darauf steuern und Secrets sicher und automatisch rotieren. Secrets Manager kann Secrets rotieren. Sie können die Rotation verwenden, um langfristige Geheimnisse durch kurzfristige zu ersetzen. Durch das Rotieren Ihrer Secrets wird begrenzt, wie lange ein nicht autorisierter Nutzer ein manipuliertes Secret verwenden kann. Aus diesem Grund sollten Sie Ihre Secrets regelmäßig wechseln. Weitere Informationen zur Rotation finden Sie im AWS Secrets Manager-Nutzerhandbuch unter „AWS Secrets Manager-Secrets rotieren“. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für alle AWS Secrets Manager-Secrets die Rotation aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein SNS-Thema im Ruhezustand mit AWS KMS verschlüsselt ist. Die Steuerelemente funktionieren nicht, wenn für ein SNS-Thema kein KMS-Schlüssel für die serverseitige Verschlüsselung (SSE) verwendet wird. Durch die Verschlüsselung ruhender Daten wird das Risiko verringert, dass auf auf dem Laufwerk gespeicherte Daten von einem Nutzer zugegriffen wird, der nicht bei AWS authentifiziert ist. Außerdem werden weitere Zugriffssteuerungen hinzugefügt, um den Zugriff nicht autorisierter Nutzer auf die Daten einzuschränken. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. SNS-Themen sollten ruhende Daten verschlüsseln, um für zusätzliche Sicherheit zu sorgen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle SNS-Themen mit KMS verschlüsselt sind
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Einstellung wird geprüft, ob die Standardsicherheitsgruppe einer VPC eingehenden oder ausgehenden Traffic zulässt. Die Prüfung schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Traffic zulässt. Die Regeln für die Standardsicherheitsgruppe erlauben den gesamten ausgehenden und eingehenden Traffic von Netzwerkschnittstellen (und ihren zugehörigen Instanzen), die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, die Standardsicherheitsgruppe nicht zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Einstellung für die Standardsicherheitsgruppenregeln ändern, um eingehenden und ausgehenden Traffic einzuschränken. So wird unerwünschter Traffic verhindert, wenn die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2-Instanzen konfiguriert wird. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit VPC-Flusslogs können Sie Informationen zum IP-Traffic erfassen, der an Netzwerkschnittstellen in Ihrem VPC ein- und ausgeht. Nachdem Sie ein Ablaufprotokoll erstellt haben, können Sie die Daten in Amazon CloudWatch Logs aufrufen und abrufen. Es wird empfohlen, VPC-Flusslogs für Pakete vom Typ „Abgelehnt“ für VPCs zu aktivieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass VPC-Fluss-Logging in allen VPCs aktiviert ist
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Einstellung wird geprüft, ob eine Amazon EC2-Sicherheitsgruppe uneingeschränkten eingehenden Traffic von nicht autorisierten Ports zulässt. Der Steuerstatus wird so ermittelt: Wenn Sie den Standardwert für „authorizedTcpPorts“ verwenden, schlägt die Prüfung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem anderen Port als den Ports 80 und 443 zulässt. Wenn Sie benutzerdefinierte Werte für „authorizedTcpPorts“ oder „authorizedUdpPorts“ angeben, schlägt die Prüfung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem nicht aufgeführten Port zulässt. Wenn kein Parameter verwendet wird, schlägt die Steuerung für alle Sicherheitsgruppen fehl, die eine Regel für uneingeschränkten eingehenden Traffic haben. Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS. Sicherheitsgruppenregeln sollten dem Prinzip der geringsten Berechtigung folgen. Der unbeschränkte Zugriff (IP-Adresse mit dem Suffix „/0“) erhöht die Wahrscheinlichkeit für schädliche Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverluste. Sofern ein Port nicht ausdrücklich zugelassen ist, sollte er den uneingeschränkten Zugriff verweigern. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Sicherheitsgruppen mit 0.0.0.0/0 von VPCs nur bestimmten eingehenden TCP/UDP-Traffic zulassen
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Ein VPN-Tunnel ist eine verschlüsselte Verbindung, über die Daten innerhalb einer AWS-Site-to-Site-VPN-Verbindung vom Kundennetzwerk zu oder von AWS übertragen werden können. Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie gleichzeitig für Hochverfügbarkeit verwenden können. Es ist wichtig, dass beide VPN-Tunnel für eine VPN-Verbindung aktiviert sind, um eine sichere und hochverfügbare Verbindung zwischen einem AWS-VPC und Ihrem Remote-Netzwerk zu gewährleisten. Mit dieser Prüfung wird überprüft, ob beide VPN-Tunnel, die von AWS Site-to-Site VPN bereitgestellt werden, den Status „UP“ haben. Die Steuerung schlägt fehl, wenn einer oder beide Tunnel den Status „AUS“ haben. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob beide von AWS Site-to-Site bereitgestellten AWS-VPN-Tunnel den Status UP haben
|
Web Security Scanner-Ergebnisse
Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.
| Kategorie | Ergebnisbeschreibung | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
|---|---|---|---|
|
Kategoriename in der API: |
Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository. Preisstufe: Premium oder Standard |
A5 | A01 |
|
Kategoriename in der API: |
Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository. Preisstufe: Premium oder Standard |
A5 | A01 |
|
Kategoriename in der API: |
In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden. Preisstufe: Premium |
A3 | A04 |
|
Kategoriename in der API: |
Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort. Preisstufe: Premium oder Standard |
A3 | A02 |
|
Kategoriename in der API: |
Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Suffix des Preisstufe: Premium |
A5 | A01 |
|
Kategoriename in der API: |
Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Präfix des Preisstufe: Premium |
A5 | A01 |
|
Kategoriename in der API: |
Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu korrigieren, legen Sie für den HTTP-Header Preisstufe: Premium oder Standard |
A6 | A05 |
|
Kategoriename in der API: |
Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Premium oder Standard |
A6 | A05 |
|
Kategoriename in der API: |
Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Premium oder Standard |
A6 | A05 |
|
Kategoriename in der API: |
Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Premium oder Standard |
A6 | A05 |
|
Kategoriename in der API: |
Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden. Preisstufe: Premium oder Standard |
A6 | A05 |
|
Kategoriename in der API: |
Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Ergebnis zu korrigieren. Preisstufe: Premium oder Standard |
A9 | A06 |
|
Kategoriename in der API: |
Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben. Preisstufe: Premium oder Standard |
Nicht zutreffend | A10 |
|
Kategoriename in der API: |
Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzungs-ID des Nutzers im Anfrageheader Preisstufe: Premium |
A2 | A07 |
|
Kategoriename in der API: |
Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen, um dieses Ergebnis anzusprechen. Preisstufe: Premium |
A1 | A03 |
|
Kategoriename in der API: |
Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren. Preisstufe: Premium |
A8 | A08 |
|
Kategoriename in der API: |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten. Preisstufe: Premium oder Standard |
A7 | A03 |
|
Kategoriename in der API: |
Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden. Preisstufe: Premium oder Standard |
A7 | A03 |
|
Kategoriename in der API: |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten. Preisstufe: Premium oder Standard |
A7 | A03 |
|
Kategoriename in der API: |
Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host offenlegt. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben. Preisstufe: Premium |
A4 | A05 |
|
Kategoriename in der API: |
Die Anwendung ist anfällig für Prototypenverschmutzung. Diese Sicherheitslücke tritt auf, wenn den Eigenschaften des Preisstufe: Premium oder Standard |
A1 | A03 |
Ergebnisse des IAM-Recommenders
In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die vom IAM-Empfehlungstool generiert werden.
Jede IAM Recommender-Ergebnis enthält spezifische Empfehlungen zum Entfernen oder Ersetzen einer Rolle, die einem Hauptkonto in Ihrer Google Cloud-Umgebung zu viele Berechtigungen gewährt.
Die vom IAM-Empfehlungstool generierten Ergebnisse entsprechen den Empfehlungen, die in der Google Cloud Console auf der IAM-Seite des betroffenen Projekts, Ordners oder der betroffenen Organisation angezeigt werden.
Weitere Informationen zur Einbindung des IAM-Recommenders in Security Command Center finden Sie unter Sicherheitsquellen.
| Detektor | Fazit |
|---|---|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Empfehlungstool hat ein Dienstkonto mit einer oder mehreren IAM-Rollen erkannt, die dem Nutzerkonto zu viele Berechtigungen gewähren. Preisstufe: Premium Unterstützte Assets:
Dieses Ergebnis korrigieren : Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf |
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Recommender hat festgestellt, dass die ursprüngliche IAM-Standardrolle, die einem Kundenservicemitarbeiter gewährt wurde, durch eine der einfachen IAM-Rollen ersetzt wurde: Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind zu weit gefasste ältere Rollen und sollten Dienst-Agents nicht gewährt werden. Preisstufe: Premium Unterstützte Assets:
Dieses Ergebnis korrigieren : Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 10 Tagen auf |
|
Kategoriename in der API: |
Ergebnisbeschreibung: IAM Recommender hat festgestellt, dass einem Kundenservicemitarbeiter eine der einfachen IAM-Rollen Owner, Editor oder Viewer gewährt wurde. Einfache Rollen sind zu weit gefasste ältere Rollen und sollten Dienst-Agents nicht gewährt werden. Preisstufe: Premium Unterstützte Assets:
Dieses Ergebnis korrigieren : Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf |
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Recommender hat ein Nutzerkonto mit einer IAM-Rolle erkannt, die in den letzten 90 Tagen nicht verwendet wurde. Preisstufe: Premium Unterstützte Assets:
Dieses Ergebnis korrigieren : Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf |
CIEM-Ergebnisse
In der folgenden Tabelle sind die Security Command Center-Ergebnisse zu Identitäten und Zugriffen für AWS aufgeführt, die von Cloud Infrastructure Entitlement Management (CIEM) generiert wurden.
Die CIEM-Ergebnisse enthalten spezifische Empfehlungen zum Entfernen oder Ersetzen von sehr permissiven AWS IAM-Richtlinien, die mit angenommenen Identitäten, Nutzern oder Gruppen in Ihrer AWS-Umgebung verknüpft sind.
Weitere Informationen zu CIEM finden Sie unter Cloud Infrastructure Entitlement Management.
| Detektor | Fazit |
|---|---|
|
Kategoriename in der API: |
Ergebnisbeschreibung: In Ihrer AWS-Umgebung wurde mit CIEM eine übernommene IAM-Rolle mit einer oder mehreren sehr permissiv ausgestellten Richtlinien erkannt, die gegen den Grundsatz der geringsten Berechtigung verstoßen und die Sicherheitsrisiken erhöhen. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS Management Console aus:
In den Details des Befunds finden Sie spezifische Schritte zur Behebung. |
|
Kategoriename in der API: |
Ergebnisbeschreibung: In Ihrer AWS-Umgebung wurde mit CIEM eine IAM-Gruppe mit einer oder mehreren sehr permissiv ausgestellten Richtlinien erkannt, die gegen den Grundsatz der geringsten Berechtigung verstoßen und die Sicherheitsrisiken erhöhen. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS Management Console aus:
In den Details des Befunds finden Sie spezifische Schritte zur Behebung. |
|
Kategoriename in der API: |
Ergebnisbeschreibung: In Ihrer AWS-Umgebung wurde mit CIEM ein IAM-Nutzer mit einer oder mehreren sehr permissiv ausgestellten Richtlinien erkannt, die gegen das Prinzip der geringsten Berechtigung verstoßen und die Sicherheitsrisiken erhöhen. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS Management Console aus:
In den Details des Befunds finden Sie spezifische Schritte zur Behebung. |
|
Kategoriename in der API: |
Ergebnisbeschreibung: In Ihrer AWS-Umgebung wurde mit CIEM ein inaktiver IAM-Nutzer mit einer oder mehreren Berechtigungen erkannt. Dies verstößt gegen das Prinzip der geringsten Berechtigung und erhöht die Sicherheitsrisiken. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS-Verwaltungskonsole aus:
In den Details des Befunds finden Sie spezifische Schritte zur Behebung. |
|
Kategoriename in der API: |
Ergebnisbeschreibung: In Ihrer AWS-Umgebung wurde mit CIEM eine inaktive IAM-Gruppe mit einer oder mehreren Berechtigungen erkannt. Dies verstößt gegen das Prinzip der geringsten Berechtigung und erhöht die Sicherheitsrisiken. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS-Verwaltungskonsole aus:
In den Details des Befunds finden Sie spezifische Schritte zur Behebung. |
|
Kategoriename in der API: |
Beschreibung der Abweichung: In Ihrer AWS-Umgebung wurde mit CIEM eine übernommene IAM-Rolle erkannt, die inaktiv ist und eine oder mehrere Berechtigungen hat. Dies verstößt gegen das Prinzip der geringsten Berechtigung und erhöht die Sicherheitsrisiken. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS-Verwaltungskonsole aus:
In den Details des Befunds finden Sie spezifische Schritte zur Behebung. |
|
Kategoriename in der API: |
Beschreibung der Abweichung: In Ihrer AWS-Umgebung wurde mit CIEM eine zu permissiv ausgestaltete Vertrauensrichtlinie für eine AWS-IAM-Rolle erkannt, die gegen den Grundsatz der geringsten Berechtigung verstößt und die Sicherheitsrisiken erhöht. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Bearbeiten Sie in der AWS Management Console die Berechtigungen in der Trust-Richtlinie, die für die AWS IAM-Rolle erzwungen wird, um das Prinzip der geringsten Berechtigung einzuhalten. In den Details des Befunds finden Sie spezifische Schritte zur Behebung. |
|
Kategoriename in der API: |
Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung wurden mit CIEM eine oder mehrere Identitäten erkannt, die sich durch Identitätsdiebstahl lateral bewegen können. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Entfernen Sie über die AWS Management Console die Richtlinie oder Richtlinien, die der Identität oder den Identitäten zugewiesen sind und laterale Bewegungen zulassen. In den Details des Befunds finden Sie spezifische Schritte zur Behebung. |
Ergebnisse des Dienstes „Sicherheitsstatus“
In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die vom Dienst zur Bewertung der Sicherheitslage generiert werden.
Jede Sicherheitsstatus-Ergebnisbeschreibung für Dienste identifiziert eine Abweichung vom definierten Sicherheitsstatus.
| Ergebnis | Fazit |
|---|---|
|
Kategoriename in der API: |
Beschreibung des Ergebnisses: Der Dienst zur Bewertung der Sicherheitskonfiguration hat eine Änderung an einem Security Health Analytics-Detektor erkannt, die nicht im Rahmen eines Aktualisierungsvorgangs der Sicherheitskonfiguration stattgefunden hat. Preisstufe: Premium
Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Einstellungen des Bewegungsmelders zu Ihrer Körperhaltung und Ihrer Umgebung passen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können den Security Health Analytics-Detektor oder die Position und die Bereitstellung der Position aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie den Security Health Analytics-Detektor in der Google Cloud Console. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. So akzeptieren Sie die Änderung:
|
|
Kategoriename in der API: |
Beschreibung des Ergebnisses: Der Dienst zur Bewertung der Sicherheitskonfiguration hat eine Änderung an einem benutzerdefinierten Security Health Analytics-Modul erkannt, die nicht im Rahmen eines Sicherheitsupdates stattgefunden hat. Preisstufe: Premium Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Moduleinstellungen in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Security Health Analytics-Modul oder die Position und die Bereitstellung der Position aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Security Health Analytics-Modul in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefiniertes Modul aktualisieren. So akzeptieren Sie die Änderung:
|
|
Kategoriename in der API: |
Beschreibung des Ergebnisses: Der Dienst zur Bewertung der Sicherheitslage hat festgestellt, dass ein benutzerdefiniertes Security Health Analytics-Modul gelöscht wurde. Dieses Löschen erfolgte außerhalb eines Statusupdates. Preisstufe: Premium Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Moduleinstellungen in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Security Health Analytics-Modul oder die Position und die Bereitstellung der Position aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Security Health Analytics-Modul in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefiniertes Modul aktualisieren. So akzeptieren Sie die Änderung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer Organisationsrichtlinie erkannt, die nicht im Rahmen eines Statusupdates erfolgt ist. Preisstufe: Premium Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Organisationsrichtlinie oder die Bereitstellung der Sicherheitskonfiguration aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten. So akzeptieren Sie die Änderung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zum Bestimmen des Sicherheitsstatus hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte nicht im Rahmen eines Statusupdates. Preisstufe: Premium Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Organisationsrichtlinie oder die Bereitstellung der Sicherheitskonfiguration aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten. So akzeptieren Sie die Änderung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer benutzerdefinierten Organisationsrichtlinie erkannt, die außerhalb eines Statusupdates stattgefunden hat. Preisstufe: Premium Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Definitionen der Organisationsrichtlinien in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bewertung und Bereitstellung der Bewertung aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. So akzeptieren Sie die Änderung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zum Bestimmen des Sicherheitsstatus hat erkannt, dass eine benutzerdefinierte Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte nicht im Rahmen eines Statusupdates. Preisstufe: Premium Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Definitionen der Organisationsrichtlinien in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bewertung und Bereitstellung der Bewertung aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. So akzeptieren Sie die Änderung:
|
In der folgenden Tabelle sind die Ergebnisse zur Sicherheitsposition aufgeführt, in denen Ressourcen aufgeführt sind, die gegen Ihre definierte Sicherheitsposition verstoßen.
| Ergebnis | Fazit |
|---|---|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass in einem Subnetz eine externe IPv6-Adresse aktiviert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource löschen oder die Ausrichtung aktualisieren und neu bereitstellen. So löschen Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass in einem Subnetz eine interne IPv6-Adresse aktiviert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource löschen oder die Ausrichtung aktualisieren und neu bereitstellen. So löschen Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass das OS-Anmeldeverfahren in einer VM-Instanz deaktiviert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitslage hat erkannt, dass einer SQL-Instanz ein autorisiertes Netzwerk hinzugefügt wurde. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie müssen den Verstoß beheben oder die Position aktualisieren. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass ein VPC-Connector für eine Cloud Run-Funktions-Instanz nicht aktiviert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass der Zugriff auf serielle Ports einer VM-Instanz aktiviert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitslage hat festgestellt, dass ein Standardnetzwerk erstellt wurde. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource löschen oder die Ausrichtung aktualisieren und neu bereitstellen. So löschen Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass ein Cloud Run-Dienst nicht den angegebenen Einstellungen für eingehenden Traffic entspricht. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass der Zugriff auf Bucket-Ebene nicht einheitlich, sondern detailliert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:
|
|
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass ein Cloud Run-Dienst nicht den angegebenen Einstellungen für ausgehenden Traffic entspricht. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:
|
VM Manager
VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.
Wenn Sie VM Manager mit Security Command Center Premium auf Organisationsebene aktivieren, schreibt VM Manager Ergebnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, in Security Command Center. Die Berichte enthalten Informationen zu Sicherheitslücken in Betriebssystemen, die auf VMs installiert sind, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs).
Wenn Sie VM Manager mit Aktivierungen auf Projektebene von Security Command Center Premium verwenden möchten, aktivieren Sie Security Command Center Standard in der übergeordneten Organisation.
Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.
Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit diesem Feature können Sie die Patchverwaltung auf Organisationsebene für alle Projekte vornehmen.
Der Schweregrad der Sicherheitslücken, die von VM Manager empfangen werden, ist immer entweder CRITICAL oder HIGH.
VM Manager-Ergebnisse
Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Kategoriename in der API: |
Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt. Preisstufe: Premium Unterstützte Assets |
Die Sicherheitslückenberichte von VM Manager enthalten Informationen zu Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine-VMs, einschließlich häufiger Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs). Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter Details zu Betriebssystemen. Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt:
|
Ergebnisse in der Console ansehen
Google Cloud Console
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option VM Manager aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Security Operations Console
-
Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ersetzen Sie
CUSTOMER_SUBDOMAINdurch Ihre kundenspezifische Kennung. - Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
- Wählen Sie VM Manager aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Korrekturmaßnahmen für VM-Manager-Ergebnisse
Ein OS_VULNERABILITY-Ergebnis gibt an, dass VM Manager eine Sicherheitslücke in den installierten Betriebssystempaketen in einer Compute Engine-VM gefunden hat.
So können Sie dieses Ergebnis beheben:
Öffnen Sie ein
OS vulnerability-Ergebnis und rufen Sie die JSON-Definition auf.Kopieren Sie den Wert des Felds
externalUri. Dieser Wert ist der URI für die Seite OS-Informationen der Compute Engine-VM-Instanz, auf der das anfällige Betriebssystem installiert ist.Wende alle geeigneten Patches für das Betriebssystem an, das im Abschnitt Grundlegende Informationen angezeigt wird. Eine Anleitung zum Bereitstellen von Patches finden Sie unter Patchjobs erstellen.
Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
VM Manager-Ergebnisse stummschalten
Sie können einige oder alle VM Manager-Ergebnisse im Security Command Center ausblenden, wenn sie für Ihre Sicherheitsanforderungen nicht relevant sind.
Sie können VM Manager-Ergebnisse ausblenden, indem Sie eine Stummschaltungsregel erstellen und Abfrageattribute für die VM Manager-Ergebnisse hinzufügen, die Sie ausblenden möchten.
So erstellen Sie mithilfe der Google Cloud Console eine Stummschaltungsregel für VM Manager:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Klicken Sie auf Ausblendungs-Optionen und wählen Sie dann Ausblenden-Regel erstellen aus.
Geben Sie eine ID für eine Ausblendungs-Regel ein. Dieser Wert ist erforderlich.
Geben Sie eine Beschreibung der Ausblendungsregel ein, die den Kontext dafür enthält, warum die Ergebnisse ausgeblendet werden. Dieser Wert ist optional, wird aber empfohlen.
Prüfe den Geltungsbereich der Stummschaltungsregel anhand des Werts für Übergeordnete Ressource.
Klicken Sie im Feld Ergebnisabfrage auf Filter hinzufügen, um Abfrageanweisungen zu erstellen. Alternativ können Sie die Abfrageanweisungen auch manuell eingeben.
Wählen Sie im Dialogfeld Filter auswählen die Option Ergebnis > Anzeigename der Quelle > VM Manager aus.
Klicken Sie auf Anwenden.
Wiederholen Sie diesen Vorgang, bis die Anfrage zum Stummschalten alle Attribute enthält, die Sie ausblenden möchten.
Wenn Sie beispielsweise bestimmte CVE-IDs in den VM Manager-Sicherheitslückenergebnissen ausblenden möchten, wählen Sie Sicherheitslücke > CVE-ID und dann die CVE-IDs aus, die Sie ausblenden möchten.
Die Suchanfrage sieht in etwa so aus:
Klicken Sie auf Vorschau der übereinstimmenden Ergebnisse anzeigen.
Eine Tabelle zeigt Ergebnisse an, die Ihrer Abfrage entsprechen.
Klicken Sie auf Speichern.
Schutz sensibler Daten
In diesem Abschnitt werden die Sicherheitslücken beschrieben, die vom Sensitive Data Protection-Modul generiert werden, welche Compliance-Standards sie unterstützen und wie sie behoben werden können.
Der Schutz sensibler Daten sendet auch Beobachtungsergebnisse an das Security Command Center. Weitere Informationen zu den Beobachtungsergebnissen und zum Schutz sensibler Daten finden Sie unter Schutz sensibler Daten.
Informationen zum Aufrufen der Ergebnisse finden Sie unter Ergebnisse zum Schutz sensibler Daten in der Google Cloud Console ansehen.
Mit dem Sensitive Data Protection-Erkennungsdienst können Sie feststellen, ob Sie höchst sensible Daten speichern, die nicht geschützt sind.
| Kategorie | Fazit |
|---|---|
|
Kategoriename in der API:
|
Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher Vertraulichkeit, auf die jeder im Internet zugreifen kann. Unterstützte Assets:
Behebung: Entfernen Sie für Google Cloud-Daten Für Amazon S3-Daten: Konfigurieren Sie die Einstellungen für den Blockieren des öffentlichen Zugriffs oder aktualisieren Sie die ACL des Objekts, um den öffentlichen Lesezugriff zu verweigern. Compliance-Standards: Nicht zugeordnet |
|
Kategoriename in der API:
|
Ergebnisbeschreibung: In Umgebungsvariablen befinden sich Geheimnisse, z. B. Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten. Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Geheimnisse in Umgebungsvariablen an Security Command Center melden. Unterstützte Assets: Behebung: Entfernen Sie das Secret aus der Umgebungsvariablen für Cloud Run-Funktionen und speichern Sie es stattdessen in Secret Manager. Verschieben Sie bei Umgebungsvariablen für Cloud Run-Dienstüberarbeitungen den gesamten Traffic von der Überarbeitung und löschen Sie sie dann. Compliance-Standards:
|
|
Kategoriename in der API:
|
Ergebnisbeschreibung: In der angegebenen Ressource befinden sich Secrets wie Passwörter, Authentifizierungstokens und Cloud-Anmeldedaten. Unterstützte Assets:
Behebung:
Compliance-Standards: Nicht zugeordnet |
Policy Controller
Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster, die als Flottenmitgliedschaften registriert sind. Richtlinien dienen als Schutzmaßnahmen und können Sie beim Verwalten von Best Practices, der Sicherheit und der Compliance in Ihren Clustern und Ihrer Flotte unterstützen.
Auf dieser Seite sind nicht alle einzelnen Policy Controller-Ergebnisse aufgeführt. Die Informationen zu den Misconfiguration-Klassenergebnissen, die Policy Controller in das Security Command Center schreibt, stimmen jedoch mit den Clusterverstößen überein, die für jedes Policy Controller-Bundle dokumentiert sind. Die Dokumentation zu den einzelnen Policy Controller-Ergebnistypen finden Sie in den folgenden Policy Controller-Bundles:
CIS-Kubernetes-Benchmark v1.5.1, eine Reihe von Empfehlungen für die Konfiguration von Kubernetes, um ein hohes Sicherheitsniveau zu gewährleisten. Informationen zu diesem Bundle finden Sie auch im GitHub-Repository für
cis-k8s-v1.5.1.PCI-DSS v3.2.1: Ein Bundle, mit dem die Compliance Ihrer Clusterressourcen mit einigen Aspekten des Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1 bewertet wird. Informationen zu diesem Bundle finden Sie auch im GitHub-Repository für
pci-dss-v3.
Diese Funktion ist nicht mit VPC Service Controls-Dienstperimetern für die Stackdriver API kompatibel.
Policy Controller-Ergebnisse finden und beheben
Die Policy Controller-Kategorien entsprechen den Einschränkungsnamen, die in der Dokumentation zu Policy Controller-Bundles aufgeführt sind. Ein require-namespace-network-policies-Ergebnis gibt beispielsweise an, dass ein Namespace gegen die Richtlinie verstößt, dass jeder Namespace in einem Cluster eine NetworkPolicy haben muss.
So beheben Sie ein Ergebnis:
Google Cloud Console
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Policy Controller On-Cluster aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Security Operations Console
-
Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ersetzen Sie
CUSTOMER_SUBDOMAINdurch Ihre kundenspezifische Kennung. - Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
- Wählen Sie Policy Controller On-Cluster aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Nächste Schritte
Weitere Informationen zur Verwendung von Web Security Scanner
Vorschläge zur Behebung von Security Health Analytics-Ergebnissen und zur Behebung von Web Security Scanner-Ergebnissen