Temuan kerentanan

Pendeteksi Security Health Analytics dan Web Security Scanner menghasilkan temuan kerentanan yang tersedia di Security Command Center. Jika diaktifkan di Security Command Center, layanan terintegrasi, seperti VM Manager, juga akan menghasilkan temuan kerentanan.

Kemampuan Anda untuk melihat dan mengedit temuan ditentukan oleh peran dan izin Identity and Access Management (IAM) yang ditetapkan kepada Anda. Untuk mengetahui informasi selengkapnya tentang peran IAM di Security Command Center, lihat Kontrol akses.

Pendeteksi dan kepatuhan

Security Command Center memantau kepatuhan Anda dengan detektor yang dipetakan ke kontrol berbagai standar keamanan.

Untuk setiap standar keamanan yang didukung, Security Command Center akan memeriksa subset kontrol. Untuk kontrol yang dicentang, Security Command Center akan menampilkan jumlah kontrol yang lulus. Untuk kontrol yang tidak lulus, Security Command Center akan menampilkan daftar temuan yang menjelaskan kegagalan kontrol.

CIS meninjau dan memberikan sertifikasi pemetaan detektor Security Command Center ke setiap versi CIS Google Cloud Foundations Benchmark yang didukung. Pemetaan kepatuhan tambahan disertakan hanya untuk tujuan referensi.

Security Command Center menambahkan dukungan untuk versi dan standar benchmark baru secara berkala. Versi lama tetap didukung, tetapi pada akhirnya tidak digunakan lagi. Sebaiknya gunakan benchmark atau standar terbaru yang didukung dan tersedia.

Dengan layanan postur keamanan, Anda dapat memetakan kebijakan organisasi dan detektor Security Health Analytics ke standar dan kontrol yang berlaku untuk bisnis Anda. Setelah membuat postur keamanan, Anda dapat memantau perubahan apa pun pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda.

Untuk informasi selengkapnya tentang cara mengelola kepatuhan, lihat Menilai dan melaporkan kepatuhan terhadap standar keamanan.

Standar keamanan yang didukung

Google Cloud

Security Command Center memetakan detektor untuk Google Cloud ke satu atau beberapa standar kepatuhan berikut:

AWS

Security Command Center memetakan detektor untuk Amazon Web Services (AWS) ke satu atau beberapa standar kepatuhan berikut:

Untuk mengetahui petunjuk tentang cara melihat dan mengekspor laporan kepatuhan, lihat bagian Kepatuhan di Menggunakan Security Command Center di konsol Google Cloud.

Menemukan penonaktifan setelah perbaikan

Setelah Anda memperbaiki temuan kerentanan atau kesalahan konfigurasi, layanan Security Command Center yang mendeteksi temuan tersebut akan otomatis menetapkan status temuan ke INACTIVE saat layanan deteksi memindai temuan tersebut lagi. Waktu yang diperlukan Security Command Center untuk menetapkan temuan yang telah diperbaiki ke INACTIVE bergantung pada jadwal pemindaian yang mendeteksi temuan tersebut.

Layanan Security Command Center juga menetapkan status temuan kerentanan atau kesalahan konfigurasi ke INACTIVE saat pemindaian mendeteksi bahwa resource yang terpengaruh oleh temuan tersebut telah dihapus.

Untuk informasi selengkapnya tentang interval pemindaian, lihat topik berikut:

Temuan Security Health Analytics

Detektor Security Health Analytics memantau sebagian resource dari Inventaris Aset Cloud (CAI), yang menerima notifikasi tentang perubahan kebijakan Identity and Access Management (IAM) dan resource. Beberapa detektor mengambil data dengan memanggil Google Cloud API secara langsung, seperti yang ditunjukkan dalam tabel nanti di halaman ini.

Untuk informasi selengkapnya tentang Security Health Analytics, jadwal pemindaian, dan dukungan Security Health Analytics untuk pendeteksi modul bawaan dan kustom, lihat Ringkasan Security Health Analytics.

Tabel berikut menjelaskan pendeteksi Security Health Analytics, aset, dan standar kepatuhan yang didukungnya, setelan yang digunakannya untuk pemindaian, dan jenis temuan yang dihasilkannya. Anda dapat memfilter temuan menurut berbagai atribut dengan menggunakan halaman Kerentanan Security Command Center di konsol Google Cloud.

Untuk petunjuk cara memperbaiki masalah dan melindungi resource Anda, lihat Memperbaiki temuan Security Health Analytics.

Temuan kerentanan kunci API

Detektor API_KEY_SCANNER mengidentifikasi kerentanan yang terkait dengan kunci API yang digunakan dalam deployment cloud Anda.

Pendeteksi Ringkasan Setelan pemindaian aset
API key APIs unrestricted

Nama kategori di API: API_KEY_APIS_UNRESTRICTED

Deskripsi temuan: Ada kunci API yang digunakan terlalu luas. Untuk mengatasinya, batasi penggunaan kunci API agar hanya mengizinkan API yang diperlukan oleh aplikasi.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Mengambil properti restrictions dari semua kunci API dalam project, memeriksa apakah ada yang ditetapkan ke cloudapis.googleapis.com.

  • Pemindaian real-time: Tidak
API key apps unrestricted

Nama kategori di API: API_KEY_APPS_UNRESTRICTED

Deskripsi temuan: Ada kunci API yang digunakan tanpa batasan, sehingga memungkinkan penggunaan oleh aplikasi yang tidak tepercaya.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13

Mengambil properti restrictions dari semua kunci API dalam project, memeriksa apakah browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions, atau iosKeyRestrictions ditetapkan.

  • Pemindaian real-time: Tidak
API key exists

Nama kategori di API: API_KEY_EXISTS

Deskripsi temuan: Project menggunakan kunci API, bukan autentikasi standar.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Mengambil semua kunci API yang dimiliki oleh project.

  • Pemindaian real-time: Tidak
API key not rotated

Nama kategori di API: API_KEY_NOT_ROTATED

Deskripsi temuan: Kunci API belum dirotasi selama lebih dari 90 hari.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Mengambil stempel waktu yang terdapat dalam properti createTime dari semua kunci API, memeriksa apakah 90 hari telah berlalu.

  • Pemindaian real-time: Tidak

Temuan kerentanan Inventaris Aset Cloud

Semua kerentanan jenis detektor ini terkait dengan konfigurasi Inventaris Aset Cloud dan termasuk dalam jenis CLOUD_ASSET_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
Cloud Asset API disabled

Nama kategori di API: CLOUD_ASSET_API_DISABLED

Deskripsi temuan: Pengambilan resource Google Cloud dan kebijakan IAM oleh Cloud Asset Inventory memungkinkan analisis keamanan, pelacakan perubahan resource, dan audit kepatuhan. Sebaiknya layanan Inventaris Aset Cloud diaktifkan untuk semua project. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
pubsub.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

Memeriksa apakah layanan Inventaris Aset Cloud diaktifkan.

  • Pemindaian real-time: Ya

Temuan kerentanan image Compute

Detektor COMPUTE_IMAGE_SCANNER mengidentifikasi kerentanan yang terkait dengan konfigurasi image Google Cloud.

Pendeteksi Ringkasan Setelan pemindaian aset
Public Compute image

Nama kategori di API: PUBLIC_COMPUTE_IMAGE

Deskripsi temuan: Image Compute Engine dapat diakses secara publik.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Image

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama allUsers atau allAuthenticatedUsers, yang memberikan akses publik.

  • Pemindaian real-time: Ya

Temuan kerentanan instance Compute

Detektor COMPUTE_INSTANCE_SCANNER mengidentifikasi kerentanan yang terkait dengan konfigurasi instance Compute Engine.

Detektor COMPUTE_INSTANCE_SCANNER tidak melaporkan temuan pada instance Compute Engine yang dibuat oleh GKE. Instance tersebut memiliki nama yang dimulai dengan "gke-", yang tidak dapat diedit oleh pengguna. Untuk mengamankan instance ini, lihat bagian Temuan kerentanan penampung.

Pendeteksi Ringkasan Setelan pemindaian aset
Confidential Computing disabled

Nama kategori di API: CONFIDENTIAL_COMPUTING_DISABLED

Deskripsi temuan: Confidential Computing dinonaktifkan di instance Compute Engine.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa properti confidentialInstanceConfig metadata instance untuk pasangan nilai kunci "enableConfidentialCompute":true.

  • Aset yang dikecualikan dari pemindaian:
    • Instance GKE
    • Akses VPC Serverless
    • Instance yang terkait dengan tugas Dataflow
    • Instance Compute Engine yang bukan berjenis N2D
  • Pemindaian real-time: Ya
Compute project wide SSH keys allowed

Nama kategori di API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Deskripsi temuan: Kunci SSH di seluruh project digunakan, yang memungkinkan login ke semua instance dalam project.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

Memeriksa objek metadata.items[] dalam metadata instance untuk pasangan nilai kunci "key": "block-project-ssh-keys", "value": TRUE.

  • Aset yang dikecualikan dari pemindaian: instance GKE, tugas Dataflow, instance Windows
  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca metadata dari Compute Engine
  • Pemindaian real-time: Tidak
Compute Secure Boot disabled

Nama kategori di API: COMPUTE_SECURE_BOOT_DISABLED

Deskripsi temuan: VM Shielded ini tidak mengaktifkan Booting Aman. Penggunaan Booting Aman membantu melindungi instance virtual machine dari ancaman lanjutan seperti rootkit dan bootkit.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa properti shieldedInstanceConfig di instance Compute Engine untuk menentukan apakah enableSecureBoot ditetapkan ke true. Detektor ini memeriksa apakah disk yang terpasang kompatibel dengan Booting Aman dan Booting Aman diaktifkan.

  • Aset yang dikecualikan dari pemindaian: Instance GKE, disk Compute Engine yang memiliki akselerator GPU dan tidak menggunakan OS yang Dioptimalkan untuk Container, Akses VPC Serverless
  • Pemindaian real-time: Ya
Compute serial ports enabled

Nama kategori di API: COMPUTE_SERIAL_PORTS_ENABLED

Deskripsi temuan: Port serial diaktifkan untuk instance, sehingga memungkinkan koneksi ke konsol serial instance.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Memeriksa objek metadata.items[] dalam metadata instance untuk pasangan nilai kunci "key": "serial-port-enable", "value": TRUE.

  • Aset yang dikecualikan dari pemindaian: Instance GKE
  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca metadata dari Compute Engine
  • Pemindaian real-time: Ya
Default service account used

Nama kategori di API: DEFAULT_SERVICE_ACCOUNT_USED

Deskripsi temuan: Instance dikonfigurasi untuk menggunakan akun layanan default.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Memeriksa properti serviceAccounts dalam metadata instance untuk alamat email akun layanan apa pun dengan awalan PROJECT_NUMBER-compute@developer.gserviceaccount.com, yang menunjukkan akun layanan default yang dibuat Google.

  • Aset yang dikecualikan dari pemindaian: instance GKE, tugas Dataflow
  • Pemindaian real-time: Ya
Disk CMEK disabled

Nama kategori di API: DISK_CMEK_DISABLED

Deskripsi temuan: Disk di VM ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Disk

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa kolom kmsKeyName dalam objek diskEncryptionKey, dalam metadata disk, untuk nama resource CMEK Anda.

  • Aset yang dikecualikan dari pemindaian: Disk yang terkait dengan lingkungan Cloud Composer, tugas Dataflow, dan instance GKE
  • Pemindaian real-time: Ya
Disk CSEK disabled

Nama kategori di API: DISK_CSEK_DISABLED

Deskripsi temuan: Disk di VM ini tidak dienkripsi dengan Kunci Enkripsi yang Disediakan Pelanggan (CSEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Detektor kasus khusus.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Disk

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa kolom kmsKeyName dalam objek diskEncryptionKey untuk nama resource CSEK Anda.

  • Aset yang dikecualikan dari pemindaian:
    Disk Compute Engine tanpa tanda keamanan enforce_customer_supplied_disk_encryption_keys yang ditetapkan ke true
  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca metadata dari Compute Engine
  • Pemindaian real-time: Ya
Full API access

Nama kategori di API: FULL_API_ACCESS

Deskripsi temuan: Instance dikonfigurasi untuk menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Mengambil kolom scopes di properti serviceAccounts untuk memeriksa apakah akun layanan default digunakan dan apakah akun tersebut ditetapkan cakupan cloud-platform.

  • Aset yang dikecualikan dari pemindaian: instance GKE, tugas Dataflow
  • Pemindaian real-time: Ya
HTTP load balancer

Nama kategori di API: HTTP_LOAD_BALANCER

Deskripsi temuan: Instance menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/TargetHttpProxy

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 2.3

Menentukan apakah properti selfLink dari resource targetHttpProxy cocok dengan atribut target dalam aturan penerusan, dan apakah aturan penerusan berisi kolom loadBalancingScheme yang ditetapkan ke External.

  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca aturan penerusan untuk proxy HTTP target dari Compute Engine, memeriksa aturan eksternal
  • Pemindaian real-time: Ya
Instance OS Login disabled

Nama kategori di API: INSTANCE_OS_LOGIN_DISABLED

Deskripsi temuan: Login OS dinonaktifkan di instance ini.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Memeriksa apakah properti enable-oslogin dari Custom metadata instance ditetapkan ke TRUE.

  • Aset yang dikecualikan dari pemindaian: Instance GKE, instance yang terkait dengan tugas Dataflow, Akses VPC Serverless
  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca metadata dari Compute Engine.
  • Pemindaian real-time: Tidak
IP forwarding enabled

Nama kategori di API: IP_FORWARDING_ENABLED

Deskripsi temuan: Penerusan IP diaktifkan pada instance.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Memeriksa apakah properti canIpForward instance ditetapkan ke true.

  • Aset yang dikecualikan dari pemindaian: instance GKE, Akses VPC Serverless
  • Pemindaian real-time: Ya
OS login disabled

Nama kategori di API: OS_LOGIN_DISABLED

Deskripsi temuan: Login OS dinonaktifkan di instance ini.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Memeriksa objek commonInstanceMetadata.items[] dalam metadata project untuk pasangan nilai kunci, "key": "enable-oslogin", "value": TRUE. Detektor juga memeriksa semua instance dalam project Compute Engine untuk menentukan apakah Login OS dinonaktifkan untuk setiap instance.

  • Aset yang dikecualikan dari pemindaian: instance GKE, instance yang terkait dengan tugas Dataflow
  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca metadata dari Compute Engine. Detektor juga memeriksa instance Compute Engine dalam project
  • Pemindaian real-time: Tidak
Public IP address

Nama kategori di API: PUBLIC_IP_ADDRESS

Deskripsi temuan: Instance memiliki alamat IP publik.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa apakah properti networkInterfaces berisi kolom accessConfigs, yang menunjukkan bahwa properti tersebut dikonfigurasi untuk menggunakan alamat IP publik.

  • Aset yang dikecualikan dari pemindaian: instance GKE, instance yang terkait dengan tugas Dataflow
  • Pemindaian real-time: Ya
Shielded VM disabled

Nama kategori di API: SHIELDED_VM_DISABLED

Deskripsi temuan: Shielded VM dinonaktifkan pada instance ini.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8

Memeriksa properti shieldedInstanceConfig di instance Compute Engine untuk menentukan apakah kolom enableIntegrityMonitoring dan enableVtpm ditetapkan ke true. Kolom ini menunjukkan apakah Shielded VM diaktifkan.

  • Aset yang dikecualikan dari pemindaian: instance GKE dan Akses VPC Serverless
  • Pemindaian real-time: Ya
Weak SSL policy

Nama kategori di API: WEAK_SSL_POLICY

Deskripsi temuan: Instance memiliki kebijakan SSL yang lemah.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

Memeriksa apakah sslPolicy dalam metadata aset kosong atau menggunakan kebijakan default Google Cloud dan, untuk resource sslPolicies yang dilampirkan, apakah profile ditetapkan ke Restricted atau Modern, minTlsVersion ditetapkan ke TLS 1.2, dan customFeatures kosong atau tidak berisi cipher berikut: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca kebijakan SSL untuk penyimpanan proxy target, memeriksa kebijakan yang lemah
  • Pemindaian real-time: Ya, tetapi hanya saat TargetHttpsProxy dari TargetSslProxy diperbarui, bukan saat kebijakan SSL diperbarui

Temuan kerentanan container

Semua jenis temuan ini terkait dengan konfigurasi penampung GKE, dan termasuk dalam jenis pendeteksi CONTAINER_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
Alpha cluster enabled

Nama kategori di API: ALPHA_CLUSTER_ENABLED

Deskripsi temuan: Fitur cluster alfa diaktifkan untuk cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.10.2

Memeriksa apakah properti enableKubernetesAlpha cluster ditetapkan ke true.

  • Pemindaian real-time: Ya
Auto repair disabled

Nama kategori di API: AUTO_REPAIR_DISABLED

Deskripsi temuan: Fitur perbaikan otomatis cluster GKE, yang menjaga node dalam keadaan berjalan dengan baik, dinonaktifkan.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

Memeriksa properti management dari node pool untuk pasangan nilai kunci, "key":, "autoRepair", "value":, true.

  • Pemindaian real-time: Ya
Auto upgrade disabled

Nama kategori di API: AUTO_UPGRADE_DISABLED

Deskripsi temuan: Fitur upgrade otomatis cluster GKE, yang membuat cluster dan node pool tetap menggunakan Kubernetes versi stabil terbaru, dinonaktifkan.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

Memeriksa properti management dari node pool untuk pasangan nilai kunci, "key":, "autoUpgrade", "value":, true.

  • Pemindaian real-time: Ya
Binary authorization disabled

Nama kategori di API: BINARY_AUTHORIZATION_DISABLED

Deskripsi temuan: Otorisasi Biner dinonaktifkan di cluster GKE atau kebijakan Otorisasi Biner dikonfigurasi untuk mengizinkan semua image di-deploy.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa hal berikut:

  • Memeriksa apakah properti binaryAuthorization memiliki salah satu pasangan nilai kunci berikut:
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • Memeriksa apakah properti kebijakan defaultAdmissionRule tidak berisi pasangan nilai kunci evaluationMode: ALWAYS_ALLOW.

  • Pemindaian real-time: Ya
Cluster logging disabled

Nama kategori di API: CLUSTER_LOGGING_DISABLED

Deskripsi temuan: Logging tidak diaktifkan untuk cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

Memeriksa apakah properti loggingService cluster berisi lokasi yang harus digunakan Cloud Logging untuk menulis log.

  • Pemindaian real-time: Ya
Cluster monitoring disabled

Nama kategori di API: CLUSTER_MONITORING_DISABLED

Deskripsi temuan: Pemantauan dinonaktifkan di cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

Memeriksa apakah properti monitoringService cluster berisi lokasi yang harus digunakan Cloud Monitoring untuk menulis metrik.

  • Pemindaian real-time: Ya
Cluster private Google access disabled

Nama kategori di API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Deskripsi temuan: Host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi untuk mengakses Google API.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

Memeriksa apakah properti privateIpGoogleAccess subjaringan ditetapkan ke false.

  • Input tambahan: Membaca subnetwork dari penyimpanan, yang menyimpan temuan hanya untuk cluster dengan subnetwork
  • Pemindaian real-time: Ya, tetapi hanya jika cluster diperbarui, bukan untuk pembaruan subjaringan
Cluster secrets encryption disabled

Nama kategori di API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

Deskripsi temuan: Enkripsi secret lapisan aplikasi dinonaktifkan di cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.3.1

Memeriksa properti keyName dari objek databaseEncryption untuk pasangan nilai kunci "state": ENCRYPTED.

  • Pemindaian real-time: Ya
Cluster shielded nodes disabled

Nama kategori di API: CLUSTER_SHIELDED_NODES_DISABLED

Deskripsi temuan: Node GKE yang terlindungi tidak diaktifkan untuk cluster.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.5.5

Memeriksa properti shieldedNodes untuk pasangan nilai kunci "enabled": true.

  • Pemindaian real-time: Ya
COS not used

Nama kategori di API: COS_NOT_USED

Deskripsi temuan: VM Compute Engine tidak menggunakan OS yang Dioptimalkan Container yang dirancang untuk menjalankan penampung Docker di Google Cloud dengan aman.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

Memeriksa properti config dari node pool untuk pasangan nilai kunci, "imageType": "COS".

  • Pemindaian real-time: Ya
Integrity monitoring disabled

Nama kategori di API: INTEGRITY_MONITORING_DISABLED

Deskripsi temuan: Pemantauan integritas dinonaktifkan untuk cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.5.6

Memeriksa properti shieldedInstanceConfig dari objek nodeConfig untuk pasangan nilai kunci "enableIntegrityMonitoring": true.

  • Pemindaian real-time: Ya
Intranode visibility disabled

Nama kategori di API: INTRANODE_VISIBILITY_DISABLED

Deskripsi temuan: Visibilitas intranode dinonaktifkan untuk cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.6.1

Memeriksa properti networkConfig untuk pasangan nilai kunci "enableIntraNodeVisibility": true.

  • Pemindaian real-time: Ya
IP alias disabled

Nama kategori di API: IP_ALIAS_DISABLED

Deskripsi temuan: Cluster GKE dibuat dengan rentang IP alias dinonaktifkan.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

Memeriksa apakah kolom useIPAliases dari ipAllocationPolicy dalam cluster ditetapkan ke false.

  • Pemindaian real-time: Ya
Legacy authorization enabled

Nama kategori di API: LEGACY_AUTHORIZATION_ENABLED

Deskripsi temuan: Otorisasi Lama diaktifkan di cluster GKE.

Tingkat harga: Premium atau Standar

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

Memeriksa properti legacyAbac cluster untuk pasangan nilai kunci, "enabled": true.

  • Pemindaian real-time: Ya
Legacy metadata enabled

Nama kategori di API: LEGACY_METADATA_ENABLED

Deskripsi temuan: Metadata lama diaktifkan di cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.4.1

Memeriksa properti config dari node pool untuk pasangan nilai kunci, "disable-legacy-endpoints": "false".

  • Pemindaian real-time: Ya
Master authorized networks disabled

Nama kategori di API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Deskripsi temuan: Jaringan yang Diizinkan Bidang Kontrol tidak diaktifkan di cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

Memeriksa properti masterAuthorizedNetworksConfig cluster untuk pasangan nilai kunci, "enabled": false.

  • Pemindaian real-time: Ya
Network policy disabled

Nama kategori di API: NETWORK_POLICY_DISABLED

Deskripsi temuan: Kebijakan jaringan dinonaktifkan di cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

Memeriksa kolom networkPolicy dari properti addonsConfig untuk pasangan nilai kunci, "disabled": true.

  • Pemindaian real-time: Ya
Nodepool boot CMEK disabled

Nama kategori di API: NODEPOOL_BOOT_CMEK_DISABLED

Deskripsi temuan: Disk booting di node pool ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa properti bootDiskKmsKey node pool untuk nama resource CMEK Anda.

  • Pemindaian real-time: Ya
Nodepool secure boot disabled

Nama kategori di API: NODEPOOL_SECURE_BOOT_DISABLED

Deskripsi temuan: Booting Aman dinonaktifkan untuk cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.5.7

Memeriksa properti shieldedInstanceConfig dari objek nodeConfig untuk pasangan nilai kunci "enableSecureBoot": true.

  • Pemindaian real-time: Ya
Over privileged account

Nama kategori di API: OVER_PRIVILEGED_ACCOUNT

Deskripsi temuan: Akun layanan memiliki akses project yang terlalu luas di cluster.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

Mengevaluasi properti config dari node pool untuk memeriksa apakah tidak ada akun layanan yang ditentukan atau apakah akun layanan default digunakan.

  • Pemindaian real-time: Ya
Over privileged scopes

Nama kategori di API: OVER_PRIVILEGED_SCOPES

Deskripsi temuan: Akun layanan node memiliki cakupan akses yang luas.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
Memeriksa apakah cakupan akses yang tercantum dalam properti config.oauthScopes dari node pool adalah cakupan akses akun layanan terbatas: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, atau https://www.googleapis.com/auth/monitoring.
  • Pemindaian real-time: Ya
Pod security policy disabled

Nama kategori di API: POD_SECURITY_POLICY_DISABLED

Deskripsi temuan: PodSecurityPolicy dinonaktifkan di cluster GKE.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

Memeriksa properti podSecurityPolicyConfig cluster untuk pasangan nilai kunci, "enabled": false.

  • Izin IAM tambahan: roles/container.clusterViewer
  • Input tambahan: Membaca informasi cluster dari GKE, karena kebijakan keamanan pod adalah fitur Beta. Kubernetes secara resmi telah menghentikan penggunaan PodSecurityPolicy di versi 1.21. PodSecurityPolicy akan dinonaktifkan di versi 1.25. Untuk informasi tentang alternatif, lihat Penghentian penggunaan PodSecurityPolicy.
  • Pemindaian real-time: Tidak
Private cluster disabled

Nama kategori di API: PRIVATE_CLUSTER_DISABLED

Deskripsi temuan: Cluster GKE memiliki Cluster pribadi yang dinonaktifkan.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

Memeriksa apakah kolom enablePrivateNodes properti privateClusterConfig ditetapkan ke false.

  • Pemindaian real-time: Ya
Release channel disabled

Nama kategori di API: RELEASE_CHANNEL_DISABLED

Deskripsi temuan: Cluster GKE tidak berlangganan saluran rilis.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.5.4

Memeriksa properti releaseChannel untuk pasangan nilai kunci "channel": UNSPECIFIED.

  • Pemindaian real-time: Ya
Web UI enabled

Nama kategori di API: WEB_UI_ENABLED

Deskripsi temuan: UI web (dasbor) GKE diaktifkan.

Tingkat harga: Premium atau Standar

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

Memeriksa kolom kubernetesDashboard properti addonsConfig untuk pasangan nilai kunci, "disabled": false.

  • Pemindaian real-time: Ya
Workload Identity disabled

Nama kategori di API: WORKLOAD_IDENTITY_DISABLED

Deskripsi temuan: Workload Identity dinonaktifkan di cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.2.2

Memeriksa apakah properti workloadIdentityConfig cluster telah ditetapkan. Detektor juga memeriksa apakah properti workloadMetadataConfig kumpulan node disetel ke GKE_METADATA.

  • Izin IAM tambahan: roles/container.clusterViewer
  • Pemindaian real-time: Ya

Temuan kerentanan Dataproc

Semua kerentanan jenis pendeteksi ini terkait dengan Dataproc dan termasuk dalam jenis pendeteksi DATAPROC_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
Dataproc CMEK disabled

Nama kategori di API: DATAPROC_CMEK_DISABLED

Deskripsi temuan: Cluster Dataproc dibuat tanpa konfigurasi enkripsi CMEK. Dengan CMEK, kunci yang Anda buat dan kelola di Cloud Key Management Service menggabungkan kunci yang digunakan Google Cloud untuk mengenkripsi data Anda, sehingga Anda memiliki lebih banyak kontrol terhadap akses ke data Anda. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
dataproc.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa apakah kolom kmsKeyName di properti encryptionConfiguration kosong.

  • Pemindaian real-time: Ya
Dataproc image outdated

Nama kategori di API: DATAPROC_IMAGE_OUTDATED

Deskripsi temuan: Cluster Dataproc dibuat dengan versi image Dataproc yang terpengaruh oleh kerentanan keamanan di utilitas Apache Log4j 2 (CVE-2021-44228 dan CVE-2021-45046).

Tingkat harga: Premium atau Standar

Aset yang didukung
dataproc.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa apakah kolom softwareConfig.imageVersion di properti config dari Cluster lebih lama dari 1.3.95 atau merupakan versi image subminor yang lebih lama dari 1.4.77, 1.5.53, atau 2.0.27.

  • Pemindaian real-time: Ya

Temuan kerentanan set data

Semua kerentanan jenis detektor ini terkait dengan konfigurasi Set Data BigQuery, dan termasuk dalam jenis detektor DATASET_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
BigQuery table CMEK disabled

Nama kategori di API: BIGQUERY_TABLE_CMEK_DISABLED

Deskripsi temuan: Tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
bigquery.googleapis.com/Table

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa apakah kolom kmsKeyName di properti encryptionConfiguration kosong.

  • Pemindaian real-time: Ya
Dataset CMEK disabled

Nama kategori di API: DATASET_CMEK_DISABLED

Deskripsi temuan: Set data BigQuery tidak dikonfigurasi untuk menggunakan CMK default. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
bigquery.googleapis.com/Dataset

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa apakah kolom kmsKeyName di properti defaultEncryptionConfiguration kosong.

  • Pemindaian real-time: Tidak
Public dataset

Nama kategori di API: PUBLIC_DATASET

Deskripsi temuan: Set data dikonfigurasi agar terbuka untuk akses publik.

Tingkat harga: Premium atau Standar

Aset yang didukung
bigquery.googleapis.com/Dataset

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama allUsers atau allAuthenticatedUsers, yang memberikan akses publik.

  • Pemindaian real-time: Ya

Temuan kerentanan DNS

Semua kerentanan jenis pendeteksi ini terkait dengan konfigurasi Cloud DNS, dan termasuk dalam jenis pendeteksi DNS_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
DNSSEC disabled

Nama kategori di API: DNSSEC_DISABLED

Deskripsi temuan: DNSSEC dinonaktifkan untuk zona Cloud DNS.

Tingkat harga: Premium

Aset yang didukung
dns.googleapis.com/ManagedZone

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Memeriksa apakah kolom state dari properti dnssecConfig ditetapkan ke off.

  • Aset yang dikecualikan dari pemindaian: Zona Cloud DNS yang tidak bersifat publik
  • Pemindaian real-time: Ya
RSASHA1 for signing

Nama kategori di API: RSASHA1_FOR_SIGNING

Deskripsi temuan: RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS.

Tingkat harga: Premium

Aset yang didukung
dns.googleapis.com/ManagedZone

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Memeriksa apakah objek defaultKeySpecs.algorithm dari properti dnssecConfig ditetapkan ke rsasha1.

  • Pemindaian real-time: Ya

Temuan kerentanan firewall

Kerentanan jenis pendeteksi ini semuanya terkait dengan konfigurasi firewall, dan termasuk dalam jenis pendeteksi FIREWALL_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
Egress deny rule not set

Nama kategori di API: EGRESS_DENY_RULE_NOT_SET

Deskripsi temuan: Aturan penolakan keluar tidak ditetapkan di firewall. Aturan penolakan egress harus ditetapkan untuk memblokir traffic keluar yang tidak diinginkan.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 7.2

Memeriksa apakah properti destinationRanges di firewall ditetapkan ke 0.0.0.0/0 dan properti denied berisi pasangan nilai kunci, "IPProtocol": "all".

  • Input tambahan: Membaca firewall keluar untuk project dari penyimpanan
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan perubahan aturan firewall
Firewall rule logging disabled

Nama kategori di API: FIREWALL_RULE_LOGGING_DISABLED

Deskripsi temuan: Logging aturan firewall dinonaktifkan. Logging aturan firewall harus diaktifkan agar Anda dapat mengaudit akses jaringan.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti logConfig dalam metadata firewall untuk melihat apakah kosong atau berisi key-value pair "enable": false.

Open Cassandra port

Nama kategori di API: OPEN_CASSANDRA_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port Cassandra terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Pemindaian real-time: Ya
Open ciscosecure websm port

Nama kategori di API: OPEN_CISCOSECURE_WEBSM_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port CISCOSECURE_WEBSM terbuka yang mengizinkan akses umum.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:9090.

  • Pemindaian real-time: Ya
Open directory services port

Nama kategori di API: OPEN_DIRECTORY_SERVICES_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port DIRECTORY_SERVICES terbuka yang mengizinkan akses umum.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:445 dan UDP:445.

  • Pemindaian real-time: Ya
Open DNS port

Nama kategori di API: OPEN_DNS_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port DNS terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:53 dan UDP:53.

  • Pemindaian real-time: Ya
Open elasticsearch port

Nama kategori di API: OPEN_ELASTICSEARCH_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port ELASTICSEARCH terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:9200, 9300.

  • Pemindaian real-time: Ya
Open firewall

Nama kategori di API: OPEN_FIREWALL

Deskripsi temuan: Firewall dikonfigurasi agar terbuka untuk akses publik.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 1.2.1

Memeriksa properti sourceRanges dan allowed untuk salah satu dari dua konfigurasi:

  • Properti sourceRanges berisi 0.0.0.0/0 dan properti allowed berisi kombinasi aturan yang menyertakan protocol atau protocol:port, kecuali hal berikut:
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • Properti sourceRanges berisi kombinasi rentang IP yang mencakup alamat IP non-pribadi dan properti allowed berisi kombinasi aturan yang mengizinkan semua port TCP atau semua port UDP.
Open FTP port

Nama kategori di API: OPEN_FTP_PORT

Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port FTP terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:21.

  • Pemindaian real-time: Ya
Open HTTP port

Nama kategori di API: OPEN_HTTP_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port HTTP terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:80.

  • Pemindaian real-time: Ya
Open LDAP port

Nama kategori di API: OPEN_LDAP_PORT

Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port LDAP terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:389, 636 dan UDP:389.

  • Pemindaian real-time: Ya
Open Memcached port

Nama kategori di API: OPEN_MEMCACHED_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port MEMCACHED terbuka yang memungkinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:11211, 11214-11215 dan UDP:11211, 11214-11215.

  • Pemindaian real-time: Ya
Open MongoDB port

Nama kategori di API: OPEN_MONGODB_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port MONGODB terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:27017-27019.

  • Pemindaian real-time: Ya
Open MySQL port

Nama kategori di API: OPEN_MYSQL_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port MYSQL terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:3306.

  • Pemindaian real-time: Ya
Open NetBIOS port

Nama kategori di API: OPEN_NETBIOS_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port NETBIOS terbuka yang memungkinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:137-139 dan UDP:137-139.

  • Pemindaian real-time: Ya
Open OracleDB port

Nama kategori di API: OPEN_ORACLEDB_PORT

Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port ORACLEDB terbuka yang memungkinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:1521, 2483-2484 dan UDP:2483-2484.

  • Pemindaian real-time: Ya
Open pop3 port

Nama kategori di API: OPEN_POP3_PORT

Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port POP3 terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:110.

  • Pemindaian real-time: Ya
Open PostgreSQL port

Nama kategori di API: OPEN_POSTGRESQL_PORT

Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port PostgreSQL terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:5432 dan UDP:5432.

  • Pemindaian real-time: Ya
Open RDP port

Nama kategori di API: OPEN_RDP_PORT

Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port RDP terbuka yang mengizinkan akses umum.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:3389 dan UDP:3389.

  • Pemindaian real-time: Ya
Open Redis port

Nama kategori di API: OPEN_REDIS_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port REDIS terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa apakah properti allowed dalam metadata firewall berisi protokol dan port berikut: TCP:6379.

  • Pemindaian real-time: Ya
Open SMTP port

Nama kategori di API: OPEN_SMTP_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port SMTP terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa apakah properti allowed dalam metadata firewall berisi protokol dan port berikut: TCP:25.

  • Pemindaian real-time: Ya
Open SSH port

Nama kategori di API: OPEN_SSH_PORT

Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port SSH terbuka yang mengizinkan akses umum.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Memeriksa apakah properti allowed dalam metadata firewall berisi protokol dan port berikut: TCP:22 dan SCTP:22.

  • Pemindaian real-time: Ya
Open Telnet port

Nama kategori di API: OPEN_TELNET_PORT

Deskripsi temuan: Firewall dikonfigurasi agar memiliki port TELNET terbuka yang mengizinkan akses umum.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa apakah properti allowed dalam metadata firewall berisi protokol dan port berikut: TCP:23.

  • Pemindaian real-time: Ya

Temuan kerentanan IAM

Semua kerentanan jenis detektor ini terkait dengan konfigurasi Identity and Access Management (IAM), dan termasuk dalam jenis detektor IAM_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
Access Transparency disabled

Nama kategori di API: ACCESS_TRANSPARENCY_DISABLED

Deskripsi temuan: Transparansi Akses Google Cloud dinonaktifkan untuk organisasi Anda. Transparansi Akses mencatat saat karyawan Google Cloud mengakses project di organisasi Anda untuk memberikan dukungan. Aktifkan Transparansi Akses untuk mencatat siapa dari Google Cloud yang mengakses informasi Anda, kapan, dan alasannya.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14

Memeriksa apakah organisasi Anda telah mengaktifkan Transparansi Akses.

  • Pemindaian real-time: Tidak
Admin service account

Nama kategori di API: ADMIN_SERVICE_ACCOUNT

Deskripsi temuan: Akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. Peran ini tidak boleh ditetapkan ke akun layanan yang dibuat pengguna.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

Memeriksa kebijakan izin IAM dalam metadata resource untuk akun layanan apa pun yang dibuat pengguna (ditunjukkan dengan awalan iam.gserviceaccount.com), yang ditetapkan roles/Owner atau roles/Editor, atau ID peran yang berisi admin.

  • Aset yang dikecualikan dari pemindaian: Akun layanan Container Registry (containerregistry.iam.gserviceaccount.com) dan akun layanan Security Command Center (security-center-api.iam.gserviceaccount.com)
  • Pemindaian real-time: Ya, kecuali jika update IAM dilakukan pada folder
Essential Contacts Not Configured

Nama kategori di API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

Deskripsi temuan: Organisasi Anda belum menetapkan orang atau grup untuk menerima notifikasi dari Google Cloud tentang peristiwa penting seperti serangan, kerentanan, dan insiden data dalam organisasi Google Cloud Anda. Sebaiknya Anda menetapkan satu atau beberapa orang atau grup di organisasi bisnis Anda sebagai Kontak Penting.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

Memeriksa apakah kontak ditentukan untuk kategori kontak penting berikut:

  • Hukum
  • Keamanan
  • Penangguhan
  • Teknis

  • Pemindaian real-time: Tidak
KMS role separation

Nama kategori di API: KMS_ROLE_SEPARATION

Deskripsi temuan: Pemisahan tugas tidak diterapkan, dan ada pengguna yang memiliki salah satu peran Cloud Key Management Service (Cloud KMS) berikut secara bersamaan: CryptoKey Encrypter/Decrypter, Encrypter, atau Decrypter.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Memeriksa kebijakan izin IAM dalam metadata resource dan mengambil akun utama yang ditetapkan salah satu peran berikut secara bersamaan: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, dan roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Pemindaian real-time: Ya
Non org IAM member

Nama kategori di API: NON_ORG_IAM_MEMBER

Deskripsi temuan: Ada pengguna yang tidak menggunakan kredensial organisasi. Berdasarkan CIS GCP Foundations 1.0, saat ini, hanya identitas dengan alamat email @gmail.com yang memicu detektor ini.

Tingkat harga: Premium atau Standar

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Membandingkan alamat email @gmail.com di kolom user dalam metadata kebijakan izin IAM dengan daftar identitas yang disetujui untuk organisasi Anda.

  • Pemindaian real-time: Ya
Open group IAM member

Nama kategori di API: OPEN_GROUP_IAM_MEMBER

Deskripsi temuan: Akun Google Grup yang dapat diikuti tanpa persetujuan digunakan sebagai akun utama kebijakan izin IAM.

Tingkat harga: Premium atau Standar

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa kebijakan IAM dalam metadata resource untuk binding apa pun yang berisi anggota (akun utama) yang diawali dengan group. Jika grup adalah grup terbuka, Security Health Analytics akan menghasilkan temuan ini.
  • Input tambahan: Membaca metadata Google Grup untuk memeriksa apakah grup yang diidentifikasi adalah grup terbuka.
  • Pemindaian real-time: Tidak
Over privileged service account user

Nama kategori di API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Deskripsi temuan: Pengguna memiliki peran Service Account User atau Service Account Token Creator di level project, bukan untuk akun layanan tertentu.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama yang ditetapkan roles/iam.serviceAccountUser atau roles/iam.serviceAccountTokenCreator di level project.
  • Aset yang dikecualikan dari pemindaian: Akun layanan Cloud Build
  • Pemindaian real-time: Ya
Primitive roles used

Nama kategori di API: PRIMITIVE_ROLES_USED

Deskripsi temuan: Pengguna memiliki salah satu peran dasar berikut:

  • Pemilik (roles/owner)
  • Editor (roles/editor)
  • Viewer (roles/viewer)

Peran ini terlalu permisif dan sebaiknya tidak digunakan.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama yang diberi peran roles/owner, roles/editor, atau roles/viewer.

  • Pemindaian real-time: Ya
Redis role used on org

Nama kategori di API: REDIS_ROLE_USED_ON_ORG

Deskripsi temuan: Peran IAM Redis ditetapkan di tingkat organisasi atau folder.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama yang ditetapkan roles/redis.admin, roles/redis.editor, roles/redis.viewer di tingkat organisasi atau folder.

  • Pemindaian real-time: Ya
Service account role separation

Nama kategori di API: SERVICE_ACCOUNT_ROLE_SEPARATION

Deskripsi temuan: Pengguna telah diberi peran Service Account Admin dan Service Account User. Hal ini melanggar prinsip "Pemisahan Tugas".

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama apa pun yang ditetapkan ke roles/iam.serviceAccountUser dan roles/iam.serviceAccountAdmin.
  • Pemindaian real-time: Ya
Service account key not rotated

Nama kategori di API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Deskripsi temuan: Kunci akun layanan belum dirotasi selama lebih dari 90 hari.

Tingkat harga: Premium

Aset yang didukung
iam.googleapis.com/ServiceAccountKey

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7

Mengevaluasi stempel waktu pembuatan kunci yang diambil di properti validAfterTime dalam metadata kunci akun layanan.

  • Aset yang dikecualikan dari pemindaian: Kunci akun layanan yang sudah tidak berlaku dan kunci yang tidak dikelola oleh pengguna
  • Pemindaian real-time: Ya
User managed service account key

Nama kategori di API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Deskripsi temuan: Pengguna mengelola kunci akun layanan.

Tingkat harga: Premium

Aset yang didukung
iam.googleapis.com/ServiceAccountKey

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4

Memeriksa apakah properti keyType di metadata kunci akun layanan ditetapkan ke User_Managed.

  • Pemindaian real-time: Ya

Temuan kerentanan KMS

Kerentanan jenis pendeteksi ini semuanya terkait dengan konfigurasi Cloud KMS, dan termasuk dalam jenis pendeteksi KMS_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
KMS key not rotated

Nama kategori di API: KMS_KEY_NOT_ROTATED

Deskripsi temuan: Rotasi tidak dikonfigurasi pada kunci enkripsi Cloud KMS. Kunci harus dirotasi dalam jangka waktu 90 hari.

Tingkat harga: Premium

Aset yang didukung
cloudkms.googleapis.com/CryptoKey

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.8
  • CIS GCP Foundation 1.1: 1.10
  • CIS GCP Foundation 1.2: 1.10
  • CIS GCP Foundation 1.3: 1.10
  • CIS GCP Foundation 2.0: 1.10
  • NIST 800-53 R4: SC-12
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2013: A.10.1.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa metadata resource untuk mengetahui keberadaan properti rotationPeriod atau nextRotationTime.

  • Aset yang dikecualikan dari pemindaian: Kunci asimetris dan kunci dengan versi utama yang dinonaktifkan atau dihancurkan
  • Pemindaian real-time: Ya
KMS project has owner

Nama kategori di API: KMS_PROJECT_HAS_OWNER

Deskripsi temuan: Pengguna memiliki izin Pemilik di project yang memiliki kunci kriptografis.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 1.2: 1.11
  • CIS GCP Foundation 1.3: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-6, SC-12
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa kebijakan izin IAM dalam metadata project untuk akun utama yang diberi roles/Owner.

  • Input tambahan: Membaca kunci kripto untuk project dari penyimpanan, mengajukan temuan hanya untuk project dengan kunci kripto
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan pada kebijakan izin IAM, bukan pada perubahan pada kunci KMS
KMS public key

Nama kategori di API: KMS_PUBLIC_KEY

Deskripsi temuan: Kunci kriptografis Cloud KMS dapat diakses secara publik.

Tingkat harga: Premium

Aset yang didukung
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 1.9
  • CIS GCP Foundation 1.2: 1.9
  • CIS GCP Foundation 1.3: 1.9
  • CIS GCP Foundation 2.0: 1.9
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama allUsers atau allAuthenticatedUsers, yang memberikan akses publik.

  • Pemindaian real-time: Ya
Too many KMS users

Nama kategori di API: TOO_MANY_KMS_USERS

Deskripsi temuan: Ada lebih dari tiga pengguna kunci kriptografis.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudkms.googleapis.com/CryptoKey

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 3.5.2
  • ISO-27001 v2013: A.9.2.3
Memeriksa kebijakan izin IAM untuk ring kunci, project, dan organisasi, serta mengambil akun utama dengan peran yang memungkinkan mereka mengenkripsi, mendekripsi, atau menandatangani data menggunakan kunci Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, dan roles/cloudkms.signerVerifier.
  • Input tambahan: Membaca versi kunci kripto untuk kunci kripto dari penyimpanan, yang hanya menyimpan temuan untuk kunci dengan versi aktif. Detektor juga membaca kebijakan izin IAM key ring, project, dan organisasi dari penyimpanan
  • Pemindaian real-time: Ya

Mencatat temuan kerentanan ke dalam log

Semua kerentanan jenis pendeteksi ini terkait dengan konfigurasi logging, dan termasuk dalam jenis pendeteksi LOGGING_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
Audit logging disabled

Nama kategori di API: AUDIT_LOGGING_DISABLED

Deskripsi temuan: Pencatatan aktivitas audit telah dinonaktifkan untuk resource ini.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.1
  • CIS GCP Foundation 1.1: 2.1
  • CIS GCP Foundation 1.2: 2.1
  • CIS GCP Foundation 1.3: 2.1
  • CIS GCP Foundation 2.0: 2.1
  • NIST 800-53 R4: AC-2, AU-2
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v3.2.1: 10.1, 10.2
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2013: A.12.4.1, A.16.1.7
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2

Memeriksa kebijakan izin IAM dalam metadata resource untuk mengetahui keberadaan objek auditLogConfigs.

  • Pemindaian real-time: Ya
Bucket logging disabled

Nama kategori di API: BUCKET_LOGGING_DISABLED

Deskripsi temuan: Ada bucket penyimpanan tanpa logging yang diaktifkan.

Tingkat harga: Premium

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 5.3

Memeriksa apakah kolom logBucket di properti logging bucket kosong.

  • Pemindaian real-time: Ya
Locked retention policy not set

Nama kategori di API: LOCKED_RETENTION_POLICY_NOT_SET

Deskripsi temuan: Kebijakan retensi terkunci tidak ditetapkan untuk log.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 2.3
  • CIS GCP Foundation 1.2: 2.3
  • CIS GCP Foundation 1.3: 2.3
  • CIS GCP Foundation 2.0: 2.3
  • NIST 800-53 R4: AU-11
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 10.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.12.4.2, A.18.1.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa apakah kolom isLocked di properti retentionPolicy bucket disetel ke true.

  • Input tambahan: Membaca sink log (filter log dan tujuan log) untuk bucket guna menentukan apakah bucket tersebut merupakan bucket log
  • Pemindaian real-time: Ya
Log not exported

Nama kategori di API: LOG_NOT_EXPORTED

Deskripsi temuan: Ada resource yang tidak memiliki sink log yang sesuai yang dikonfigurasi.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.2
  • CIS GCP Foundation 1.1: 2.2
  • CIS GCP Foundation 1.2: 2.2
  • CIS GCP Foundation 1.3: 2.2
  • CIS GCP Foundation 2.0: 2.2
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2013: A.18.1.3
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.3

Mengambil objek logSink dalam project, memeriksa apakah kolom includeChildren ditetapkan ke true, kolom destination menyertakan lokasi untuk menulis log, dan kolom filter diisi.

  • Input tambahan: Membaca sink log (filter log dan tujuan log) untuk bucket guna menentukan apakah bucket tersebut merupakan bucket log
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan jika ekspor log disiapkan di folder atau organisasi
Object versioning disabled

Nama kategori di API: OBJECT_VERSIONING_DISABLED

Deskripsi temuan: Pembuatan versi objek tidak diaktifkan di bucket penyimpanan tempat sink dikonfigurasi.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.3
  • NIST 800-53 R4: AU-11
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3

Memeriksa apakah kolom enabled di properti versioning bucket disetel ke true.

  • Aset yang dikecualikan dari pemindaian: Bucket Cloud Storage dengan kebijakan retensi terkunci
  • Input tambahan: Membaca sink log (filter log dan tujuan log) untuk bucket guna menentukan apakah bucket tersebut merupakan bucket log
  • Pemindaian real-time: Ya, tetapi hanya jika pembuatan versi objek berubah, bukan jika bucket log dibuat

Memantau temuan kerentanan

Kerentanan jenis detektor ini semuanya terkait dengan konfigurasi pemantauan, dan termasuk dalam jenis MONITORING_SCANNER. Semua properti penemuan pendeteksi Pemantauan mencakup:

  • RecommendedLogFilter yang akan digunakan dalam membuat metrik log.
  • QualifiedLogMetricNames yang mencakup kondisi yang tercantum dalam filter log yang direkomendasikan.
  • AlertPolicyFailureReasonsyang menunjukkan apakah project tidak memiliki kebijakan pemberitahuan yang dibuat untuk metrik log yang memenuhi syarat atau kebijakan pemberitahuan yang ada tidak memiliki setelan yang direkomendasikan.
Pendeteksi Ringkasan Setelan pemindaian aset
Audit config not monitored

Nama kategori di API: AUDIT_CONFIG_NOT_MONITORED

Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan Konfigurasi Audit.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.5
  • CIS GCP Foundation 1.1: 2.5
  • CIS GCP Foundation 1.2: 2.5
  • CIS GCP Foundation 1.3: 2.5
  • CIS GCP Foundation 2.0: 2.5
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*, dan jika resource.type ditentukan, nilainya adalah global. Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Google Cloud Observability dari Google Cloud Observability, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Tidak
Bucket IAM not monitored

Nama kategori di API: BUCKET_IAM_NOT_MONITORED

Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan izin IAM Cloud Storage.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.10
  • CIS GCP Foundation 1.1: 2.10
  • CIS GCP Foundation 1.2: 2.10
  • CIS GCP Foundation 1.3: 2.10
  • CIS GCP Foundation 2.0: 2.10
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions". Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Google Cloud Observability dari Google Cloud Observability, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Tidak
Custom role not monitored

Nama kategori di API: CUSTOM_ROLE_NOT_MONITORED

Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan Peran Khusus.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.6
  • CIS GCP Foundation 1.1: 2.6
  • CIS GCP Foundation 1.2: 2.6
  • CIS GCP Foundation 1.3: 2.6
  • CIS GCP Foundation 2.0: 2.6
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole"). Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Google Cloud Observability dari Google Cloud Observability, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Tidak
Firewall not monitored

Nama kategori di API: FIREWALL_NOT_MONITORED

Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan aturan Firewall Jaringan Virtual Private Cloud (VPC).

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.7
  • CIS GCP Foundation 1.1: 2.7
  • CIS GCP Foundation 1.2: 2.7
  • CIS GCP Foundation 1.3: 2.7
  • CIS GCP Foundation 2.0: 2.7
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete"). Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Google Cloud Observability dari Google Cloud Observability, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Tidak
Network not monitored

Nama kategori di API: NETWORK_NOT_MONITORED

Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan jaringan VPC.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.9
  • CIS GCP Foundation 1.1: 2.9
  • CIS GCP Foundation 1.2: 2.9
  • CIS GCP Foundation 1.3: 2.9
  • CIS GCP Foundation 2.0: 2.9
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering"). Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Google Cloud Observability dari Google Cloud Observability, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Tidak
Owner not monitored

Nama kategori di API: OWNER_NOT_MONITORED

Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau penetapan atau perubahan Kepemilikan Project.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.4
  • CIS GCP Foundation 1.1: 2.4
  • CIS GCP Foundation 1.2: 2.4
  • CIS GCP Foundation 1.3: 2.4
  • CIS GCP Foundation 2.0: 2.4
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner"), dan jika resource.type ditentukan, nilainya adalah global. Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Google Cloud Observability dari Google Cloud Observability, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Tidak
Route not monitored

Nama kategori di API: ROUTE_NOT_MONITORED

Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert"). Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Google Cloud Observability dari Google Cloud Observability, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Tidak
SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan konfigurasi instance Cloud SQL.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete", dan jika resource.type ditentukan, nilainya adalah global. Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Google Cloud Observability dari Google Cloud Observability, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Tidak

Temuan autentikasi multi-faktor

Detektor MFA_SCANNER mengidentifikasi kerentanan yang terkait dengan autentikasi multi-faktor untuk pengguna.

Pendeteksi Ringkasan Setelan pemindaian aset
MFA not enforced

Nama kategori di API: MFA_NOT_ENFORCED

Ada pengguna yang tidak menggunakan Verifikasi 2 Langkah.

Google Workspace memungkinkan Anda menentukan masa tenggang pendaftaran untuk pengguna baru selama periode tersebut mereka harus mendaftar ke Verifikasi 2 Langkah. Detektor ini membuat temuan untuk pengguna selama masa tenggang pendaftaran.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Tingkat harga: Premium atau Standar

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.2
  • CIS GCP Foundation 1.1: 1.2
  • CIS GCP Foundation 1.2: 1.2
  • CIS GCP Foundation 1.3: 1.2
  • CIS GCP Foundation 2.0: 1.2
  • NIST 800-53 R4: IA-2
  • PCI-DSS v3.2.1: 8.3
  • ISO-27001 v2013: A.9.4.2
  • ISO-27001 v2022: A.8.5

Mengevaluasi kebijakan pengelolaan identitas di organisasi dan setelan pengguna untuk akun terkelola di Cloud Identity.

  • Aset yang dikecualikan dari pemindaian: Unit organisasi diberi pengecualian terhadap kebijakan
  • Input tambahan: Membaca data dari Google Workspace
  • Pemindaian real-time: Tidak

Temuan kerentanan jaringan

Kerentanan jenis detektor ini semuanya terkait dengan konfigurasi jaringan organisasi, dan termasuk dalam jenis NETWORK_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
Default network

Nama kategori di API: DEFAULT_NETWORK

Deskripsi temuan: Jaringan default ada dalam project.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Network

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.1
  • CIS GCP Foundation 1.1: 3.1
  • CIS GCP Foundation 1.2: 3.1
  • CIS GCP Foundation 1.3: 3.1
  • CIS GCP Foundation 2.0: 3.1
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Memeriksa apakah properti name dalam metadata jaringan disetel ke default

  • Aset yang dikecualikan dari pemindaian: Project tempat Compute Engine API dinonaktifkan dan resource Compute Engine dalam status dibekukan
  • Pemindaian real-time: Ya
DNS logging disabled

Nama kategori di API: DNS_LOGGING_DISABLED

Deskripsi temuan: Logging DNS di jaringan VPC tidak diaktifkan.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Network
dns.googleapis.com/Policy

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 2.12
  • CIS GCP Foundation 1.3: 2.12
  • CIS GCP Foundation 2.0: 2.12
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2, 8.6

Memeriksa semua policies yang dikaitkan dengan jaringan VPC melalui kolom networks[].networkUrl, dan mencari setidaknya satu kebijakan yang menetapkan enableLogging ke true.

  • Aset yang dikecualikan dari pemindaian: Project tempat Compute Engine API dinonaktifkan dan resource Compute Engine dalam status dibekukan
  • Pemindaian real-time: Ya
Legacy network

Nama kategori di API: LEGACY_NETWORK

Deskripsi temuan: Jaringan lama ada dalam project.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Network

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.2
  • CIS GCP Foundation 1.1: 3.2
  • CIS GCP Foundation 1.2: 3.2
  • CIS GCP Foundation 1.3: 3.2
  • CIS GCP Foundation 2.0: 3.2
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Memeriksa metadata jaringan untuk mengetahui keberadaan properti IPv4Range.

  • Aset yang dikecualikan dari pemindaian: Project tempat Compute Engine API dinonaktifkan dan resource Compute Engine dalam status dibekukan
  • Pemindaian real-time: Ya
Load balancer logging disabled

Nama kategori di API: LOAD_BALANCER_LOGGING_DISABLED

Deskripsi temuan: Logging dinonaktifkan untuk load balancer.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/BackendServices

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 2.0: 2.16
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2

Memeriksa apakah properti enableLogging layanan backend di load balancer disetel ke true.

  • Pemindaian real-time: Ya

Temuan kerentanan Kebijakan Organisasi

Kerentanan jenis pendeteksi ini semuanya terkait dengan konfigurasi batasan Kebijakan Organisasi, dan termasuk dalam jenis ORG_POLICY.

Pendeteksi Ringkasan Setelan pemindaian aset
Org policy Confidential VM policy

Nama kategori di API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Deskripsi temuan: Resource Compute Engine tidak mematuhi kebijakan organisasi constraints/compute.restrictNonConfidentialComputing. Untuk informasi selengkapnya tentang batasan kebijakan organisasi ini, lihat Menerapkan batasan kebijakan organisasi di Confidential VM.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa apakah properti enableConfidentialCompute instance Compute Engine disetel ke true.

  • Aset yang dikecualikan dari pemindaian: Instance GKE
  • Izin IAM tambahan: permissions/orgpolicy.policy.get
  • Input tambahan: Membaca kebijakan organisasi yang efektif dari layanan kebijakan organisasi
  • Pemindaian real-time: Tidak
Org policy location restriction

Nama kategori di API: ORG_POLICY_LOCATION_RESTRICTION

Deskripsi temuan: Resource Compute Engine tidak mematuhi batasan constraints/gcp.resourceLocations. Untuk informasi selengkapnya tentang batasan kebijakan organisasi ini, lihat Menerapkan batasan kebijakan organisasi.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
Di baris berikut, lihat Aset yang didukung untuk ORG_POLICY_LOCATION_RESTRICTION

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa properti listPolicy dalam metadata resource yang didukung untuk daftar lokasi yang diizinkan atau ditolak.

  • Izin IAM tambahan: permissions/orgpolicy.policy.get
  • Input tambahan: Membaca kebijakan organisasi yang efektif dari layanan kebijakan organisasi
  • Pemindaian real-time: Tidak

Aset yang didukung untuk ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Logging
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 Karena aset Cloud KMS tidak dapat dihapus, aset tersebut tidak dianggap berada di luar wilayah jika data aset telah dihancurkan.

2 Karena tugas impor Cloud KMS memiliki siklus proses yang terkontrol dan tidak dapat dihentikan lebih awal, ImportJob tidak dianggap berada di luar region jika tugas tersebut sudah tidak berlaku dan tidak dapat lagi digunakan untuk mengimpor kunci.

3 Karena siklus proses tugas Dataflow tidak dapat dikelola, Tugas tidak dianggap berada di luar region setelah mencapai status terminal (dihentikan atau habis), yang tidak dapat lagi digunakan untuk memproses data.

Temuan kerentanan Pub/Sub

Semua kerentanan jenis pendeteksi ini terkait dengan konfigurasi Pub/Sub, dan termasuk dalam jenis PUBSUB_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
Pubsub CMEK disabled

Nama kategori di API: PUBSUB_CMEK_DISABLED

Deskripsi temuan: Topik Pub/Sub tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
pubsub.googleapis.com/Topic

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa kolom kmsKeyName untuk nama resource CMEK Anda.

  • Pemindaian real-time: Ya

Temuan kerentanan SQL

Kerentanan jenis detektor ini semuanya terkait dengan konfigurasi Cloud SQL, dan termasuk dalam jenis SQL_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
AlloyDB auto backup disabled

Nama kategori di API: ALLOYDB_AUTO_BACKUP_DISABLED

Deskripsi temuan: Cluster AlloyDB untuk PostgreSQL tidak mengaktifkan pencadangan otomatis.

Tingkat harga: Premium

Aset yang didukung
alloydb.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Memeriksa apakah properti automated_backup_policy.enabled dalam metadata cluster AlloyDB untuk PostgreSQL ditetapkan ke true.

  • Aset yang dikecualikan dari pemindaian: Cluster sekunder AlloyDB untuk PostgreSQL
  • Pemindaian real-time: Ya
AlloyDB backups disabled

Nama kategori di API: ALLOYDB_BACKUPS_DISABLED

Deskripsi temuan: Pencadangan tidak diaktifkan di cluster AlloyDB untuk PostgreSQL.

Tingkat harga: Premium

Aset yang didukung
alloydb.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Memeriksa apakah properti automated_backup_policy.enabled atau continuous_backup_policy.enabled dalam metadata cluster AlloyDB untuk PostgreSQL ditetapkan ke true.

  • Aset yang dikecualikan dari pemindaian: Cluster sekunder AlloyDB untuk PostgreSQL
  • Pemindaian real-time: Ya
AlloyDB CMEK disabled

Nama kategori di API: ALLOYDB_CMEK_DISABLED

Deskripsi temuan: Cluster AlloyDB tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Tingkat harga: Premium

Aset yang didukung
alloydb.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa kolom encryption_type di metadata cluster untuk menentukan apakah CMEK diaktifkan.

  • Pemindaian real-time: Ya
AlloyDB log min error statement severity

Nama kategori di API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Deskripsi temuan: Flag database log_min_error_statement untuk instance AlloyDB untuk PostgreSQL tidak disetel ke error atau nilai rekomendasi lainnya.

Tingkat harga: Premium

Aset yang didukung
alloydb.googleapis.com/Instances

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Untuk memastikan cakupan jenis pesan yang memadai dalam log, terbitkan temuan jika kolom log_min_error_statement dari properti databaseFlags tidak ditetapkan ke salah satu nilai berikut: debug5, debug4, debug3, debug2, debug1, info, notice, warning, atau nilai default error.

  • Pemindaian real-time: Ya
AlloyDB log min messages

Nama kategori di API: ALLOYDB_LOG_MIN_MESSAGES

Deskripsi temuan: Flag database log_min_messages untuk instance AlloyDB untuk PostgreSQL tidak disetel ke warning atau nilai rekomendasi lainnya.

Tingkat harga: Premium

Aset yang didukung
alloydb.googleapis.com/Instances

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Untuk memastikan cakupan jenis pesan yang memadai dalam log, terbitkan temuan jika kolom log_min_messages dari properti databaseFlags tidak ditetapkan ke salah satu nilai berikut: debug5, debug4, debug3, debug2, debug1, info, notice, atau nilai default warning.

  • Pemindaian real-time: Ya
AlloyDB log error verbosity

Nama kategori di API: ALLOYDB_LOG_ERROR_VERBOSITY

Deskripsi temuan: Flag database log_error_verbosity untuk instance AlloyDB untuk PostgreSQL tidak disetel ke default atau nilai rekomendasi lainnya.

Tingkat harga: Premium

Aset yang didukung
alloydb.googleapis.com/Instances

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Untuk memastikan cakupan jenis pesan yang memadai dalam log, terbitkan temuan jika kolom log_error_verbosity dari properti databaseFlags tidak disetel ke salah satu nilai berikut: verbose atau nilai default default.

  • Pemindaian real-time: Ya
AlloyDB public IP

Nama kategori di API: ALLOYDB_PUBLIC_IP

Deskripsi temuan: Instance database AlloyDB untuk PostgreSQL memiliki alamat IP publik.

Tingkat harga: Premium

Aset yang didukung
alloydb.googleapis.com/Instances

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Memeriksa apakah kolom enablePublicIp properti instanceNetworkConfig dikonfigurasi untuk mengizinkan alamat IP publik.

  • Pemindaian real-time: Ya
AlloyDB SSL not enforced

Nama kategori di API: ALLOYDB_SSL_NOT_ENFORCED

Deskripsi temuan: Instance database AlloyDB untuk PostgreSQL tidak mewajibkan semua koneksi masuk untuk menggunakan SSL.

Tingkat harga: Premium

Aset yang didukung
alloydb.googleapis.com/Instances

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Memeriksa apakah properti sslMode instance AlloyDB untuk PostgreSQL ditetapkan ke ENCRYPTED_ONLY.

  • Pemindaian real-time: Ya
Auto backup disabled

Nama kategori di API: AUTO_BACKUP_DISABLED

Deskripsi temuan: Pencadangan otomatis database Cloud SQL tidak diaktifkan.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.7
  • CIS GCP Foundation 1.2: 6.7
  • CIS GCP Foundation 1.3: 6.7
  • CIS GCP Foundation 2.0: 6.7
  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)
  • CIS Controls 8.0: 11.2

Memeriksa apakah properti backupConfiguration.enabled data Cloud SQL disetel ke true.

  • Aset yang dikecualikan dari pemindaian: Replika Cloud SQL
  • Input tambahan: Membaca kebijakan izin IAM untuk ancestor dari penyimpanan aset Security Health Analytics
  • Pemindaian real-time: Ya
Public SQL instance

Nama kategori di API: PUBLIC_SQL_INSTANCE

Deskripsi temuan: Instance database Cloud SQL menerima koneksi dari semua alamat IP.

Tingkat harga: Premium atau Standar

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 6.2
  • CIS GCP Foundation 1.1: 6.5
  • CIS GCP Foundation 1.2: 6.5
  • CIS GCP Foundation 1.3: 6.5
  • CIS GCP Foundation 2.0: 6.5
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa apakah properti authorizedNetworks instance Cloud SQL ditetapkan ke satu alamat IP atau rentang alamat IP.

  • Pemindaian real-time: Ya
SSL not enforced

Nama kategori di API: SSL_NOT_ENFORCED

Deskripsi temuan: Instance database Cloud SQL tidak mewajibkan semua koneksi masuk untuk menggunakan SSL.

Tingkat harga: Premium atau Standar

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Memeriksa apakah properti sslMode dari instance Cloud SQL ditetapkan ke mode SSL yang disetujui, baik ENCRYPTED_ONLY maupun TRUSTED_CLIENT_CERTIFICATE_REQUIRED.

  • Pemindaian real-time: Ya
SQL CMEK disabled

Nama kategori di API: SQL_CMEK_DISABLED

Deskripsi temuan: Instance database SQL tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa kolom kmsKeyName di objek diskEncryptionKey, dalam metadata instance, untuk nama resource CMEK Anda.

  • Pemindaian real-time: Ya
SQL contained database authentication

Nama kategori di API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Deskripsi temuan: Flag database contained database authentication untuk instance Cloud SQL untuk SQL Server tidak disetel ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.3.2
  • CIS GCP Foundation 1.2: 6.3.7
  • CIS GCP Foundation 1.3: 6.3.7
  • CIS GCP Foundation 2.0: 6.3.7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci, "name": "contained database authentication", "value": "on" atau apakah diaktifkan secara default.

  • Pemindaian real-time: Ya
SQL cross DB ownership chaining

Nama kategori di API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Deskripsi temuan: Flag database cross_db_ownership_chaining untuk instance Cloud SQL untuk SQL Server tidak disetel ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.3.1
  • CIS GCP Foundation 1.2: 6.3.2
  • CIS GCP Foundation 1.3: 6.3.2
  • CIS GCP Foundation 2.0: 6.3.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "cross_db_ownership_chaining", "value": "on".

  • Pemindaian real-time: Ya
SQL external scripts enabled

Nama kategori di API: SQL_EXTERNAL_SCRIPTS_ENABLED

Deskripsi temuan: Flag database external scripts enabled untuk instance Cloud SQL untuk SQL Server tidak disetel ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.3.1
  • CIS GCP Foundation 1.3: 6.3.1
  • CIS GCP Foundation 2.0: 6.3.1
  • NIST 800-53 R5: CM-7, SI-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3
  • NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3
  • SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4
  • CIS Controls 8.0: 2.7

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "external scripts enabled", "value": "off".

  • Pemindaian real-time: Ya
SQL local infile

Nama kategori di API: SQL_LOCAL_INFILE

Deskripsi temuan: Flag database local_infile untuk instance Cloud SQL untuk MySQL tidak disetel ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.1.2
  • CIS GCP Foundation 1.2: 6.1.3
  • CIS GCP Foundation 1.3: 6.1.3
  • CIS GCP Foundation 2.0: 6.1.3
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 2.2.1
  • ISO-27001 v2022: A.8.8
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • CIS Controls 8.0: 16.7

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "local_infile", "value": "on".

  • Pemindaian real-time: Ya
SQL log checkpoints disabled

Nama kategori di API: SQL_LOG_CHECKPOINTS_DISABLED

Deskripsi temuan: Flag database log_checkpoints untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.1
  • CIS GCP Foundation 1.2: 6.2.1

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_checkpoints", "value": "on".

  • Pemindaian real-time: Ya
SQL log connections disabled

Nama kategori di API: SQL_LOG_CONNECTIONS_DISABLED

Deskripsi temuan: Flag database log_connections untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.2
  • CIS GCP Foundation 1.2: 6.2.3
  • CIS GCP Foundation 1.3: 6.2.2
  • CIS GCP Foundation 2.0: 6.2.2
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_connections", "value": "on".

  • Pemindaian real-time: Ya
SQL log disconnections disabled

Nama kategori di API: SQL_LOG_DISCONNECTIONS_DISABLED

Deskripsi temuan: Flag database log_disconnections untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.3
  • CIS GCP Foundation 1.2: 6.2.4
  • CIS GCP Foundation 1.3: 6.2.3
  • CIS GCP Foundation 2.0: 6.2.3
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_disconnections", "value": "on".

  • Pemindaian real-time: Ya
SQL log duration disabled

Nama kategori di API: SQL_LOG_DURATION_DISABLED

Deskripsi temuan: Flag database log_duration untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.5

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_duration", "value": "on".

  • Pemindaian real-time: Ya
SQL log error verbosity

Nama kategori di API: SQL_LOG_ERROR_VERBOSITY

Deskripsi temuan: Flag database log_error_verbosity untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke default atau verbose.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.2
  • CIS GCP Foundation 1.3: 6.2.1
  • CIS GCP Foundation 2.0: 6.2.1
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Memeriksa apakah properti databaseFlags metadata instance untuk kolom log_error_verbosity disetel ke default atau verbose.

  • Pemindaian real-time: Ya
SQL log lock waits disabled

Nama kategori di API: SQL_LOG_LOCK_WAITS_DISABLED

Deskripsi temuan: Flag database log_lock_waits untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.4
  • CIS GCP Foundation 1.2: 6.2.6

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_lock_waits", "value": "on".

  • Pemindaian real-time: Ya
SQL log min duration statement enabled

Nama kategori di API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Deskripsi temuan: Flag database log_min_duration_statement untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke "-1".

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.7
  • CIS GCP Foundation 1.2: 6.2.16
  • CIS GCP Foundation 1.3: 6.2.8
  • CIS GCP Foundation 2.0: 6.2.7
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_min_duration_statement", "value": "-1".

  • Pemindaian real-time: Ya
SQL log min error statement

Nama kategori di API: SQL_LOG_MIN_ERROR_STATEMENT

Deskripsi temuan: Flag database log_min_error_statement untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan dengan benar.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.5

Memeriksa apakah kolom log_min_error_statement dari properti databaseFlags ditetapkan ke salah satu nilai berikut: debug5, debug4, debug3, debug2, debug1, info, notice, warning, atau nilai default error.

  • Pemindaian real-time: Ya
SQL log min error statement severity

Nama kategori di API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Deskripsi temuan: Tanda database log_min_error_statement untuk instance Cloud SQL untuk PostgreSQL tidak memiliki tingkat keparahan yang sesuai.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.14
  • CIS GCP Foundation 1.3: 6.2.7
  • CIS GCP Foundation 2.0: 6.2.6
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Memeriksa apakah kolom log_min_error_statement properti databaseFlags ditetapkan ke salah satu nilai berikut: error, log, fatal, atau panic.

  • Pemindaian real-time: Ya
SQL log min messages

Nama kategori di API: SQL_LOG_MIN_MESSAGES

Deskripsi temuan: Flag database log_min_messages untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke warning atau nilai rekomendasi lainnya.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.13
  • CIS GCP Foundation 1.3: 6.2.6
  • CIS GCP Foundation 2.0: 6.2.5
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Untuk memastikan cakupan jenis pesan yang memadai dalam log, terbitkan temuan jika kolom log_min_messages dari properti databaseFlags tidak ditetapkan ke salah satu nilai berikut: debug5, debug4, debug3, debug2, debug1, info, notice, atau nilai default warning.

  • Pemindaian real-time: Ya
SQL log executor stats enabled

Nama kategori di API: SQL_LOG_EXECUTOR_STATS_ENABLED

Deskripsi temuan: Flag database log_executor_stats untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.11

Memeriksa apakah properti databaseFlags metadata instance untuk kolom log_executor_stats ditetapkan ke on.

  • Pemindaian real-time: Ya
SQL log hostname enabled

Nama kategori di API: SQL_LOG_HOSTNAME_ENABLED

Deskripsi temuan: Flag database log_hostname untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.8

Memeriksa apakah properti databaseFlags metadata instance untuk kolom log_hostname ditetapkan ke on.

  • Pemindaian real-time: Ya
SQL log parser stats enabled

Nama kategori di API: SQL_LOG_PARSER_STATS_ENABLED

Deskripsi temuan: Flag database log_parser_stats untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.9

Memeriksa apakah properti databaseFlags metadata instance untuk kolom log_parser_stats ditetapkan ke on.

  • Pemindaian real-time: Ya
SQL log planner stats enabled

Nama kategori di API: SQL_LOG_PLANNER_STATS_ENABLED

Deskripsi temuan: Flag database log_planner_stats untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.10

Memeriksa apakah properti databaseFlags metadata instance untuk kolom log_planner_stats ditetapkan ke on.

  • Pemindaian real-time: Ya
SQL log statement

Nama kategori di API: SQL_LOG_STATEMENT

Deskripsi temuan: Flag database log_statement untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke ddl (semua pernyataan definisi data).

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.7
  • CIS GCP Foundation 1.3: 6.2.4
  • CIS GCP Foundation 2.0: 6.2.4
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Memeriksa apakah properti databaseFlags metadata instance untuk kolom log_statement ditetapkan ke ddl.

  • Pemindaian real-time: Ya
SQL log statement stats enabled

Nama kategori di API: SQL_LOG_STATEMENT_STATS_ENABLED

Deskripsi temuan: Flag database log_statement_stats untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.12

Memeriksa apakah properti databaseFlags metadata instance untuk kolom log_statement_stats ditetapkan ke on.

  • Pemindaian real-time: Ya
SQL log temp files

Nama kategori di API: SQL_LOG_TEMP_FILES

Deskripsi temuan: Flag database log_temp_files untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke "0".

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.6
  • CIS GCP Foundation 1.2: 6.2.15

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_temp_files", "value": "0".

  • Pemindaian real-time: Ya
SQL no root password

Nama kategori di API: SQL_NO_ROOT_PASSWORD

Deskripsi temuan: Database Cloud SQL yang memiliki alamat IP publik tidak memiliki sandi yang dikonfigurasi untuk akun root. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 6.3
  • CIS GCP Foundation 1.1: 6.1.1
  • CIS GCP Foundation 1.2: 6.1.1
  • CIS GCP Foundation 1.3: 6.1.1
  • CIS GCP Foundation 2.0: 6.1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 2.1
  • ISO-27001 v2013: A.8.2.3, A.9.4.2
  • ISO-27001 v2022: A.8.5

Memeriksa apakah properti rootPassword akun root kosong.

  • Izin IAM tambahan: roles/cloudsql.client
  • Input tambahan: Mengkueri instance aktif
  • Pemindaian real-time: Tidak
SQL public IP

Nama kategori di API: SQL_PUBLIC_IP

Deskripsi temuan: Database Cloud SQL memiliki alamat IP publik.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.6
  • CIS GCP Foundation 1.2: 6.6
  • CIS GCP Foundation 1.3: 6.6
  • CIS GCP Foundation 2.0: 6.2.9, 6.6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Memeriksa apakah jenis alamat IP database Cloud SQL ditetapkan ke Primary, yang menunjukkan bahwa alamat tersebut bersifat publik.

  • Pemindaian real-time: Ya
SQL remote access enabled

Nama kategori di API: SQL_REMOTE_ACCESS_ENABLED

Deskripsi temuan: Flag database remote access untuk instance Cloud SQL untuk SQL Server tidak disetel ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.3.5
  • CIS GCP Foundation 1.3: 6.3.5
  • CIS GCP Foundation 2.0: 6.3.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "remote access", "value": "off".

  • Pemindaian real-time: Ya
SQL skip show database disabled

Nama kategori di API: SQL_SKIP_SHOW_DATABASE_DISABLED

Deskripsi temuan: Flag database skip_show_database untuk instance Cloud SQL untuk MySQL tidak disetel ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.1.2
  • CIS GCP Foundation 1.3: 6.1.2
  • CIS GCP Foundation 2.0: 6.1.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "skip_show_database", "value": "on".

  • Pemindaian real-time: Ya
SQL trace flag 3625

Nama kategori di API: SQL_TRACE_FLAG_3625

Deskripsi temuan: Flag database 3625 (trace flag) untuk instance Cloud SQL untuk SQL Server tidak disetel ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.3.6
  • CIS GCP Foundation 2.0: 6.3.6
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "3625 (trace flag)", "value": "on".

  • Pemindaian real-time: Ya
SQL user connections configured

Nama kategori di API: SQL_USER_CONNECTIONS_CONFIGURED

Deskripsi temuan: Flag database user connections untuk instance Cloud SQL untuk SQL Server dikonfigurasi.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.3.3
  • CIS GCP Foundation 1.3: 6.3.3
  • CIS GCP Foundation 2.0: 6.3.3
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "user connections", "value": "0".

  • Pemindaian real-time: Ya
SQL user options configured

Nama kategori di API: SQL_USER_OPTIONS_CONFIGURED

Deskripsi temuan: Flag database user options untuk instance Cloud SQL untuk SQL Server dikonfigurasi.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.3.4
  • CIS GCP Foundation 1.3: 6.3.4
  • CIS GCP Foundation 2.0: 6.3.4
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "user options", "value": "" (kosong).

  • Pemindaian real-time: Ya
SQL weak root password

Nama kategori di API: SQL_WEAK_ROOT_PASSWORD

Deskripsi temuan: Database Cloud SQL yang memiliki alamat IP publik juga memiliki sandi lemah yang dikonfigurasi untuk akun root. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Membandingkan sandi untuk akun root database Cloud SQL Anda dengan daftar sandi umum.

  • Izin IAM tambahan: roles/cloudsql.client
  • Input tambahan: Mengkueri instance aktif
  • Pemindaian real-time: Tidak

Temuan kerentanan penyimpanan

Kerentanan jenis detektor ini semuanya terkait dengan konfigurasi Bucket Cloud Storage, dan termasuk dalam jenis STORAGE_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
Bucket CMEK disabled

Nama kategori di API: BUCKET_CMEK_DISABLED

Deskripsi temuan: Bucket tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa kolom encryption dalam metadata bucket untuk nama resource CMEK Anda.

  • Pemindaian real-time: Ya
Bucket policy only disabled

Nama kategori di API: BUCKET_POLICY_ONLY_DISABLED

Deskripsi temuan: Akses level bucket yang seragam, yang sebelumnya disebut Khusus Kebijakan Bucket, tidak dikonfigurasi.

Tingkat harga: Premium

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa apakah properti uniformBucketLevelAccess di bucket ditetapkan ke "enabled":false

  • Pemindaian real-time: Ya
Public bucket ACL

Nama kategori di API: PUBLIC_BUCKET_ACL

Deskripsi temuan: Bucket Cloud Storage dapat diakses secara publik.

Tingkat harga: Premium atau Standar

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa kebijakan izin IAM bucket untuk peran publik, allUsers, atau allAuthenticatedUsers.

  • Pemindaian real-time: Ya
Public log bucket

Nama kategori di API: PUBLIC_LOG_BUCKET

Deskripsi temuan: Bucket penyimpanan yang digunakan sebagai sink log dapat diakses secara publik.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Tingkat harga: Premium atau Standar

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

Memeriksa kebijakan izin IAM bucket untuk akun utama allUsers atau allAuthenticatedUsers, yang memberikan akses publik.

  • Input tambahan: Membaca sink log (filter log dan tujuan log) untuk bucket guna menentukan apakah bucket tersebut merupakan bucket log
  • Pemindaian real-time: Ya, tetapi hanya jika kebijakan IAM di bucket berubah, bukan jika sink log diubah

Temuan kerentanan subjaringan

Semua kerentanan jenis detektor ini terkait dengan konfigurasi subjaringan organisasi, dan termasuk dalam jenisSUBNETWORK_SCANNER.

Pendeteksi Ringkasan Setelan pemindaian aset
Flow logs disabled

Nama kategori di API: FLOW_LOGS_DISABLED

Deskripsi temuan: Ada subnet VPC yang menonaktifkan log alur.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Subnetwork

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.9
  • CIS GCP Foundation 1.1: 3.8
  • CIS GCP Foundation 1.2: 3.8
  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Memeriksa apakah properti enableFlowLogs dari subnetwork Compute Engine tidak ada atau disetel ke false.

  • Aset yang dikecualikan dari pemindaian: Akses VPC Serverless, subjaringan load balancer
  • Pemindaian real-time: Ya

Deskripsi temuan: Untuk subjaringan VPC, VPC Flow Logs dinonaktifkan atau tidak dikonfigurasi sesuai dengan rekomendasi CIS Benchmark 1.3. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Subnetwork

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 3.8
  • CIS GCP Foundation 2.0: 3.8
  • NIST 800-53 R5: SI-4
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS Controls 8.0: 13.6, 8.2

Memeriksa apakah properti enableFlowLogs subnetwork VPC tidak ada atau disetel ke false. Jika Log Aliran VPC diaktifkan, periksa properti Aggregation Interval yang ditetapkan ke 5 SEC, Include metadata yang ditetapkan ke true, Sample rate ke 100%.

  • Aset yang dikecualikan dari pemindaian: Akses VPC Serverless, subjaringan load balancer
  • Pemindaian real-time: Ya
Private Google access disabled

Nama kategori di API: PRIVATE_GOOGLE_ACCESS_DISABLED

Deskripsi temuan: Ada subjaringan pribadi tanpa akses ke Google API publik.

Tingkat harga: Premium

Aset yang didukung
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.8

Memeriksa apakah properti privateIpGoogleAccess subnetwork Compute Engine ditetapkan ke false.

  • Pemindaian real-time: Ya

Temuan AWS

Pendeteksi Ringkasan Setelan pemindaian aset

AWS Cloud Shell Full Access Restricted

Nama kategori di API: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

Menemukan deskripsi:

AWS CloudShell adalah cara mudah untuk menjalankan perintah CLI terhadap layanan AWS; kebijakan IAM terkelola ('AWSCloudShellFullAccess') memberikan akses penuh ke CloudShell, yang memungkinkan kemampuan upload dan download file antara sistem lokal pengguna dan lingkungan CloudShell. Dalam lingkungan CloudShell, pengguna memiliki izin sudo, dan dapat mengakses internet. Jadi, Anda dapat menginstal software transfer file (misalnya) dan memindahkan data dari CloudShell ke server internet eksternal.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • CIS AWS Foundation 2.0.0: 1.22

Pastikan akses ke AWSCloudShellFullAccess dibatasi

  • Pemindaian real-time: Tidak

Access Keys Rotated Every 90 Days or Less

Nama kategori di API: ACCESS_KEYS_ROTATED_90_DAYS_LESS

Menemukan deskripsi:

Kunci akses terdiri dari ID kunci akses dan kunci akses rahasia, yang digunakan untuk menandatangani permintaan terprogram yang Anda buat ke AWS. Pengguna AWS memerlukan kunci akses mereka sendiri untuk melakukan panggilan terprogram ke AWS dari Antarmuka Command Line AWS (AWS CLI), Alat untuk Windows PowerShell, AWS SDK, atau panggilan HTTP langsung menggunakan API untuk setiap layanan AWS. Sebaiknya semua kunci akses dirotasi secara rutin.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4
  • CIS AWS Foundation 2.0.0: 1.14
  • CIS Controls 8.0: 5

Pastikan kunci akses dirotasi maksimal setiap 90 hari

  • Pemindaian real-time: Tidak

All Expired Ssl Tls Certificates Stored Aws Iam Removed

Nama kategori di API: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Menemukan deskripsi:

Untuk mengaktifkan koneksi HTTPS ke situs atau aplikasi di AWS, Anda memerlukan sertifikat server SSL/TLS. Anda dapat menggunakan ACM atau IAM untuk menyimpan dan men-deploy sertifikat server.
Gunakan IAM sebagai pengelola sertifikat hanya jika Anda harus mendukung koneksi HTTPS di region yang tidak didukung oleh ACM. IAM mengenkripsi kunci pribadi Anda dengan aman dan menyimpan versi terenkripsi di penyimpanan sertifikat SSL IAM. IAM mendukung deployment sertifikat server di semua region, tetapi Anda harus mendapatkan sertifikat dari penyedia eksternal untuk digunakan dengan AWS. Anda tidak dapat mengupload sertifikat ACM ke IAM. Selain itu, Anda tidak dapat mengelola sertifikat dari Konsol IAM.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AU-11, CM-12, SI-12
  • PCI-DSS v4.0: 9.4.2
  • ISO-27001 v2022: A.5.10, A.5.9, A.8.1
  • Cloud Controls Matrix 4: DSP-01
  • NIST Cybersecurity Framework 1.0: PR-IP-6
  • CIS AWS Foundation 2.0.0: 1.19
  • CIS Controls 8.0: 3.1

Pastikan semua sertifikat SSL/TLS yang masa berlakunya telah habis yang disimpan di AWS IAM dihapus

  • Pemindaian real-time: Tidak

Autoscaling Group Elb Healthcheck Required

Nama kategori di API: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Menemukan deskripsi:

Tindakan ini memeriksa apakah grup Auto Scaling yang dikaitkan dengan load balancer menggunakan health check Elastic Load Balancing.

Hal ini memastikan bahwa grup dapat menentukan kondisi instance berdasarkan pengujian tambahan yang disediakan oleh load balancer. Menggunakan health check Elastic Load Balancing dapat membantu mendukung ketersediaan aplikasi yang menggunakan grup EC2 Auto Scaling.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-2

Memeriksa apakah semua grup penskalaan otomatis yang dikaitkan dengan load balancer menggunakan health check

  • Pemindaian real-time: Tidak

Auto Minor Version Upgrade Feature Enabled Rds Instances

Nama kategori di API: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Menemukan deskripsi:

Pastikan instance database RDS mengaktifkan tanda Upgrade Versi Minor Otomatis untuk menerima upgrade mesin minor secara otomatis selama periode pemeliharaan yang ditentukan. Jadi, instance RDS dapat mendapatkan fitur baru, perbaikan bug, dan patch keamanan untuk mesin database mereka.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: RA-5, RA-7, SI-2
  • ISO-27001 v2022: A.8.8
  • Cloud Controls Matrix 4: UEM-03
  • NIST Cybersecurity Framework 1.0: ID-RA-1
  • SOC2 v2017: CC7.1.1, CC7.1.2, CC7.1.3, CC7.1.4, CC7.1.5
  • CIS AWS Foundation 2.0.0: 2.3.2
  • CIS Controls 8.0: 7.4

Pastikan fitur Upgrade Versi Minor Otomatis Diaktifkan untuk Instance RDS

  • Pemindaian real-time: Tidak

Aws Config Enabled All Regions

Nama kategori di API: AWS_CONFIG_ENABLED_ALL_REGIONS

Menemukan deskripsi:

AWS Config adalah layanan web yang melakukan pengelolaan konfigurasi resource AWS yang didukung dalam akun Anda dan mengirimkan file log kepada Anda. Informasi yang dicatat mencakup item konfigurasi (resource AWS), hubungan antara item konfigurasi (resource AWS), perubahan konfigurasi apa pun di antara resource. Sebaiknya AWS Config diaktifkan di semua region.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS AWS Foundation 2.0.0: 3.5
  • CIS Controls 8.0: 1.1

Pastikan AWS Config diaktifkan di semua region

  • Pemindaian real-time: Tidak

Aws Security Hub Enabled

Nama kategori di API: AWS_SECURITY_HUB_ENABLED

Menemukan deskripsi:

Security Hub mengumpulkan data keamanan dari seluruh akun, layanan, dan produk partner pihak ketiga yang didukung AWS, serta membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi. Saat Anda mengaktifkan Security Hub, Security Hub akan mulai menggunakan, menggabungkan, mengatur, dan memprioritaskan temuan dari layanan AWS yang telah Anda aktifkan, seperti Amazon GuardDuty, Amazon Inspector, dan Amazon Macie. Anda juga dapat mengaktifkan integrasi dengan produk keamanan partner AWS.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: CA-7
  • PCI-DSS v3.2.1: 11.5
  • CIS AWS Foundation 2.0.0: 4.16

Pastikan AWS Security Hub diaktifkan

  • Pemindaian real-time: Tidak

Cloudtrail Logs Encrypted Rest Using Kms Cmks

Nama kategori di API: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

Menemukan deskripsi:

AWS CloudTrail adalah layanan web yang mencatat panggilan AWS API untuk akun dan menyediakan log tersebut kepada pengguna dan resource sesuai dengan kebijakan IAM. AWS Key Management Service (KMS) adalah layanan terkelola yang membantu membuat dan mengontrol kunci enkripsi yang digunakan untuk mengenkripsi data akun, dan menggunakan Hardware Security Module (HSM) untuk melindungi keamanan kunci enkripsi. Log CloudTrail dapat dikonfigurasi untuk memanfaatkan enkripsi sisi server (SSE) dan kunci master (CMK) yang dibuat pelanggan KMS untuk lebih melindungi log CloudTrail. Sebaiknya konfigurasikan CloudTrail untuk menggunakan SSE-KMS.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.7
  • CIS Controls 8.0: 3.11

Pastikan log CloudTrail dienkripsi dalam penyimpanan menggunakan CMK KMS

  • Pemindaian real-time: Tidak

Cloudtrail Log File Validation Enabled

Nama kategori di API: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

Menemukan deskripsi:

Validasi file log CloudTrail membuat file ringkasan yang ditandatangani secara digital yang berisi hash dari setiap log yang ditulis CloudTrail ke S3. File ringkasan ini dapat digunakan untuk menentukan apakah file log diubah, dihapus, atau tidak berubah setelah CloudTrail mengirimkan log. Sebaiknya validasi file diaktifkan di semua CloudTrail.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AU-6, AU-7, SI-7(7)
  • PCI-DSS v3.2.1: 11.5
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS AWS Foundation 2.0.0: 3.2
  • CIS Controls 8.0: 8.11

Pastikan validasi file log CloudTrail diaktifkan

  • Pemindaian real-time: Tidak

Cloudtrail Trails Integrated Cloudwatch Logs

Nama kategori di API: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

Menemukan deskripsi:

AWS CloudTrail adalah layanan web yang mencatat panggilan AWS API yang dilakukan di akun AWS tertentu. Informasi yang dicatat mencakup identitas pemanggil API, waktu panggilan API, alamat IP sumber pemanggil API, parameter permintaan, dan elemen respons yang ditampilkan oleh layanan AWS. CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log, sehingga file log disimpan secara permanen. Selain merekam log CloudTrail dalam bucket S3 yang ditentukan untuk analisis jangka panjang, analisis real-time dapat dilakukan dengan mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Logs. Untuk pelacakan yang diaktifkan di semua region dalam akun, CloudTrail akan mengirim file log dari semua region tersebut ke grup log CloudWatch Logs. Sebaiknya log CloudTrail dikirim ke CloudWatch Logs.

Catatan: Tujuan rekomendasi ini adalah untuk memastikan aktivitas akun AWS dicatat, dipantau, dan diberi peringatan yang sesuai. CloudWatch Logs adalah cara native untuk melakukannya menggunakan layanan AWS, tetapi tidak mengecualikan penggunaan solusi alternatif.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS AWS Foundation 2.0.0: 3.4
  • CIS Controls 8.0: 8.5, 8.9

Pastikan jejak jCloudTrail diintegrasikan dengan CloudWatch Logs

  • Pemindaian real-time: Tidak

Cloudwatch Alarm Action Check

Nama kategori di API: CLOUDWATCH_ALARM_ACTION_CHECK

Menemukan deskripsi:

Tindakan ini memeriksa apakah Amazon Cloudwatch memiliki tindakan yang ditentukan saat alarm bertransisi antara status 'OK', 'ALARM', dan 'INSUFFICIENT_DATA'.

Mengonfigurasi tindakan untuk status ALARM di alarm Amazon CloudWatch sangat penting untuk memicu respons langsung saat metrik yang dipantau melanggar nilai minimum.
Hal ini memastikan penyelesaian masalah yang cepat, mengurangi periode nonaktif, dan memungkinkan perbaikan otomatis, menjaga kondisi sistem, serta mencegah pemadaman.

Alarm memiliki minimal satu tindakan.
Alarm memiliki setidaknya satu tindakan saat alarm bertransisi ke status 'INSUFFICIENT_DATA' dari status lainnya.
(Opsional) Alarm memiliki setidaknya satu tindakan saat alarm bertransisi ke status 'OK' dari status lainnya.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-20

Memeriksa apakah setidaknya satu tindakan alarm, satu tindakan INSUFFICIENT_DATA, atau satu tindakan OK diaktifkan pada alarm CloudWatch.

  • Pemindaian real-time: Tidak

Cloudwatch Log Group Encrypted

Nama kategori di API: CLOUDWATCH_LOG_GROUP_ENCRYPTED

Menemukan deskripsi:

Pemeriksaan ini memastikan log CloudWatch dikonfigurasi dengan KMS.

Data grup log selalu dienkripsi di CloudWatch Logs. Secara default, CloudWatch Logs menggunakan enkripsi sisi server untuk data log dalam penyimpanan. Sebagai alternatif, Anda dapat menggunakan AWS Key Management Service untuk enkripsi ini. Jika Anda melakukannya, enkripsi akan dilakukan menggunakan kunci AWS KMS. Enkripsi menggunakan AWS KMS diaktifkan di tingkat grup log, dengan mengaitkan kunci KMS dengan grup log, baik saat Anda membuat grup log atau setelah grup log ada.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 3.4

Memeriksa apakah semua grup log di Amazon CloudWatch Logs dienkripsi dengan KMS

  • Pemindaian real-time: Tidak

CloudTrail CloudWatch Logs Enabled

Nama kategori di API: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Menemukan deskripsi:

Kontrol ini memeriksa apakah jejak CloudTrail dikonfigurasi untuk mengirim log ke CloudWatch Logs. Kontrol akan gagal jika properti CloudWatchLogsLogGroupArn dari pelacakan kosong.

CloudTrail mencatat panggilan AWS API yang dilakukan di akun tertentu. Informasi yang dicatat mencakup hal berikut:

  • Identitas pemanggil API
  • Waktu panggilan API
  • Alamat IP sumber pemanggil API
  • Parameter permintaan
  • Elemen respons yang ditampilkan oleh layanan AWS

CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log. Anda dapat merekam log CloudTrail di bucket S3 yang ditentukan untuk analisis jangka panjang. Untuk melakukan analisis real-time, Anda dapat mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Logs.

Untuk jejak yang diaktifkan di semua Region dalam akun, CloudTrail akan mengirim file log dari semua Region tersebut ke grup log CloudWatch Logs.

Security Hub merekomendasikan agar Anda mengirim log CloudTrail ke CloudWatch Logs. Perhatikan bahwa rekomendasi ini dimaksudkan untuk memastikan bahwa aktivitas akun direkam, dipantau, dan diaktifkan alarmnya dengan tepat. Anda dapat menggunakan CloudWatch Logs untuk menyiapkannya dengan layanan AWS. Rekomendasi ini tidak mengecualikan penggunaan solusi yang berbeda.

Mengirim log CloudTrail ke CloudWatch Logs memfasilitasi logging aktivitas real-time dan historis berdasarkan pengguna, API, resource, dan alamat IP. Anda dapat menggunakan pendekatan ini untuk menetapkan alarm dan notifikasi untuk aktivitas akun yang tidak wajar atau sensitif.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-20
  • PCI-DSS v3.2.1: 10.5.3

Memeriksa apakah semua jejak CloudTrail dikonfigurasi untuk mengirim log ke AWS CloudWatch

  • Pemindaian real-time: Tidak

No AWS Credentials in CodeBuild Project Environment Variables

Nama kategori di API: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Menemukan deskripsi:

Tindakan ini memeriksa apakah project berisi variabel lingkungan AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY.

Kredensial autentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak boleh disimpan dalam teks biasa, karena hal ini dapat menyebabkan pengungkapan data yang tidak diinginkan dan akses yang tidak sah.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: IA-5, SA-3

Memeriksa apakah semua project yang berisi variabel lingkungan AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak dalam teks biasa

  • Pemindaian real-time: Tidak

Codebuild Project Source Repo Url Check

Nama kategori di API: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Menemukan deskripsi:

Tindakan ini memeriksa apakah URL repositori sumber Bitbucket project AWS CodeBuild berisi token akses pribadi atau nama pengguna dan sandi. Kontrol akan gagal jika URL repositori sumber Bitbucket berisi token akses pribadi atau nama pengguna dan sandi.

Kredensial login tidak boleh disimpan atau dikirim dalam teks biasa atau muncul di URL repositori sumber. Daripada token akses pribadi atau kredensial login, Anda harus mengakses penyedia sumber di CodeBuild, dan mengubah URL repositori sumber agar hanya berisi jalur ke lokasi repositori Bitbucket. Menggunakan token akses pribadi atau kredensial login dapat mengakibatkan eksposur data yang tidak diinginkan atau akses tidak sah.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa apakah semua project yang menggunakan github atau bitbucket sebagai sumber menggunakan oauth

  • Pemindaian real-time: Tidak

Credentials Unused 45 Days Greater Disabled

Nama kategori di API: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

Menemukan deskripsi:

Pengguna AWS IAM dapat mengakses resource AWS menggunakan berbagai jenis kredensial, seperti sandi atau kunci akses. Sebaiknya semua kredensial yang tidak digunakan selama 45 hari atau lebih dinonaktifkan atau dihapus.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-2
  • PCI-DSS v4.0: 8.3.7
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • CIS AWS Foundation 2.0.0: 1.12
  • CIS Controls 8.0: 5.3

Pastikan kredensial yang tidak digunakan selama 45 hari atau lebih dinonaktifkan

  • Pemindaian real-time: Tidak

Default Security Group Vpc Restricts All Traffic

Nama kategori di API: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

Menemukan deskripsi:

VPC dilengkapi dengan grup keamanan default yang setelan awalnya menolak semua traffic masuk, mengizinkan semua traffic keluar, dan mengizinkan semua traffic di antara instance yang ditetapkan ke grup keamanan. Jika Anda tidak menentukan grup keamanan saat meluncurkan instance, instance akan otomatis ditetapkan ke grup keamanan default ini. Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk/keluar ke resource AWS. Sebaiknya grup keamanan default membatasi semua traffic.

VPC default di setiap region harus memperbarui grup keamanan defaultnya agar mematuhi kebijakan. Setiap VPC yang baru dibuat akan otomatis berisi grup keamanan default yang akan memerlukan perbaikan untuk mematuhi rekomendasi ini.

CATATAN: Saat menerapkan rekomendasi ini, logging alur VPC sangat berharga dalam menentukan akses port dengan hak istimewa minimum yang diperlukan oleh sistem agar berfungsi dengan baik karena dapat mencatat semua penerimaan dan penolakan paket yang terjadi dalam grup keamanan saat ini. Hal ini secara drastis mengurangi hambatan utama untuk engineering hak istimewa terendah - menemukan port minimum yang diperlukan oleh sistem di lingkungan. Meskipun rekomendasi logging aliran VPC dalam benchmark ini tidak diadopsi sebagai tindakan keamanan permanen, rekomendasi tersebut harus digunakan selama periode penemuan dan rekayasa untuk grup keamanan dengan hak istimewa terendah.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 5.4
  • CIS Controls 8.0: 3.3

Pastikan grup keamanan default setiap VPC membatasi semua traffic

  • Pemindaian real-time: Tidak

Dms Replication Not Public

Nama kategori di API: DMS_REPLICATION_NOT_PUBLIC

Menemukan deskripsi:

Memeriksa apakah instance replikasi AWS DMS bersifat publik. Untuk melakukannya, metrik ini memeriksa nilai kolom PubliclyAccessible.

Instance replika pribadi memiliki alamat IP pribadi yang tidak dapat Anda akses di luar jaringan replika. Instance replikasi harus memiliki alamat IP pribadi jika database sumber dan target berada di jaringan yang sama. Jaringan juga harus terhubung ke VPC instance replika menggunakan VPN, AWS Direct Connect, atau peering VPC. Untuk mempelajari instance replikasi publik dan pribadi lebih lanjut, lihat Instance replikasi publik dan pribadi di Panduan Pengguna AWS Database Migration Service.

Anda juga harus memastikan bahwa akses ke konfigurasi instance AWS DMS hanya dibatasi untuk pengguna yang diberi otorisasi. Untuk melakukannya, batasi izin IAM pengguna untuk mengubah setelan dan resource AWS DMS.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Memeriksa apakah instance replikasi AWS Database Migration Service bersifat publik

  • Pemindaian real-time: Tidak

Do Setup Access Keys During Initial User Setup All Iam Users Console

Nama kategori di API: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Menemukan deskripsi:

Konsol AWS secara default tidak akan mencentang kotak apa pun saat membuat pengguna IAM baru. Saat membuat kredensial Pengguna IAM, Anda harus menentukan jenis akses yang diperlukan.

Akses terprogram: Pengguna IAM mungkin perlu melakukan panggilan API, menggunakan AWS CLI, atau menggunakan Alat untuk Windows PowerShell. Dalam hal ini, buat kunci akses (ID kunci akses dan kunci akses rahasia) untuk pengguna tersebut.

Akses AWS Management Console: Jika pengguna perlu mengakses AWS Management Console, buat sandi untuk pengguna tersebut.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.11
  • CIS Controls 8.0: 3.3, 5.4

Jangan konfigurasi kunci akses selama penyiapan pengguna awal untuk semua pengguna IAM yang memiliki sandi konsol

  • Pemindaian real-time: Tidak

Dynamodb Autoscaling Enabled

Nama kategori di API: DYNAMODB_AUTOSCALING_ENABLED

Menemukan deskripsi:

Pengujian ini memeriksa apakah tabel Amazon DynamoDB dapat menskalakan kapasitas baca dan tulisnya sesuai kebutuhan. Kontrol ini lulus jika tabel menggunakan mode kapasitas on-demand atau mode yang disediakan dengan penskalaan otomatis yang dikonfigurasi. Menskalakan kapasitas dengan permintaan akan menghindari pengecualian throttling, yang membantu mempertahankan ketersediaan aplikasi Anda.

Tabel DynamoDB dalam mode kapasitas on-demand hanya dibatasi oleh kuota tabel default throughput DynamoDB. Untuk menaikkan kuota ini, Anda dapat mengajukan tiket dukungan melalui Dukungan AWS.

Tabel DynamoDB dalam mode yang disediakan dengan penskalaan otomatis menyesuaikan kapasitas throughput yang disediakan secara dinamis sebagai respons terhadap pola traffic. Untuk informasi tambahan tentang throttling permintaan DynamoDB, lihat Throttling permintaan dan kapasitas burst di Panduan Developer Amazon DynamoDB.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-13(5)

Tabel DynamoDB harus otomatis menskalakan kapasitas sesuai permintaan

  • Pemindaian real-time: Tidak

Dynamodb In Backup Plan

Nama kategori di API: DYNAMODB_IN_BACKUP_PLAN

Menemukan deskripsi:

Kontrol ini mengevaluasi apakah tabel DynamoDB dicakup oleh rencana cadangan. Kontrol akan gagal jika tabel DynamoDB tidak dicakup oleh rencana cadangan. Kontrol ini hanya mengevaluasi tabel DynamoDB yang dalam status AKTIF.

Pencadangan membantu Anda memulihkan data dengan lebih cepat dari insiden keamanan. Hal ini juga memperkuat ketahanan sistem Anda. Menyertakan tabel DynamoDB dalam rencana pencadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak disengaja.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-13(5)

Tabel DynamoDB harus dicakup oleh rencana cadangan

  • Pemindaian real-time: Tidak

Dynamodb Pitr Enabled

Nama kategori di API: DYNAMODB_PITR_ENABLED

Menemukan deskripsi:

Pemulihan Point In Time (PITR) adalah salah satu mekanisme yang tersedia untuk mencadangkan tabel DynamoDB.

Pencadangan titik waktu disimpan selama 35 hari. Jika Anda memerlukan retensi yang lebih lama, lihat Menyiapkan pencadangan terjadwal untuk Amazon DynamoDB menggunakan AWS Backup di Dokumentasi AWS.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-13(5)

Memeriksa apakah pemulihan point-in-time (PITR) diaktifkan untuk semua tabel AWS DynamoDB

  • Pemindaian real-time: Tidak

Dynamodb Table Encrypted Kms

Nama kategori di API: DYNAMODB_TABLE_ENCRYPTED_KMS

Menemukan deskripsi:

Memeriksa apakah semua tabel DynamoDB dienkripsi dengan kunci KMS yang dikelola pelanggan (non-default).

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-7(6)

Memeriksa apakah semua tabel DynamoDB dienkripsi dengan AWS Key Management Service (KMS)

  • Pemindaian real-time: Tidak

Ebs Optimized Instance

Nama kategori di API: EBS_OPTIMIZED_INSTANCE

Menemukan deskripsi:

Memeriksa apakah pengoptimalan EBS diaktifkan untuk instance EC2 Anda yang dapat dioptimalkan EBS

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-5(2)

Memeriksa apakah pengoptimalan EBS diaktifkan untuk semua instance yang mendukung pengoptimalan EBS

  • Pemindaian real-time: Tidak

Ebs Snapshot Public Restorable Check

Nama kategori di API: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Menemukan deskripsi:

Memeriksa apakah snapshot Amazon Elastic Block Store tidak bersifat publik. Kontrol akan gagal jika snapshot Amazon EBS dapat dipulihkan oleh siapa saja.

Snapshot EBS digunakan untuk mencadangkan data di volume EBS Anda ke Amazon S3 pada titik waktu tertentu. Anda dapat menggunakan snapshot untuk memulihkan status volume EBS sebelumnya. Berbagi snapshot dengan publik jarang dapat diterima. Biasanya keputusan untuk membagikan snapshot secara publik dibuat karena kesalahan atau tanpa pemahaman lengkap tentang implikasinya. Pemeriksaan ini membantu memastikan bahwa semua berbagi tersebut telah direncanakan dan dilakukan dengan sengaja.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Snapshot Amazon EBS tidak dapat dipulihkan secara publik

  • Pemindaian real-time: Tidak

Ebs Volume Encryption Enabled All Regions

Nama kategori di API: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

Menemukan deskripsi:

Elastic Compute Cloud (EC2) mendukung enkripsi saat dalam penyimpanan saat menggunakan layanan Elastic Block Store (EBS). Meskipun dinonaktifkan secara default, memaksa enkripsi saat pembuatan volume EBS didukung.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.2.1
  • CIS Controls 8.0: 3.11

Pastikan Enkripsi Volume EBS Diaktifkan di semua Region

  • Pemindaian real-time: Tidak

Ec2 Instances In Vpc

Nama kategori di API: EC2_INSTANCES_IN_VPC

Menemukan deskripsi:

Amazon VPC menyediakan lebih banyak fungsi keamanan daripada EC2 Classic. Sebaiknya semua node adalah milik Amazon VPC.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-7

Memastikan bahwa semua instance milik VPC

  • Pemindaian real-time: Tidak

Ec2 Instance No Public Ip

Nama kategori di API: EC2_INSTANCE_NO_PUBLIC_IP

Menemukan deskripsi:

Instance EC2 yang memiliki alamat IP publik berisiko lebih besar untuk disusupi. Sebaiknya instance EC2 tidak dikonfigurasi dengan alamat IP publik.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Memastikan tidak ada instance yang memiliki IP publik

  • Pemindaian real-time: Tidak

Ec2 Managedinstance Association Compliance Status Check

Nama kategori di API: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

Menemukan deskripsi:

Penautan Pengelola Status adalah konfigurasi yang ditetapkan ke instance terkelola Anda. Konfigurasi menentukan status yang ingin Anda pertahankan di instance. Misalnya, pengaitan dapat menentukan bahwa software antivirus harus diinstal dan berjalan di instance Anda, atau port tertentu harus ditutup. Instance EC2 yang memiliki pengaitan dengan AWS Systems Manager berada di bawah pengelolaan Systems Manager yang mempermudah penerapan patch, memperbaiki kesalahan konfigurasi, dan merespons peristiwa keamanan.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 6.2

Memeriksa status kepatuhan pengaitan AWS Systems Manager

  • Pemindaian real-time: Tidak

Ec2 Managedinstance Patch Compliance Status Check

Nama kategori di API: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

Menemukan deskripsi:

Kontrol ini memeriksa apakah status kepatuhan pengaitan AWS Systems Manager adalah COMPLIANT atau NON_COMPLIANT setelah pengaitan dijalankan di instance. Kontrol akan gagal jika status kepatuhan pengaitan adalah NON_COMPLIANT.

Penautan Pengelola Status adalah konfigurasi yang ditetapkan ke instance terkelola Anda. Konfigurasi menentukan status yang ingin Anda pertahankan di instance. Misalnya, pengaitan dapat menentukan bahwa software antivirus harus diinstal dan berjalan di instance Anda atau port tertentu harus ditutup.

Setelah Anda membuat satu atau beberapa pengaitan Pengelola Status, informasi status kepatuhan akan langsung tersedia untuk Anda. Anda dapat melihat status kepatuhan di konsol atau sebagai respons terhadap perintah AWS CLI atau tindakan Systems Manager API yang sesuai. Untuk pengaitan, Kepatuhan Konfigurasi menampilkan status kepatuhan (Memenuhi atau Tidak Memenuhi). Laporan ini juga menunjukkan tingkat keparahan yang ditetapkan untuk pengaitan, seperti Kritis atau Sedang.

Untuk mempelajari lebih lanjut kepatuhan pengaitan State Manager, lihat Tentang kepatuhan pengaitan State Manager di Panduan Pengguna AWS Systems Manager.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-2
  • PCI-DSS v3.2.1: 6.2

Memeriksa status kepatuhan patch AWS Systems Manager

  • Pemindaian real-time: Tidak

Ec2 Metadata Service Allows Imdsv2

Nama kategori di API: EC2_METADATA_SERVICE_ALLOWS_IMDSV2

Menemukan deskripsi:

Saat mengaktifkan Layanan Metadata di instance AWS EC2, pengguna memiliki opsi untuk menggunakan Layanan Metadata Instance Versi 1 (IMDSv1; metode permintaan/respons) atau Layanan Metadata Instance Versi 2 (IMDSv2; metode berorientasi sesi).

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-6
  • CIS AWS Foundation 2.0.0: 5.6

Pastikan Layanan Metadata EC2 hanya mengizinkan IMDSv2

  • Pemindaian real-time: Tidak

Ec2 Volume Inuse Check

Nama kategori di API: EC2_VOLUME_INUSE_CHECK

Menemukan deskripsi:

Mengidentifikasi dan menghapus volume Elastic Block Store (EBS) yang tidak terpasang (tidak digunakan) di akun AWS Anda untuk menurunkan biaya tagihan AWS bulanan. Menghapus volume EBS yang tidak digunakan juga mengurangi risiko data rahasia/sensitif keluar dari tempat Anda. Selain itu, kontrol ini juga memeriksa apakah instance EC2 yang diarsipkan dikonfigurasi untuk menghapus volume saat dihentikan.

Secara default, instance EC2 dikonfigurasi untuk menghapus data dalam volume EBS apa pun yang terkait dengan instance, dan untuk menghapus volume EBS root instance. Namun, volume EBS non-root yang dilampirkan ke instance, saat peluncuran atau selama eksekusi, akan dipertahankan setelah penghentian secara default.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: CM-2

Memeriksa apakah volume EBS dipasang ke instance EC2 dan dikonfigurasi untuk dihapus saat instance dihentikan

  • Pemindaian real-time: Tidak

Efs Encrypted Check

Nama kategori di API: EFS_ENCRYPTED_CHECK

Menemukan deskripsi:

Amazon EFS mendukung dua bentuk enkripsi untuk sistem file, enkripsi data dalam pengiriman, dan enkripsi data dalam penyimpanan. Tindakan ini memeriksa apakah semua sistem file EFS dikonfigurasi dengan enkripsi dalam penyimpanan di semua region yang diaktifkan di akun.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Memeriksa apakah EFS dikonfigurasi untuk mengenkripsi data file menggunakan KMS

  • Pemindaian real-time: Tidak

Efs In Backup Plan

Nama kategori di API: EFS_IN_BACKUP_PLAN

Menemukan deskripsi:

Praktik terbaik Amazon merekomendasikan konfigurasi pencadangan untuk Elastic File System (EFS) Anda. Tindakan ini akan memeriksa semua EFS di setiap region yang diaktifkan di akun AWS Anda untuk mengetahui cadangan yang diaktifkan.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-13(5)

Memeriksa apakah sistem file EFS disertakan dalam paket AWS Backup

  • Pemindaian real-time: Tidak

Elb Acm Certificate Required

Nama kategori di API: ELB_ACM_CERTIFICATE_REQUIRED

Menemukan deskripsi:

Memeriksa apakah Load Balancer Klasik menggunakan sertifikat HTTPS/SSL yang disediakan oleh AWS Certificate Manager (ACM). Kontrol akan gagal jika Load Balancer Klasik yang dikonfigurasi dengan pemroses HTTPS/SSL tidak menggunakan sertifikat yang disediakan oleh ACM.

Untuk membuat sertifikat, Anda dapat menggunakan ACM atau alat yang mendukung protokol SSL dan TLS, seperti OpenSSL. Security Hub merekomendasikan agar Anda menggunakan ACM untuk membuat atau mengimpor sertifikat untuk load balancer.

ACM terintegrasi dengan Load Balancer Klasik sehingga Anda dapat men-deploy sertifikat di load balancer. Anda juga harus memperpanjang sertifikat ini secara otomatis.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-17, AC-4, IA-5, SC-12, SC-13, SC-23, SC-7, SC-8, SI-7, SI-7(6)

Memeriksa apakah semua Load Balancer Klasik menggunakan sertifikat SSL yang disediakan oleh AWS Certificate Manager

  • Pemindaian real-time: Tidak

Elb Deletion Protection Enabled

Nama kategori di API: ELB_DELETION_PROTECTION_ENABLED

Menemukan deskripsi:

Memeriksa apakah Load Balancer Aplikasi mengaktifkan perlindungan penghapusan. Kontrol akan gagal jika perlindungan penghapusan tidak dikonfigurasi.

Aktifkan perlindungan penghapusan untuk melindungi Load Balancer Aplikasi Anda dari penghapusan.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-5(2)

Perlindungan penghapusan Load Balancer Aplikasi harus diaktifkan

  • Pemindaian real-time: Tidak

Elb Logging Enabled

Nama kategori di API: ELB_LOGGING_ENABLED

Menemukan deskripsi:

Tindakan ini memeriksa apakah Load Balancer Aplikasi dan Load Balancer Klasik telah mengaktifkan logging. Kontrol akan gagal jika access_logs.s3.enabled bernilai salah (false).

Elastic Load Balancing menyediakan log akses yang merekam informasi mendetail tentang permintaan yang dikirim ke load balancer Anda. Setiap log berisi informasi seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. Anda dapat menggunakan log akses ini untuk menganalisis pola traffic dan memecahkan masalah.

Untuk mempelajari lebih lanjut, lihat Log akses untuk Load Balancer Klasik di Panduan Pengguna untuk Load Balancer Klasik.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Memeriksa apakah logging diaktifkan pada load balancer aplikasi dan klasik

  • Pemindaian real-time: Tidak

Elb Tls Https Listeners Only

Nama kategori di API: ELB_TLS_HTTPS_LISTENERS_ONLY

Menemukan deskripsi:

Pemeriksaan ini memastikan semua Load Balancer Klasik dikonfigurasi untuk menggunakan komunikasi yang aman.

Pemroses adalah proses yang memeriksa permintaan koneksi. Load balancer dikonfigurasi dengan protokol dan port untuk koneksi frontend (klien ke load balancer) dan protokol serta port untuk koneksi backend (load balancer ke instance). Untuk mengetahui informasi tentang port, protokol, dan konfigurasi pemroses yang didukung oleh Elastic Load Balancing, lihat Pemroses untuk Load Balancer Klasik.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-7(6)

Memeriksa apakah semua Load Balancer Klasik dikonfigurasi dengan SSL atau pemroses HTTPS

  • Pemindaian real-time: Tidak

Encrypted Volumes

Nama kategori di API: ENCRYPTED_VOLUMES

Menemukan deskripsi:

Memeriksa apakah volume EBS yang dalam status terpasang dienkripsi. Agar lulus pemeriksaan ini, volume EBS harus digunakan dan dienkripsi. Jika tidak terpasang, volume EBS tidak akan dikenai pemeriksaan ini.

Untuk lapisan keamanan tambahan data sensitif Anda dalam volume EBS, Anda harus mengaktifkan enkripsi EBS saat dalam penyimpanan. Enkripsi Amazon EBS menawarkan solusi enkripsi yang mudah untuk resource EBS Anda tanpa mengharuskan Anda membuat, mengelola, dan mengamankan infrastruktur pengelolaan kunci enkripsi Anda sendiri. Layanan ini menggunakan kunci KMS saat membuat volume dan snapshot terenkripsi.

Untuk mempelajari enkripsi Amazon EBS lebih lanjut, lihat Enkripsi Amazon EBS di Panduan Pengguna Amazon EC2 untuk Instance Linux.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Volume Amazon EBS yang terpasang harus dienkripsi dalam penyimpanan

  • Pemindaian real-time: Tidak

Encryption At Rest Enabled Rds Instances

Nama kategori di API: ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

Menemukan deskripsi:

Instance DB terenkripsi Amazon RDS menggunakan algoritma enkripsi AES-256 standar industri untuk mengenkripsi data Anda di server yang menghosting instance DB Amazon RDS. Setelah data Anda dienkripsi, Amazon RDS menangani autentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal pada performa.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.3.1
  • CIS Controls 8.0: 3.11

Pastikan enkripsi dalam penyimpanan diaktifkan untuk Instance RDS

  • Pemindaian real-time: Tidak

Encryption Enabled Efs File Systems

Nama kategori di API: ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

Menemukan deskripsi:

Data EFS harus dienkripsi dalam penyimpanan menggunakan AWS KMS (Key Management Service).

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.4.1
  • CIS Controls 8.0: 3.11

Pastikan enkripsi diaktifkan untuk sistem file EFS

  • Pemindaian real-time: Tidak

Iam Password Policy

Nama kategori di API: IAM_PASSWORD_POLICY

Menemukan deskripsi:

AWS mengizinkan kebijakan sandi kustom di akun AWS Anda untuk menentukan persyaratan kerumitan dan periode rotasi wajib untuk sandi pengguna IAM Anda. Jika Anda tidak menetapkan kebijakan sandi kustom, sandi pengguna IAM harus memenuhi kebijakan sandi AWS default. Praktik terbaik keamanan AWS merekomendasikan persyaratan kerumitan sandi berikut:

  • Memerlukan minimal satu karakter huruf besar dalam sandi.
  • Memerlukan minimal satu karakter huruf kecil dalam sandi.
  • Memerlukan minimal satu simbol dalam sandi.
  • Wajibkan setidaknya satu angka dalam sandi.
  • Mewajibkan panjang sandi minimum minimal 14 karakter.
  • Mewajibkan minimal 24 sandi sebelum mengizinkan penggunaan kembali.
  • Wajibkan setidaknya 90 hari sebelum masa berlaku sandi berakhir

Kontrol ini memeriksa semua persyaratan kebijakan sandi yang ditentukan.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: IA-5(1)
  • PCI-DSS v3.2.1: 8.2.5

Memeriksa apakah kebijakan sandi akun untuk pengguna IAM memenuhi persyaratan yang ditentukan

  • Pemindaian real-time: Tidak

Iam Password Policy Prevents Password Reuse

Nama kategori di API: IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

Menemukan deskripsi:

Kebijakan sandi IAM dapat mencegah penggunaan ulang sandi tertentu oleh pengguna yang sama. Sebaiknya kebijakan sandi mencegah penggunaan ulang sandi.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 8.3.5, 8.3.6, 8.6.3
  • ISO-27001 v2022: A.5.17
  • Cloud Controls Matrix 4: IAM-02
  • SOC2 v2017: CC6.1.3, CC6.1.8, CC6.1.9
  • CIS AWS Foundation 2.0.0: 1.9
  • CIS Controls 8.0: 5.2

Pastikan kebijakan sandi IAM mencegah penggunaan ulang sandi

  • Pemindaian real-time: Tidak

Iam Password Policy Requires Minimum Length 14 Greater

Nama kategori di API: IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

Menemukan deskripsi:

Kebijakan sandi, sebagian, digunakan untuk menerapkan persyaratan kerumitan sandi. Kebijakan sandi IAM dapat digunakan untuk memastikan sandi memiliki panjang minimal yang ditentukan. Sebaiknya kebijakan sandi mewajibkan panjang sandi minimum 14 karakter.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • CIS AWS Foundation 2.0.0: 1.8
  • CIS Controls 8.0: 5, 5.2

Pastikan kebijakan sandi IAM mengharuskan panjang minimum 14 karakter atau lebih

  • Pemindaian real-time: Tidak

Iam Policies Allow Full Administrative Privileges Attached

Nama kategori di API: IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

Menemukan deskripsi:

Kebijakan IAM adalah cara untuk memberikan hak istimewa kepada pengguna, grup, atau peran. Sebaiknya dan dianggap sebagai saran keamanan standar untuk memberikan hak istimewa terendah -yaitu, hanya memberikan izin yang diperlukan untuk melakukan tugas. Tentukan hal yang perlu dilakukan pengguna, lalu buat kebijakan untuk mereka yang mengizinkan pengguna hanya melakukan tugas tersebut, bukan mengizinkan hak istimewa administratif penuh.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.16
  • CIS Controls 8.0: 3.3

Pastikan kebijakan IAM yang mengizinkan hak istimewa administratif "*:*" penuh tidak terpasang

  • Pemindaian real-time: Tidak

Iam Users Receive Permissions Groups

Nama kategori di API: IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

Menemukan deskripsi:

Pengguna IAM diberi akses ke layanan, fungsi, dan data melalui kebijakan IAM. Ada empat cara untuk menentukan kebijakan bagi pengguna: 1) Mengedit kebijakan pengguna secara langsung, alias kebijakan inline, atau pengguna; 2) melampirkan kebijakan langsung ke pengguna; 3) menambahkan pengguna ke grup IAM yang memiliki kebijakan terlampir; 4) menambahkan pengguna ke grup IAM yang memiliki kebijakan inline.

Hanya penerapan ketiga yang direkomendasikan.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-2, AC-5, AC-6, AU-9
  • PCI-DSS v4.0: 10.3.1, 7.1.1, 7.2.1, 7.2.2, 7.2.4, 7.2.6, 7.3.1, 7.3.2
  • ISO-27001 v2022: A.5.15, A.5.3, A.8.2, A.8.3
  • Cloud Controls Matrix 4: IAM-04
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.3.1, CC6.3.2, CC6.3.3
  • HIPAA: 164.308(a)(3)(ii), 164.308(a)(4)(i), 164.308(a)(4)(ii)
  • CIS AWS Foundation 2.0.0: 1.15
  • CIS Controls 8.0: 6.8

Pastikan Pengguna IAM Hanya Menerima Izin Melalui Grup

  • Pemindaian real-time: Tidak

Iam User Group Membership Check

Nama kategori di API: IAM_USER_GROUP_MEMBERSHIP_CHECK

Menemukan deskripsi:

Pengguna IAM harus selalu menjadi bagian dari grup IAM untuk mematuhi praktik terbaik keamanan IAM.

Dengan menambahkan pengguna ke grup, Anda dapat berbagi kebijakan di antara jenis pengguna.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-6

Memeriksa apakah pengguna IAM adalah anggota dari setidaknya salah satu grup IAM

  • Pemindaian real-time: Tidak

Iam User Mfa Enabled

Nama kategori di API: IAM_USER_MFA_ENABLED

Menemukan deskripsi:

Autentikasi multi-faktor (MFA) adalah praktik terbaik yang menambahkan lapisan perlindungan ekstra di atas nama pengguna dan sandi. Dengan MFA, saat pengguna login ke AWS Management Console, mereka diwajibkan untuk memberikan kode autentikasi yang sensitif terhadap waktu, yang diberikan oleh perangkat virtual atau fisik terdaftar.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 8.3.2

Memeriksa apakah autentikasi multi-faktor (MFA) pengguna AWS IAM diaktifkan atau tidak

  • Pemindaian real-time: Tidak

Iam User Unused Credentials Check

Nama kategori di API: IAM_USER_UNUSED_CREDENTIALS_CHECK

Menemukan deskripsi:

Tindakan ini akan memeriksa sandi IAM atau kunci akses aktif yang belum digunakan dalam 90 hari terakhir.

Praktik terbaik merekomendasikan agar Anda menghapus, menonaktifkan, atau merotasi semua kredensial yang tidak digunakan selama 90 hari atau lebih. Hal ini mengurangi peluang kredensial yang terkait dengan akun yang disusupi atau ditinggalkan untuk digunakan.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-6
  • PCI-DSS v3.2.1: 8.1.4

Memeriksa apakah semua pengguna AWS IAM memiliki sandi atau kunci akses aktif yang belum digunakan dalam maxCredentialUsageAge hari (default-nya 90)

  • Pemindaian real-time: Tidak

Kms Cmk Not Scheduled For Deletion

Nama kategori di API: KMS_CMK_NOT_SCHEDULED_FOR_DELETION

Menemukan deskripsi:

Kontrol ini memeriksa apakah kunci KMS dijadwalkan untuk dihapus. Kontrol akan gagal jika kunci KMS dijadwalkan untuk dihapus.

Kunci KMS tidak dapat dipulihkan setelah dihapus. Data yang dienkripsi dengan kunci KMS juga tidak dapat dipulihkan secara permanen jika kunci KMS dihapus. Jika data yang penting telah dienkripsi dengan kunci KMS yang dijadwalkan untuk dihapus, pertimbangkan untuk mendekripsi data atau mengenkripsi ulang data dengan kunci KMS baru, kecuali jika Anda sengaja melakukan penghapusan kriptografis.

Saat kunci KMS dijadwalkan untuk dihapus, periode tunggu wajib diterapkan untuk memberi waktu guna membatalkan penghapusan, jika kunci dijadwalkan secara keliru. Periode tunggu default adalah 30 hari, tetapi dapat dikurangi menjadi 7 hari saat kunci KMS dijadwalkan untuk dihapus. Selama periode tunggu, penghapusan terjadwal dapat dibatalkan dan kunci KMS tidak akan dihapus.

Untuk informasi tambahan terkait penghapusan kunci KMS, lihat Menghapus kunci KMS di Panduan Developer AWS Key Management Service.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-12

Memeriksa apakah semua CMK tidak dijadwalkan untuk dihapus

  • Pemindaian real-time: Tidak

Lambda Concurrency Check

Nama kategori di API: LAMBDA_CONCURRENCY_CHECK

Menemukan deskripsi:

Memeriksa apakah fungsi Lambda dikonfigurasi dengan batas eksekusi serentak tingkat fungsi. Aturannya adalah NON_COMPLIANT jika fungsi Lambda tidak dikonfigurasi dengan batas eksekusi serentak tingkat fungsi.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa apakah fungsi Lambda dikonfigurasi dengan batas eksekusi serentak tingkat fungsi

  • Pemindaian real-time: Tidak

Lambda Dlq Check

Nama kategori di API: LAMBDA_DLQ_CHECK

Menemukan deskripsi:

Memeriksa apakah fungsi Lambda dikonfigurasi dengan antrean pesan yang dihentikan pengirimannya. Aturannya adalah NON_COMPLIANT jika fungsi Lambda tidak dikonfigurasi dengan antrean pesan yang dihentikan pengirimannya.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-2

Memeriksa apakah fungsi Lambda dikonfigurasi dengan antrean pesan yang dihentikan pengirimannya

  • Pemindaian real-time: Tidak

Lambda Function Public Access Prohibited

Nama kategori di API: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Menemukan deskripsi:

Praktik terbaik AWS merekomendasikan agar fungsi Lambda tidak diekspos secara publik. Kebijakan ini memeriksa semua fungsi Lambda yang di-deploy di semua wilayah yang diaktifkan dalam akun Anda dan akan gagal jika dikonfigurasi untuk mengizinkan akses publik.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Memeriksa apakah kebijakan yang disematkan ke fungsi Lambda melarang akses publik

  • Pemindaian real-time: Tidak

Lambda Inside Vpc

Nama kategori di API: LAMBDA_INSIDE_VPC

Menemukan deskripsi:

Memeriksa apakah fungsi Lambda berada di VPC. Anda mungkin melihat temuan yang gagal untuk resource Lambda@Edge.

Pemeriksaan ini tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan keterjangkauan publik.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Memeriksa apakah fungsi Lambda ada dalam VPC

  • Pemindaian real-time: Tidak

Mfa Delete Enabled S3 Buckets

Nama kategori di API: MFA_DELETE_ENABLED_S3_BUCKETS

Menemukan deskripsi:

Setelah Hapus MFA diaktifkan di bucket S3 sensitif dan rahasia, pengguna harus memiliki dua bentuk autentikasi.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.2
  • CIS Controls 8.0: 3.3, 6.5

Pastikan Hapus MFA diaktifkan pada bucket S3

  • Pemindaian real-time: Tidak

Mfa Enabled Root User Account

Nama kategori di API: MFA_ENABLED_ROOT_USER_ACCOUNT

Menemukan deskripsi:

Akun pengguna 'root' adalah pengguna dengan hak istimewa paling tinggi di akun AWS. Autentikasi Multi-faktor (MFA) menambahkan lapisan perlindungan tambahan di atas nama pengguna dan sandi. Dengan MFA diaktifkan, saat pengguna login ke situs AWS, mereka akan diminta untuk memasukkan nama pengguna dan sandi serta kode autentikasi dari perangkat MFA AWS mereka.

Catatan: Jika MFA virtual digunakan untuk akun 'root', sebaiknya perangkat yang digunakan BUKAN perangkat pribadi, tetapi perangkat seluler khusus (tablet atau ponsel) yang dikelola agar tetap terisi daya dan aman, terlepas dari perangkat pribadi masing-masing. ("MFA virtual non-pribadi") Hal ini mengurangi risiko kehilangan akses ke MFA karena kehilangan perangkat, menukarkan perangkat, atau jika individu yang memiliki perangkat tidak lagi bekerja di perusahaan.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.5
  • CIS Controls 8.0: 6.5

Pastikan MFA diaktifkan untuk akun pengguna 'root'

  • Pemindaian real-time: Tidak

Multi Factor Authentication Mfa Enabled All Iam Users Console

Nama kategori di API: MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

Menemukan deskripsi:

Autentikasi Multi-Faktor (MFA) menambahkan lapisan jaminan autentikasi tambahan di luar kredensial tradisional. Dengan MFA diaktifkan, saat pengguna login ke AWS Console, mereka akan diminta memasukkan nama pengguna dan sandi serta kode autentikasi dari token MFA fisik atau virtual mereka. Sebaiknya MFA diaktifkan untuk semua akun yang memiliki sandi konsol.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.10
  • CIS Controls 8.0: 6.5

Pastikan autentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna IAM yang memiliki sandi konsol

  • Pemindaian real-time: Tidak

No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration

Nama kategori di API: NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Menemukan deskripsi:

Fungsi Daftar Kontrol Akses Jaringan (NACL) menyediakan pemfilteran stateless traffic jaringan masuk dan keluar ke resource AWS. Sebaiknya tidak ada NACL yang mengizinkan akses masuk yang tidak dibatasi ke port administrasi server jarak jauh, seperti SSH ke port 22 dan RDP ke port 3389, menggunakan protokol TDP (6), UDP (17), atau ALL (-1)

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • CIS AWS Foundation 2.0.0: 5.1

Pastikan tidak ada ACL Jaringan yang mengizinkan ingress dari 0.0.0.0/0 ke port administrasi server jarak jauh

  • Pemindaian real-time: Tidak

No Root User Account Access Key Exists

Nama kategori di API: NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

Menemukan deskripsi:

Akun pengguna 'root' adalah pengguna dengan hak istimewa paling tinggi di akun AWS. Kunci Akses AWS memberikan akses terprogram ke akun AWS tertentu. Sebaiknya hapus semua kunci akses yang terkait dengan akun pengguna 'root'.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 8.1.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.4
  • CIS Controls 8.0: 3.3, 5.4

Pastikan tidak ada kunci akses akun pengguna 'root'

  • Pemindaian real-time: Tidak

No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration

Nama kategori di API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Menemukan deskripsi:

Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. Sebaiknya tidak ada grup keamanan yang mengizinkan akses masuk yang tidak dibatasi ke port administrasi server jarak jauh, seperti SSH ke port 22 dan RDP ke port 3389, menggunakan protokol TDP (6), UDP (17), atau ALL (-1)

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • CIS AWS Foundation 2.0.0: 5.2

Pastikan tidak ada grup keamanan yang mengizinkan ingress dari 0.0.0.0/0 ke port administrasi server jarak jauh

  • Pemindaian real-time: Tidak

No Security Groups Allow Ingress 0 Remote Server Administration

Nama kategori di API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

Menemukan deskripsi:

Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. Sebaiknya tidak ada grup keamanan yang mengizinkan akses masuk yang tidak dibatasi ke port administrasi server jarak jauh, seperti SSH ke port 22 dan RDP ke port 3389.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • CIS AWS Foundation 2.0.0: 5.3

Pastikan tidak ada grup keamanan yang mengizinkan ingress dari ::/0 ke port administrasi server jarak jauh

  • Pemindaian real-time: Tidak

One Active Access Key Available Any Single Iam User

Nama kategori di API: ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

Menemukan deskripsi:

Kunci akses adalah kredensial jangka panjang untuk pengguna IAM atau pengguna 'root' akun AWS. Anda dapat menggunakan kunci akses untuk menandatangani permintaan terprogram ke AWS CLI atau AWS API (secara langsung atau menggunakan AWS SDK)

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • CIS AWS Foundation 2.0.0: 1.13
  • CIS Controls 8.0: 5

Pastikan hanya ada satu kunci akses aktif yang tersedia untuk pengguna IAM tunggal apa pun

  • Pemindaian real-time: Tidak

Public Access Given Rds Instance

Nama kategori di API: PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

Menemukan deskripsi:

Pastikan dan verifikasi bahwa instance database RDS yang disediakan di akun AWS Anda membatasi akses tidak sah untuk meminimalkan risiko keamanan. Untuk membatasi akses ke instance database RDS yang dapat diakses secara publik, Anda harus menonaktifkan tanda Dapat Diakses Secara Publik pada database dan memperbarui grup keamanan VPC yang terkait dengan instance.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v3.2.1: 2.2.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.3.3
  • CIS Controls 8.0: 3.3

Pastikan akses publik tidak diberikan ke Instance RDS

  • Pemindaian real-time: Tidak

Rds Enhanced Monitoring Enabled

Nama kategori di API: RDS_ENHANCED_MONITORING_ENABLED

Menemukan deskripsi:

Pemantauan yang ditingkatkan memberikan metrik real-time pada sistem operasi tempat instance RDS berjalan, melalui agen yang diinstal di instance.

Untuk mengetahui detail selengkapnya, lihat Memantau metrik OS dengan Enhanced Monitoring.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-2

Memeriksa apakah pemantauan yang ditingkatkan diaktifkan untuk semua instance DB RDS

  • Pemindaian real-time: Tidak

Rds Instance Deletion Protection Enabled

Nama kategori di API: RDS_INSTANCE_DELETION_PROTECTION_ENABLED

Menemukan deskripsi:

Mengaktifkan perlindungan penghapusan instance adalah lapisan perlindungan tambahan terhadap penghapusan database secara tidak sengaja atau penghapusan oleh entitas yang tidak sah.

Saat perlindungan penghapusan diaktifkan, instance DB RDS tidak dapat dihapus. Sebelum permintaan penghapusan berhasil, perlindungan penghapusan harus dinonaktifkan.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-13(5)

Memeriksa apakah perlindungan penghapusan diaktifkan untuk semua instance RDS

  • Pemindaian real-time: Tidak

Rds In Backup Plan

Nama kategori di API: RDS_IN_BACKUP_PLAN

Menemukan deskripsi:

Pemeriksaan ini mengevaluasi apakah instance DB Amazon RDS tercakup dalam rencana pencadangan. Kontrol ini gagal jika instance DB RDS tidak dicakup oleh rencana cadangan.

AWS Backup adalah layanan pencadangan terkelola sepenuhnya yang memusatkan dan mengotomatiskan pencadangan data di seluruh layanan AWS. Dengan AWS Backup, Anda dapat membuat kebijakan pencadangan yang disebut rencana pencadangan. Anda dapat menggunakan rencana ini untuk menentukan persyaratan pencadangan, seperti frekuensi pencadangan data dan berapa lama pencadangan tersebut akan disimpan. Menyertakan instance DB RDS dalam rencana pencadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak disengaja.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-13(5)

Instance DB RDS harus dicakup oleh rencana cadangan

  • Pemindaian real-time: Tidak

Rds Logging Enabled

Nama kategori di API: RDS_LOGGING_ENABLED

Menemukan deskripsi:

Tindakan ini memeriksa apakah log Amazon RDS berikut diaktifkan dan dikirim ke CloudWatch.

Database RDS harus mengaktifkan log yang relevan. Logging database memberikan catatan mendetail tentang permintaan yang dibuat ke RDS. Log database dapat membantu audit keamanan dan akses serta dapat membantu mendiagnosis masalah ketersediaan.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-7(8)

Memeriksa apakah log yang diekspor diaktifkan untuk semua instance DB RDS

  • Pemindaian real-time: Tidak

Rds Multi Az Support

Nama kategori di API: RDS_MULTI_AZ_SUPPORT

Menemukan deskripsi:

Instance DB RDS harus dikonfigurasi untuk beberapa Zona Ketersediaan (AZ). Hal ini memastikan ketersediaan data yang disimpan. Deployment multi-AZ memungkinkan failover otomatis jika ada masalah dengan ketersediaan Zona Ketersediaan dan selama pemeliharaan RDS reguler.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-13(5)

Memeriksa apakah ketersediaan tinggi diaktifkan untuk semua instance DB RDS

  • Pemindaian real-time: Tidak

Redshift Cluster Configuration Check

Nama kategori di API: REDSHIFT_CLUSTER_CONFIGURATION_CHECK

Menemukan deskripsi:

Tindakan ini memeriksa elemen penting cluster Redshift: enkripsi dalam penyimpanan, logging, dan jenis node.

Item konfigurasi ini penting dalam pemeliharaan cluster Redshift yang aman dan dapat diamati.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Memeriksa apakah semua cluster Redshift memiliki enkripsi dalam penyimpanan, logging, dan jenis node.

  • Pemindaian real-time: Tidak

Redshift Cluster Maintenancesettings Check

Nama kategori di API: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

Menemukan deskripsi:

Upgrade versi utama otomatis dilakukan sesuai dengan periode pemeliharaan

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-2

Memeriksa apakah semua cluster Redshift mengaktifkan allowVersionUpgrade serta menetapkan preferredMaintenanceWindow dan automatedSnapshotRetentionPeriod

  • Pemindaian real-time: Tidak

Redshift Cluster Public Access Check

Nama kategori di API: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

Menemukan deskripsi:

Atribut PubliclyAccessible dari konfigurasi cluster Amazon Redshift menunjukkan apakah cluster dapat diakses secara publik. Jika cluster dikonfigurasi dengan PubliclyAccessible ditetapkan ke benar, cluster tersebut adalah instance yang menghadap ke Internet yang memiliki nama DNS yang dapat di-resolve secara publik, yang me-resolve ke alamat IP publik.

Jika tidak dapat diakses secara publik, cluster tersebut adalah instance internal dengan nama DNS yang me-resolve ke alamat IP pribadi. Kecuali jika Anda ingin cluster dapat diakses secara publik, cluster tidak boleh dikonfigurasi dengan PubliclyAccessible disetel ke true.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Memeriksa apakah cluster Redshift dapat diakses secara publik

  • Pemindaian real-time: Tidak

Restricted Common Ports

Nama kategori di API: RESTRICTED_COMMON_PORTS

Menemukan deskripsi:

Tindakan ini memeriksa apakah traffic masuk yang tidak dibatasi untuk grup keamanan dapat diakses oleh port yang ditentukan dan memiliki risiko tertinggi. Kontrol ini gagal jika ada aturan dalam grup keamanan yang mengizinkan traffic masuk dari '0.0.0.0/0' atau '::/0' untuk port tersebut.

Akses tanpa batasan (0.0.0.0/0) meningkatkan peluang untuk aktivitas berbahaya, seperti peretasan, serangan denial-of-service, dan kehilangan data.

Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. Tidak ada grup keamanan yang boleh mengizinkan akses masuk yang tidak dibatasi ke port berikut:

  • 20, 21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 25 (SMTP)
  • 110 (POP3)
  • 135 (RPC)
  • 143 (IMAP)
  • 445 (CIFS)
  • 1433, 1434 (MSSQL)
  • 3.000 (framework pengembangan web Go, Node.js, dan Ruby)
  • 3306 (mySQL)
  • 3389 (RDP)
  • 4333 (ahsp)
  • 5.000 (framework pengembangan web Python)
  • 5432 (postgresql)
  • 5500 (fcp-addr-srvr1)
  • 5601 (Dasbor OpenSearch)
  • 8080 (proxy)
  • 8088 (port HTTP lama)
  • 8888 (port HTTP alternatif)
  • 9200 atau 9300 (OpenSearch)

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Grup keamanan tidak boleh mengizinkan akses yang tidak dibatasi ke port dengan risiko tinggi

  • Pemindaian real-time: Tidak

Restricted Ssh

Nama kategori di API: RESTRICTED_SSH

Menemukan deskripsi:

Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS.

CIS merekomendasikan agar tidak ada grup keamanan yang mengizinkan akses masuk yang tidak dibatasi ke port 22. Menghapus konektivitas yang tidak dibatasi ke layanan konsol jarak jauh, seperti SSH, akan mengurangi paparan server terhadap risiko.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Grup keamanan tidak boleh mengizinkan ingress dari 0.0.0.0/0 ke port 22

  • Pemindaian real-time: Tidak

Rotation Customer Created Cmks Enabled

Nama kategori di API: ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

Menemukan deskripsi:

Memeriksa apakah rotasi kunci otomatis diaktifkan untuk setiap kunci dan cocok dengan ID kunci dari kunci AWS KMS yang dibuat pelanggan. Aturannya adalah NON_COMPLIANT jika peran perekam AWS Config untuk resource tidak memiliki izin kms:DescribeKey.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Pastikan rotasi untuk CMK yang dibuat pelanggan diaktifkan

  • Pemindaian real-time: Tidak

Rotation Customer Created Symmetric Cmks Enabled

Nama kategori di API: ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

Menemukan deskripsi:

AWS Key Management Service (KMS) memungkinkan pelanggan memutar kunci pendukung yang merupakan materi kunci yang disimpan dalam KMS yang terikat dengan ID kunci kunci master pelanggan (CMK) yang Dibuat Pelanggan. Ini adalah kunci pendukung yang digunakan untuk melakukan operasi kriptografi seperti enkripsi dan dekripsi. Rotasi kunci otomatis saat ini mempertahankan semua kunci pendukung sebelumnya sehingga dekripsi data terenkripsi dapat dilakukan secara transparan. Sebaiknya rotasi kunci CMK diaktifkan untuk kunci simetris. Rotasi kunci tidak dapat diaktifkan untuk CMK asimetris.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.8
  • CIS Controls 8.0: 3.11

Pastikan rotasi untuk CMK simetris yang dibuat pelanggan diaktifkan

  • Pemindaian real-time: Tidak

Routing Tables Vpc Peering Are Least Access

Nama kategori di API: ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

Menemukan deskripsi:

Memeriksa apakah tabel rute untuk peering VPC dikonfigurasi dengan prinsip hak istimewa terendah.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Pastikan tabel pemilihan rute untuk peering VPC adalah "akses minimum"

  • Pemindaian real-time: Tidak

S3 Account Level Public Access Blocks

Nama kategori di API: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

Menemukan deskripsi:

Amazon S3 Blokir Akses Publik menyediakan setelan untuk titik akses, bucket, dan akun untuk membantu Anda mengelola akses publik ke resource Amazon S3. Secara default, bucket, titik akses, dan objek baru tidak mengizinkan akses publik.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa apakah setelan pemblokiran akses publik S3 yang diperlukan dikonfigurasi dari tingkat akun

  • Pemindaian real-time: Tidak

S3 Buckets Configured Block Public Access Bucket And Account Settings

Nama kategori di API: S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

Menemukan deskripsi:

Amazon S3 menyediakan Block public access (bucket settings) dan Block public access (account settings) untuk membantu Anda mengelola akses publik ke resource Amazon S3. Secara default, bucket dan objek S3 dibuat dengan akses publik dinonaktifkan. Namun, akun utama AWS IAM dengan izin S3 yang memadai dapat mengaktifkan akses publik di tingkat bucket atau objek. Saat diaktifkan, Block public access (bucket settings) mencegah setiap bucket, dan objek yang dikandungnya, agar tidak dapat diakses secara publik. Demikian pula, Block public access (account settings) mencegah semua bucket, dan objek yang dikandung, agar tidak dapat diakses secara publik di seluruh akun.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.4
  • CIS Controls 8.0: 3.3

Pastikan bucket S3 dikonfigurasi dengan Block public access (bucket settings).

  • Pemindaian real-time: Tidak

S3 Bucket Access Logging Enabled Cloudtrail S3 Bucket

Nama kategori di API: S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

Menemukan deskripsi:

Logging Akses Bucket S3 menghasilkan log yang berisi catatan akses untuk setiap permintaan yang dibuat ke bucket S3 Anda. Data log akses berisi detail tentang permintaan, seperti jenis permintaan, resource yang ditentukan dalam permintaan yang berfungsi, serta waktu dan tanggal permintaan diproses. Sebaiknya logging akses bucket diaktifkan di bucket S3 CloudTrail.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-6, AU-12, AU-2
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1
  • ISO-27001 v2022: A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • SOC2 v2017: CC6.1.1, CC6.1.10, CC6.1.11, CC6.1.12, CC6.1.13, CC6.1.2, CC6.1.3, CC6.1.4, CC6.1.5, CC6.1.6, CC6.1.7, CC6.1.8, CC6.1.9
  • HIPAA: 164.312(b), 164.312(c)(1), 164.312(c)(2)
  • CIS AWS Foundation 2.0.0: 3.6
  • CIS Controls 8.0: 3.14, 8.2

Pastikan logging akses bucket S3 diaktifkan di bucket S3 CloudTrail

  • Pemindaian real-time: Tidak

S3 Bucket Logging Enabled

Nama kategori di API: S3_BUCKET_LOGGING_ENABLED

Menemukan deskripsi:

Fitur Logging Akses Server AWS S3 mencatat permintaan akses ke bucket penyimpanan yang berguna untuk audit keamanan. Secara default, logging akses server tidak diaktifkan untuk bucket S3.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Memeriksa apakah logging diaktifkan di semua bucket S3

  • Pemindaian real-time: Tidak

S3 Bucket Policy Set Deny Http Requests

Nama kategori di API: S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

Menemukan deskripsi:

Di tingkat bucket Amazon S3, Anda dapat mengonfigurasi izin melalui kebijakan bucket sehingga objek hanya dapat diakses melalui HTTPS.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.1.1
  • CIS Controls 8.0: 3.10

Pastikan Kebijakan Bucket S3 disetel untuk menolak permintaan HTTP

  • Pemindaian real-time: Tidak

S3 Bucket Replication Enabled

Nama kategori di API: S3_BUCKET_REPLICATION_ENABLED

Menemukan deskripsi:

Kontrol ini memeriksa apakah bucket Amazon S3 mengaktifkan Replikasi Lintas Region. Kontrol akan gagal jika bucket tidak mengaktifkan Replikasi Lintas Region atau jika Replikasi Dalam Region juga diaktifkan.

Replikasi adalah penyalinan objek secara otomatis dan asinkron di seluruh bucket di Region AWS yang sama atau berbeda. Replikasi menyalin objek yang baru dibuat dan pembaruan objek dari bucket sumber ke satu atau beberapa bucket tujuan. Praktik terbaik AWS merekomendasikan replikasi untuk bucket sumber dan tujuan yang dimiliki oleh akun AWS yang sama. Selain ketersediaan, Anda harus mempertimbangkan setelan hardening sistem lainnya.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-13(5)

Memeriksa apakah replikasi lintas region diaktifkan untuk bucket S3

  • Pemindaian real-time: Tidak

S3 Bucket Server Side Encryption Enabled

Nama kategori di API: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

Menemukan deskripsi:

Tindakan ini memeriksa apakah bucket S3 Anda mengaktifkan enkripsi default Amazon S3 atau kebijakan bucket S3 secara eksplisit menolak permintaan put-object tanpa enkripsi sisi server.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2

Pastikan semua bucket S3 menggunakan enkripsi dalam penyimpanan

  • Pemindaian real-time: Tidak

S3 Bucket Versioning Enabled

Nama kategori di API: S3_BUCKET_VERSIONING_ENABLED

Menemukan deskripsi:

Amazon S3 adalah cara untuk menyimpan beberapa varian objek dalam bucket yang sama dan dapat membantu Anda memulihkan dengan lebih mudah dari tindakan pengguna yang tidak disengaja dan kegagalan aplikasi.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-13(5)
  • PCI-DSS v3.2.1: 10.5.5

Memeriksa apakah pembuatan versi diaktifkan untuk semua bucket S3

  • Pemindaian real-time: Tidak

S3 Default Encryption Kms

Nama kategori di API: S3_DEFAULT_ENCRYPTION_KMS

Menemukan deskripsi:

Memeriksa apakah bucket Amazon S3 dienkripsi dengan AWS Key Management Service (AWS KMS)

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-7(6)

Memeriksa apakah semua bucket dienkripsi dengan KMS

  • Pemindaian real-time: Tidak

Sagemaker Notebook Instance Kms Key Configured

Nama kategori di API: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

Menemukan deskripsi:

Memeriksa apakah kunci AWS Key Management Service (AWS KMS) dikonfigurasi untuk instance notebook Amazon SageMaker. Aturannya adalah NON_COMPLIANT jika 'KmsKeyId' tidak ditentukan untuk instance notebook SageMaker.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Memeriksa apakah semua instance notebook SageMaker dikonfigurasi untuk menggunakan KMS

  • Pemindaian real-time: Tidak

Sagemaker Notebook No Direct Internet Access

Nama kategori di API: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

Menemukan deskripsi:

Memeriksa apakah akses internet langsung dinonaktifkan untuk instance notebook SageMaker. Untuk melakukannya, periksa apakah kolom DirectInternetAccess dinonaktifkan untuk instance notebook.

Jika Anda mengonfigurasi instance SageMaker tanpa VPC, akses internet langsung akan diaktifkan secara default di instance Anda. Anda harus mengonfigurasi instance dengan VPC dan mengubah setelan default ke Nonaktifkan—Akses internet melalui VPC.

Untuk melatih atau menghosting model dari notebook, Anda memerlukan akses internet. Untuk mengaktifkan akses internet, pastikan VPC Anda memiliki gateway NAT dan grup keamanan Anda mengizinkan koneksi keluar. Untuk mempelajari lebih lanjut cara menghubungkan instance notebook ke resource di VPC, lihat Menghubungkan instance notebook ke resource di VPC di Panduan Developer Amazon SageMaker.

Anda juga harus memastikan bahwa akses ke konfigurasi SageMaker hanya dibatasi untuk pengguna yang diberi otorisasi. Batasi izin IAM pengguna untuk mengubah setelan dan resource SageMaker.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Memeriksa apakah akses internet langsung dinonaktifkan untuk semua instance notebook Amazon SageMaker

  • Pemindaian real-time: Tidak

Secretsmanager Rotation Enabled Check

Nama kategori di API: SECRETSMANAGER_ROTATION_ENABLED_CHECK

Menemukan deskripsi:

Memeriksa apakah secret yang disimpan di AWS Secrets Manager dikonfigurasi dengan rotasi otomatis. Kontrol akan gagal jika secret tidak dikonfigurasi dengan rotasi otomatis. Jika Anda memberikan nilai kustom untuk parameter maximumAllowedRotationFrequency, kontrol hanya akan lulus jika secret dirotasi secara otomatis dalam jangka waktu yang ditentukan.

Secret Manager membantu Anda meningkatkan postur keamanan organisasi. Secret mencakup kredensial database, sandi, dan kunci API pihak ketiga. Anda dapat menggunakan Secret Manager untuk menyimpan secret secara terpusat, mengenkripsi secret secara otomatis, mengontrol akses ke secret, dan merotasi secret dengan aman dan otomatis.

Secret Manager dapat merotasi secret. Anda dapat menggunakan rotasi untuk mengganti secret jangka panjang dengan secret jangka pendek. Memutar secret akan membatasi berapa lama pengguna yang tidak sah dapat menggunakan secret yang disusupi. Oleh karena itu, Anda harus sering merotasi secret. Untuk mempelajari rotasi lebih lanjut, lihat Memutar secret AWS Secrets Manager di Panduan Pengguna AWS Secrets Manager.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4

Memeriksa apakah rotasi diaktifkan pada semua secret AWS Secrets Manager

  • Pemindaian real-time: Tidak

Sns Encrypted Kms

Nama kategori di API: SNS_ENCRYPTED_KMS

Menemukan deskripsi:

Memeriksa apakah topik SNS dienkripsi dalam penyimpanan menggunakan AWS KMS. Kontrol akan gagal jika topik SNS tidak menggunakan kunci KMS untuk enkripsi sisi server (SSE).

Mengenkripsi data dalam penyimpanan akan mengurangi risiko data yang disimpan di disk diakses oleh pengguna yang tidak diautentikasi ke AWS. Fitur ini juga menambahkan kumpulan kontrol akses lain untuk membatasi kemampuan pengguna yang tidak sah untuk mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca. Topik SNS harus dienkripsi dalam penyimpanan untuk lapisan keamanan tambahan.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-7(6)

Memeriksa apakah semua topik SNS dienkripsi dengan KMS

  • Pemindaian real-time: Tidak

Vpc Default Security Group Closed

Nama kategori di API: VPC_DEFAULT_SECURITY_GROUP_CLOSED

Menemukan deskripsi:

Kontrol ini memeriksa apakah grup keamanan default VPC mengizinkan traffic masuk atau keluar. Kontrol akan gagal jika grup keamanan mengizinkan traffic masuk atau keluar.

Aturan untuk grup keamanan default mengizinkan semua traffic keluar dan masuk dari antarmuka jaringan (dan instance terkait) yang ditetapkan ke grup keamanan yang sama. Sebaiknya jangan gunakan grup keamanan default. Karena grup keamanan default tidak dapat dihapus, Anda harus mengubah setelan aturan grup keamanan default untuk membatasi traffic masuk dan keluar. Tindakan ini mencegah traffic yang tidak diinginkan jika grup keamanan default tidak sengaja dikonfigurasi untuk resource seperti instance EC2.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Pastikan grup keamanan default setiap VPC membatasi semua traffic

  • Pemindaian real-time: Tidak

Vpc Flow Logging Enabled All Vpcs

Nama kategori di API: VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

Menemukan deskripsi:

Log Aliran VPC adalah fitur yang memungkinkan Anda merekam informasi tentang traffic IP yang menuju ke dan keluar dari antarmuka jaringan di VPC. Setelah membuat log alur, Anda dapat melihat dan mengambil datanya di Amazon CloudWatch Logs. Sebaiknya aktifkan Log Aliran VPC untuk "Penolakan" paket untuk VPC.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-4, SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS AWS Foundation 2.0.0: 3.9
  • CIS Controls 8.0: 13.6, 8.2

Pastikan logging flow VPC diaktifkan di semua VPC

  • Pemindaian real-time: Tidak

Vpc Sg Open Only To Authorized Ports

Nama kategori di API: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

Menemukan deskripsi:

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 mengizinkan traffic masuk yang tidak dibatasi dari port yang tidak sah. Status kontrol ditentukan sebagai berikut:

Jika Anda menggunakan nilai default untuk authorizedTcpPorts, kontrol akan gagal jika grup keamanan mengizinkan traffic masuk yang tidak dibatasi dari port apa pun selain port 80 dan 443.

Jika Anda memberikan nilai kustom untuk authorizedTcpPorts atau authorizedUdpPorts, kontrol akan gagal jika grup keamanan mengizinkan traffic masuk yang tidak dibatasi dari port yang tidak tercantum.

Jika tidak ada parameter yang digunakan, kontrol akan gagal untuk grup keamanan yang memiliki aturan traffic masuk yang tidak dibatasi.

Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke AWS. Aturan grup keamanan harus mengikuti prinsip akses dengan hak istimewa terendah. Akses tanpa batasan (alamat IP dengan akhiran /0) meningkatkan peluang terjadinya aktivitas berbahaya seperti peretasan, serangan denial-of-service, dan kehilangan data. Kecuali jika port diizinkan secara khusus, port harus menolak akses yang tidak dibatasi.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Memeriksa apakah setiap grup keamanan dengan 0.0.0.0/0 dari VPC hanya mengizinkan traffic TCP/UDP masuk tertentu

  • Pemindaian real-time: Tidak

Both VPC VPN Tunnels Up

Nama kategori di API: VPC_VPN_2_TUNNELS_UP

Menemukan deskripsi:

Tunnel VPN adalah link terenkripsi tempat data dapat diteruskan dari jaringan pelanggan ke atau dari AWS dalam koneksi VPN Site-to-Site AWS. Setiap koneksi VPN menyertakan dua tunnel VPN yang dapat Anda gunakan secara bersamaan untuk ketersediaan tinggi. Memastikan kedua tunnel VPN aktif untuk koneksi VPN penting untuk mengonfirmasi koneksi yang aman dan sangat tersedia antara VPC AWS dan jaringan jarak jauh Anda.

Kontrol ini memeriksa apakah kedua tunnel VPN yang disediakan oleh AWS Site-to-Site VPN dalam status UP. Kontrol akan gagal jika salah satu atau kedua tunnel berada dalam status DOWN.

Paket harga: Enterprise

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: SI-13(5)

Memeriksa apakah kedua tunnel AWS VPN yang disediakan oleh AWS site-to-site dalam status UP

  • Pemindaian real-time: Tidak

Temuan Web Security Scanner

Pemindaian kustom dan terkelola Web Security Scanner mengidentifikasi jenis temuan berikut. Di tingkat Standar, Web Security Scanner mendukung pemindaian kustom aplikasi yang di-deploy dengan URL dan IP publik yang tidak berada di balik firewall.

Kategori Menemukan deskripsi 10 Teratas OWASP 2017 OWASP 2021 Top 10

Accessible Git repository

Nama kategori di API: ACCESSIBLE_GIT_REPOSITORY

Repositori Git diekspos secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori GIT.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A5 A01

Accessible SVN repository

Nama kategori di API: ACCESSIBLE_SVN_REPOSITORY

Repositori SVN diekspos secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori SVN.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A5 A01

Cacheable password input

Nama kategori di API: CACHEABLE_PASSWORD_INPUT

Sandi yang dimasukkan di aplikasi web dapat di-cache dalam cache browser reguler, bukan penyimpanan sandi yang aman.

Paket harga: Premium

Perbaiki temuan ini

A3 A04

Clear text password

Nama kategori di API: CLEAR_TEXT_PASSWORD

Sandi dikirim dalam bentuk teks biasa dan dapat disadap. Untuk mengatasi penemuan ini, enkripsi sandi yang ditransmisikan melalui jaringan.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A3 A02

Insecure allow origin ends with validation

Nama kategori di API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi akhiran header permintaan Origin sebelum mencerminkannya di dalam header respons Access-Control-Allow-Origin. Untuk mengatasi temuan ini, validasikan bahwa domain root yang diharapkan adalah bagian dari nilai header Origin sebelum mencerminkannya dalam header respons Access-Control-Allow-Origin. Untuk karakter pengganti subdomain, tambahkan titik ke domain root—misalnya, .endsWith(".google.com").

Paket harga: Premium

Perbaiki temuan ini

A5 A01

Insecure allow origin starts with validation

Nama kategori di API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi awalan header permintaan Origin sebelum mencerminkannya di dalam header respons Access-Control-Allow-Origin. Untuk mengatasi temuan ini, validasi bahwa domain yang diharapkan sepenuhnya cocok dengan nilai header Origin sebelum mencerminkannya dalam header respons Access-Control-Allow-Origin—misalnya, .equals(".google.com").

Paket harga: Premium

Perbaiki temuan ini

A5 A01

Invalid content type

Nama kategori di API: INVALID_CONTENT_TYPE

Resource yang dimuat tidak cocok dengan header HTTP Content-Type respons. Untuk mengatasi temuan ini, tetapkan header HTTP X-Content-Type-Options dengan nilai yang benar.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A6 A05

Invalid header

Nama kategori di API: INVALID_HEADER

Header keamanan memiliki error sintaksis dan diabaikan oleh browser. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A6 A05

Mismatching security header values

Nama kategori di API: MISMATCHING_SECURITY_HEADER_VALUES

Header keamanan memiliki nilai duplikat yang tidak cocok, yang menghasilkan perilaku yang tidak ditentukan. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A6 A05

Misspelled security header name

Nama kategori di API: MISSPELLED_SECURITY_HEADER_NAME

Header keamanan salah eja dan diabaikan. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A6 A05

Mixed content

Nama kategori di API: MIXED_CONTENT

Resource ditayangkan melalui HTTP di halaman HTTPS. Untuk mengatasi temuan ini, pastikan semua resource ditayangkan melalui HTTPS.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A6 A05

Outdated library

Nama kategori di API: OUTDATED_LIBRARY

Library terdeteksi yang memiliki kerentanan umum. Untuk mengatasi temuan ini, upgrade library ke versi yang lebih baru.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A9 A06

Server side request forgery

Nama kategori di API: SERVER_SIDE_REQUEST_FORGERY

Kerentanan pemalsuan permintaan sisi server (SSRF) terdeteksi. Untuk mengatasi temuan ini, gunakan daftar yang diizinkan untuk membatasi domain dan alamat IP yang dapat menerima permintaan dari aplikasi web.

Paket harga: Premium atau Standar

Perbaiki temuan ini

Tidak berlaku A10

Session ID leak

Nama kategori di API: SESSION_ID_LEAK

Saat membuat permintaan lintas-domain, aplikasi web menyertakan ID sesi pengguna dalam header permintaan Referer-nya. Kerentanan ini memberi domain penerima akses ke ID sesi, yang dapat digunakan untuk meniru identitas atau mengidentifikasi pengguna secara unik.

Paket harga: Premium

Perbaiki temuan ini

A2 A07

SQL injection

Nama kategori di API: SQL_INJECTION

Potensi kerentanan injeksi SQL terdeteksi. Untuk mengatasi temuan ini, gunakan kueri berparameter untuk mencegah input pengguna memengaruhi struktur kueri SQL.

Paket harga: Premium

Perbaiki temuan ini

A1 A03

Struts insecure deserialization

Nama kategori di API: STRUTS_INSECURE_DESERIALIZATION

Penggunaan versi Apache Struts yang rentan terdeteksi. Untuk mengatasi temuan ini, upgrade Apache Struts ke versi terbaru.

Paket harga: Premium

Perbaiki temuan ini

A8 A08

XSS

Nama kategori di API: XSS

Kolom di aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs (XSS). Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A7 A03

XSS angular callback

Nama kategori di API: XSS_ANGULAR_CALLBACK

String yang disediakan pengguna tidak di-escape dan AngularJS dapat melakukan interpolasi. Untuk mengatasi penemuan ini, validasi dan hindari data tidak tepercaya dari pengguna yang ditangani oleh framework Angular.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A7 A03

XSS error

Nama kategori di API: XSS_ERROR

Kolom di aplikasi web ini rentan terhadap serangan cross-site scripting. Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A7 A03

XXE reflected file leakage

Nama kategori di API: XXE_REFLECTED_FILE_LEAKAGE

Terdeteksi adanya kerentanan Entity Eksternal XML (XXE). Kerentanan ini dapat menyebabkan aplikasi web membocorkan file di host. Untuk mengatasi temuan ini, konfigurasikan parser XML Anda agar tidak mengizinkan entity eksternal.

Paket harga: Premium

Perbaiki temuan ini

A4 A05

Prototype pollution

Nama kategori di API: PROTOTYPE_POLLUTION

Aplikasi rentan terhadap polusi prototipe. Kerentanan ini muncul saat properti objek Object.prototype dapat ditetapkan nilai yang dapat dikontrol penyerang. Nilai yang ditanam pada prototipe ini secara universal diasumsikan akan diterjemahkan menjadi cross-site scripting, atau kerentanan sisi klien serupa, serta bug logika.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A1 A03

Temuan pemberi rekomendasi IAM

Tabel berikut mencantumkan temuan Security Command Center yang dihasilkan oleh rekomendasi IAM.

Setiap temuan perekomendasikan IAM berisi rekomendasi spesifik untuk menghapus atau mengganti peran yang menyertakan izin berlebih dari akun utama di lingkungan Google Cloud Anda.

Temuan yang dihasilkan oleh pemberi rekomendasi IAM sesuai dengan rekomendasi yang muncul di konsol Google Cloud pada halaman IAM project, folder, atau organisasi yang terpengaruh.

Untuk informasi selengkapnya tentang integrasi perekomendasikan IAM dengan Security Command Center, lihat Sumber keamanan.

Pendeteksi Ringkasan

IAM role has excessive permissions

Nama kategori di API: IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

Deskripsi temuan: Rekomendasi IAM mendeteksi akun layanan yang memiliki satu atau beberapa peran IAM yang memberikan izin berlebihan ke akun pengguna.

Paket harga: Premium

Aset yang didukung:

Perbaiki temuan ini :

Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:

  1. Di bagian Langkah berikutnya pada detail temuan di konsol Google Cloud, salin dan tempel URL untuk halaman IAM ke kolom alamat browser, lalu tekan Enter. Halaman IAM dimuat.
  2. Di dekat bagian atas halaman IAM di sisi kanan, klik Lihat rekomendasi dalam tabel. Rekomendasi ditampilkan dalam tabel.
  3. Di kolom Analisis keamanan, klik rekomendasi apa pun yang terkait dengan izin yang berlebihan. Panel detail rekomendasi akan terbuka.
  4. Tinjau rekomendasi untuk tindakan yang dapat Anda lakukan guna menyelesaikan masalah.
  5. Klik Terapkan.

Setelah masalah diperbaiki, perekomendasikan IAM akan memperbarui status temuan menjadi INACTIVE dalam waktu 10 hari.

Service agent role replaced with basic role

Nama kategori di API: SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

Deskripsi temuan: Rekomendasi IAM mendeteksi bahwa peran IAM default asli yang diberikan kepada agen layanan telah diganti dengan salah satu peran IAM dasar: Pemilik, Editor, atau Pelihat. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan.

Paket harga: Premium

Aset yang didukung:

Perbaiki temuan ini :

Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:

  1. Di bagian Langkah berikutnya pada detail temuan di konsol Google Cloud, salin dan tempel URL untuk halaman IAM ke kolom URL browser, lalu tekan Enter. Halaman IAM dimuat.
  2. Di dekat bagian atas halaman IAM di sisi kanan, klik Lihat rekomendasi dalam tabel. Rekomendasi ditampilkan dalam tabel.
  3. Di kolom Analisis keamanan, klik izin apa pun yang terkait dengan izin berlebih. Panel detail rekomendasi akan terbuka.
  4. Tinjau izin berlebih.
  5. Klik Terapkan.

Setelah masalah diperbaiki, perekomendasikan IAM akan memperbarui status temuan menjadi INACTIVE dalam waktu 10 hari.

Service agent granted basic role

Nama kategori di API: SERVICE_AGENT_GRANTED_BASIC_ROLE

Deskripsi temuan: Rekomendasi IAM mendeteksi IAM bahwa agen layanan diberi salah satu peran IAM dasar: Pemilik, Editor, atau Pelihat. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan.

Paket harga: Premium

Aset yang didukung:

Perbaiki temuan ini :

Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:

  1. Di bagian Langkah berikutnya pada detail temuan di konsol Google Cloud, salin dan tempel URL untuk halaman IAM ke kolom URL browser, lalu tekan Enter. Halaman IAM dimuat.
  2. Di dekat bagian atas halaman IAM di sisi kanan, klik Lihat rekomendasi dalam tabel. Rekomendasi ditampilkan dalam tabel.
  3. Di kolom Analisis keamanan, klik izin apa pun yang terkait dengan izin berlebih. Panel detail rekomendasi akan terbuka.
  4. Tinjau izin berlebih.
  5. Klik Terapkan.

Setelah masalah diperbaiki, perekomendasikan IAM akan memperbarui status temuan menjadi INACTIVE dalam waktu 10 hari.

Unused IAM role

Nama kategori di API: UNUSED_IAM_ROLE

Deskripsi temuan: Rekomendasi IAM mendeteksi akun pengguna yang memiliki peran IAM yang tidak digunakan dalam 90 hari terakhir.

Paket harga: Premium

Aset yang didukung:

Perbaiki temuan ini :

Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:

  1. Di bagian Langkah berikutnya pada detail temuan di konsol Google Cloud, salin dan tempel URL untuk halaman IAM ke kolom URL browser, lalu tekan Enter. Halaman IAM dimuat.
  2. Di dekat bagian atas halaman IAM di sisi kanan, klik Lihat rekomendasi dalam tabel. Rekomendasi ditampilkan dalam tabel.
  3. Di kolom Analisis keamanan, klik izin apa pun yang terkait dengan izin berlebih. Panel detail rekomendasi akan terbuka.
  4. Tinjau izin berlebih.
  5. Klik Terapkan.

Setelah masalah diperbaiki, perekomendasikan IAM akan memperbarui status temuan menjadi INACTIVE dalam waktu 10 hari.

Temuan CIEM

Tabel berikut mencantumkan temuan identitas dan akses Security Command Center untuk AWS yang dihasilkan oleh Cloud Infrastructure Entitlement Management (CIEM).

Temuan CIEM berisi rekomendasi spesifik untuk menghapus atau mengganti kebijakan AWS IAM yang sangat permisif yang terkait dengan identitas, pengguna, atau grup yang diasumsikan di lingkungan AWS Anda.

Untuk informasi selengkapnya tentang CIEM, lihat Ringkasan Cloud Infrastructure Entitlement Management.

Pendeteksi Ringkasan

Assumed identity has excessive permissions

Nama kategori di API: ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS

Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi peran IAM yang diasumsikan memiliki satu atau beberapa kebijakan yang sangat permisif yang melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan.

Paket harga: Enterprise

Perbaiki temuan ini :

Bergantung pada temuan, gunakan AWS Management Console untuk melakukan salah satu tugas perbaikan berikut:

  • Hapus kebijakan yang sangat permisif.
  • Buat kebijakan baru yang memiliki izin minimum yang diperlukan untuk pengguna, grup, atau peran. Kemudian, lampirkan kebijakan baru ke pengguna, grup, atau peran, dan hapus kebijakan yang sangat permisif.

Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu.

Group has excessive permissions

Nama kategori di API: GROUP_HAS_EXCESSIVE_PERMISSIONS

Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi grup IAM yang memiliki satu atau beberapa kebijakan yang sangat permisif yang melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan.

Paket harga: Enterprise

Perbaiki temuan ini :

Bergantung pada temuan, gunakan AWS Management Console untuk melakukan salah satu tugas perbaikan berikut:

  • Hapus kebijakan yang sangat permisif.
  • Buat kebijakan baru yang memiliki izin minimum yang diperlukan untuk pengguna, grup, atau peran. Kemudian, lampirkan kebijakan baru ke pengguna, grup, atau peran, dan hapus kebijakan yang sangat permisif.

Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu.

User has excessive permissions

Nama kategori di API: USER_HAS_EXCESSIVE_PERMISSIONS

Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi pengguna IAM yang memiliki satu atau beberapa kebijakan yang sangat permisif yang melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan.

Paket harga: Enterprise

Perbaiki temuan ini :

Bergantung pada temuan, gunakan AWS Management Console untuk melakukan salah satu tugas perbaikan berikut:

  • Hapus kebijakan yang sangat permisif.
  • Buat kebijakan baru yang memiliki izin minimum yang diperlukan untuk pengguna, grup, atau peran. Kemudian, lampirkan kebijakan baru ke pengguna, grup, atau peran, dan hapus kebijakan yang sangat permisif.

Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu.

User is inactive

Nama kategori di API: INACTIVE_USER

Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi pengguna IAM yang tidak aktif dan memiliki satu atau beberapa izin. Hal ini melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan.

Paket harga: Enterprise

Perbaiki temuan ini :

Bergantung pada temuan, gunakan AWS Management Console untuk melakukan salah satu tugas perbaikan berikut:

  • Hapus kebijakan atau kebijakan yang dilampirkan ke pengguna AWS IAM.
  • Hapus pengguna AWS IAM jika Anda yakin bahwa identitas tersebut tidak lagi diperlukan.

Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu.

Group is inactive

Nama kategori di API: INACTIVE_GROUP

Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi grup IAM yang tidak aktif dan memiliki satu atau beberapa izin. Hal ini melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan.

Paket harga: Enterprise

Perbaiki temuan ini :

Bergantung pada temuan, gunakan AWS Management Console untuk melakukan salah satu tugas perbaikan berikut:

  • Hapus kebijakan atau kebijakan yang dilampirkan ke grup AWS IAM.
  • Hapus beberapa atau semua pengguna AWS IAM yang membentuk grup jika Anda yakin bahwa identitas ini tidak lagi diperlukan.

Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu.

Assumed identity is inactive

Nama kategori di API: INACTIVE_ASSUMED_IDENTITY

Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi peran IAM yang diasumsikan tidak aktif dan memiliki satu atau beberapa izin. Hal ini melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan.

Paket harga: Enterprise

Perbaiki temuan ini :

Bergantung pada temuan, gunakan AWS Management Console untuk melakukan salah satu tugas perbaikan berikut:

  • Hapus kebijakan atau kebijakan yang dilampirkan ke peran AWS IAM.
  • Hapus identitas yang diasumsikan jika Anda yakin bahwa identitas tersebut tidak lagi diperlukan.

Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu.

Overly permissive trust policy enforced on assumed identity

Nama kategori di API: OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY

Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi kebijakan kepercayaan yang terlalu permisif yang diterapkan pada peran AWS IAM yang melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan.

Paket harga: Enterprise

Perbaiki temuan ini :

Gunakan AWS Management Console untuk mengedit izin dalam kebijakan kepercayaan yang diterapkan pada peran AWS IAM untuk mematuhi prinsip hak istimewa terendah.

Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu.

Assumed identity has lateral movement risk

Nama kategori di API: ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK

Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi satu atau beberapa identitas yang dapat berpindah secara lateral melalui peniruan identitas.

Paket harga: Enterprise

Perbaiki temuan ini :

Gunakan AWS Management Console untuk menghapus kebijakan yang terpasang ke identitas yang mengizinkan pergerakan lateral.

Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu.

Temuan layanan postur keamanan

Tabel berikut mencantumkan temuan Security Command Center yang dihasilkan oleh layanan postur keamanan.

Setiap temuan layanan postur keamanan mengidentifikasi instance penyimpangan dari postur keamanan yang Anda tentukan.

Temuan Ringkasan

SHA Canned Module Drifted

Nama kategori di API: SECURITY_POSTURE_DETECTOR_DRIFT

Deskripsi temuan: Layanan postur keamanan mendeteksi perubahan pada Security Health Analytics Detector yang terjadi di luar update postur.

Paket harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan sehingga setelan detektor dalam postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat mengupdate detektor Security Health Analytics atau Anda dapat mengupdate postur dan deployment postur.

Untuk mengembalikan perubahan, perbarui detektor Security Health Analytics di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

SHA Custom Module Drifted

Nama kategori di API: SECURITY_POSTURE_DETECTOR_DRIFT

Deskripsi temuan: Layanan postur keamanan mendeteksi perubahan pada modul kustom Security Health Analytics yang terjadi di luar update postur.

Paket harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan sehingga setelan modul kustom di postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat mengupdate modul kustom Security Health Analytics atau Anda dapat mengupdate postur dan deployment postur.

Untuk mengembalikan perubahan, perbarui modul kustom Security Health Analytics di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui modul kustom.

Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

SHA Custom Module Deleted

Nama kategori di API: SECURITY_POSTURE_DETECTOR_DELETE

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa modul kustom Security Health Analytics telah dihapus. Penghapusan ini terjadi di luar update postur.

Paket harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan sehingga setelan modul kustom di postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat mengupdate modul kustom Security Health Analytics atau Anda dapat mengupdate postur dan deployment postur.

Untuk mengembalikan perubahan, perbarui modul kustom Security Health Analytics di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui modul kustom.

Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Org Policy Canned Constraint Drifted

Nama kategori di API: SECURITY_POSTURE_POLICY_DRIFT

Deskripsi temuan: Layanan postur keamanan mendeteksi perubahan pada kebijakan organisasi yang terjadi di luar pembaruan postur.

Paket harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan sehingga definisi kebijakan organisasi dalam postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi atau memperbarui postur dan deployment postur.

Untuk mengembalikan perubahan, perbarui kebijakan organisasi di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Membuat dan mengedit kebijakan.

Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Org Policy Canned Constraint Deleted

Nama kategori di API: SECURITY_POSTURE_POLICY_DELETE

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa kebijakan organisasi telah dihapus. Penghapusan ini terjadi di luar pembaruan postur.

Paket harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan sehingga definisi kebijakan organisasi dalam postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi atau memperbarui postur dan deployment postur.

Untuk mengembalikan perubahan, perbarui kebijakan organisasi di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Membuat dan mengedit kebijakan.

Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Org Policy Custom Constraint Drifted

Nama kategori di API: SECURITY_POSTURE_POLICY_DRIFT

Deskripsi temuan: Layanan postur keamanan mendeteksi perubahan pada kebijakan organisasi kustom yang terjadi di luar pembaruan postur.

Paket harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan sehingga definisi kebijakan organisasi kustom di postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi kustom atau Anda dapat memperbarui postur dan deployment postur.

Untuk mengembalikan perubahan, perbarui kebijakan organisasi kustom di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui batasan kustom.

Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Org Policy Custom Constraint Deleted

Nama kategori di API: SECURITY_POSTURE_POLICY_DELETE

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa kebijakan organisasi kustom telah dihapus. Penghapusan ini terjadi di luar pembaruan postur.

Paket harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan sehingga definisi kebijakan organisasi kustom di postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi kustom atau Anda dapat memperbarui postur dan deployment postur.

Untuk mengembalikan perubahan, perbarui kebijakan organisasi kustom di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui batasan kustom.

Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Tabel berikut mencantumkan temuan postur keamanan yang mengidentifikasi kejadian pelanggaran resource terhadap postur keamanan yang Anda tentukan.

Temuan Ringkasan

Disable VPC External IPv6

Nama kategori di API: DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa subnet mengaktifkan alamat IPv6 eksternal.

Paket harga: Premium

Perbaiki temuan ini :

Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat menghapus resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur.

Untuk menghapus resource, selesaikan langkah-langkah berikut:

  1. Buka ringkasan temuan.
  2. Periksa bagian resource yang terpengaruh, dan temukan nama lengkap resource yang melanggar kebijakan postur.
  3. Klik nama lengkap resource untuk membuka detailnya.
  4. Hapus resource.

Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Disable VPC Internal IPv6

Nama kategori di API: DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa subnet mengaktifkan alamat IPv6 internal.

Paket harga: Premium

Perbaiki temuan ini :

Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat menghapus resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur.

Untuk menghapus resource, selesaikan langkah-langkah berikut:

  1. Buka ringkasan temuan.
  2. Periksa bagian resource yang terpengaruh, dan temukan nama lengkap resource yang melanggar kebijakan postur.
  3. Klik nama lengkap resource untuk membuka detailnya.
  4. Hapus resource.

Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Require OS Login

Nama kategori di API: REQUIRE_OS_LOGIN_ORG_POLICY

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa Login OS dinonaktifkan di instance VM.

Paket harga: Premium

Perbaiki temuan ini :

Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur.

Untuk memperbarui resource, selesaikan langkah-langkah berikut:

  1. Buka ringkasan temuan.
  2. Periksa bagian resource yang terpengaruh, dan temukan nama lengkap resource yang melanggar kebijakan postur.
  3. Klik nama lengkap resource untuk membuka detailnya.
  4. Edit resource. Cari bagian metadata, lalu ubah entri dengan kunci enable-oslogin menjadi TRUE.
  5. Simpan resource.

Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Restrict Authorized Networks

Nama kategori di API: RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa jaringan resmi ditambahkan ke instance SQL.

Paket harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda memperbaiki pelanggaran atau memperbarui postur. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur.

Untuk memperbarui resource, selesaikan langkah-langkah berikut:

  1. Buka ringkasan temuan.
  2. Periksa bagian resource yang terpengaruh, dan temukan nama lengkap resource yang melanggar kebijakan postur.
  3. Klik nama lengkap resource untuk membuka detailnya.
  4. Edit resource. Temukan bagian jaringan resmi di bagian koneksi, lalu hapus semua entrinya.
  5. Simpan resource.

Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Require VPC Connector

Nama kategori di API: REQUIRE_VPC_CONNECTOR_ORG_POLICY

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa konektor VPC tidak diaktifkan untuk instance fungsi Cloud Run.

Paket harga: Premium

Perbaiki temuan ini :

Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur.

Untuk memperbarui resource, selesaikan langkah-langkah berikut:

  1. Buka ringkasan temuan.
  2. Periksa bagian resource yang terpengaruh, dan temukan nama lengkap resource yang melanggar kebijakan postur.
  3. Klik nama lengkap resource untuk membuka detailnya.
  4. Klik Edit.
  5. Klik tab Koneksi.
  6. Temukan bagian Setelan keluar. Di menu Network, pilih konektor VPC yang sesuai.
  7. Klik Berikutnya.
  8. Klik Deploy.

Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Disabled Serial Port Access

Nama kategori di API: DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa akses port serial ke instance VM diaktifkan.

Paket harga: Premium

Perbaiki temuan ini :

Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur.

Untuk memperbarui resource, selesaikan langkah-langkah berikut:

  1. Buka ringkasan temuan.
  2. Periksa bagian resource yang terpengaruh, dan temukan nama lengkap resource yang melanggar kebijakan postur.
  3. Klik nama lengkap resource untuk membuka detailnya.
  4. Edit resource. Temukan bagian akses jarak jauh, lalu hapus centang pada kotak centang Enable connecting to serial ports.
  5. Simpan resource.

Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Skip Default Network Creation

Nama kategori di API: SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa jaringan default telah dibuat.

Paket harga: Premium

Perbaiki temuan ini :

Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat menghapus resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur.

Untuk menghapus resource, selesaikan langkah-langkah berikut:

  1. Buka ringkasan temuan.
  2. Periksa bagian resource yang terpengaruh, dan temukan nama lengkap resource yang melanggar kebijakan postur.
  3. Klik nama lengkap resource untuk membuka detailnya.
  4. Hapus resource.

Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Allowed Ingress

Nama kategori di API: ALLOWED_INGRESS_ORG_POLICY

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa layanan Cloud Run tidak mematuhi setelan ingress yang ditentukan.

Paket harga: Premium

Perbaiki temuan ini :

Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur.

Untuk memperbarui resource, selesaikan langkah-langkah berikut:

  1. Buka ringkasan temuan.
  2. Periksa bagian resource yang terpengaruh, dan temukan nama lengkap resource yang melanggar kebijakan postur.
  3. Klik nama lengkap resource untuk membuka detailnya.
  4. Klik tab Networking. Ubah setelan agar cocok dengan kebijakan masuk yang diizinkan.
  5. Simpan resource.

Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Uniform Bucket Level Access

Nama kategori di API: UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa akses level bucket bersifat terperinci, bukan seragam.

Paket harga: Premium

Perbaiki temuan ini :

Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur.

Untuk memperbarui resource, selesaikan langkah-langkah berikut:

  1. Buka ringkasan temuan.
  2. Periksa bagian resource yang terpengaruh, dan temukan nama lengkap resource yang melanggar kebijakan postur.
  3. Klik nama lengkap resource untuk membuka detailnya.
  4. Klik tab Izin. Di kartu Access control, klik Switch to uniform.
  5. Pilih seragam dan simpan.

Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

Allowed VPC Egress

Nama kategori di API: ALLOWED_VPC_EGRESS_ORG_POLICY

Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa layanan Cloud Run tidak mematuhi setelan traffic keluar yang ditentukan.

Paket harga: Premium

Perbaiki temuan ini :

Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur.

Untuk memperbarui resource, selesaikan langkah-langkah berikut:

  1. Buka ringkasan temuan.
  2. Periksa bagian resource yang terpengaruh, dan temukan nama lengkap resource yang melanggar kebijakan postur.
  3. Klik nama lengkap resource untuk membuka detailnya.
  4. Klik Edit & deploy new revision, lalu klik tab Networking. Ubah setelan Pemilihan rute traffic di bagian Hubungkan ke VPC untuk traffic keluar agar cocok dengan kebijakan egress yang diizinkan.
  5. Deploy resource.

Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui definisi kebijakan dalam postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

VM Manager

VM Manager adalah serangkaian alat yang dapat digunakan untuk mengelola sistem operasi untuk fleet virtual machine (VM) besar yang menjalankan Windows dan Linux di Compute Engine.

Jika Anda mengaktifkan Pengelola VM dengan Security Command Center Premium di tingkat organisasi, Pengelola VM akan menulis temuan dari laporan kerentanannya, yang dalam pratinjau, ke Security Command Center. Laporan ini mengidentifikasi kerentanan dalam sistem operasi yang diinstal di VM, termasuk Kerentanan dan Eksposur Umum (CVE).

Untuk menggunakan Pengelola VM dengan aktivasi level project Security Command Center Premium, aktifkan Security Command Center Standar di organisasi induk.

Laporan kerentanan tidak tersedia untuk Security Command Center Standar.

Temuan menyederhanakan proses penggunaan fitur Kepatuhan Patch VM Manager, yang masih dalam pratinjau. Fitur ini memungkinkan Anda melakukan pengelolaan patch di tingkat organisasi di semua project Anda.

Tingkat keparahan temuan kerentanan yang diterima dari VM Manager selalu berupa CRITICAL atau HIGH.

Temuan VM Manager

Semua kerentanan jenis ini terkait dengan paket sistem operasi yang diinstal di VM Compute Engine yang didukung.

Pendeteksi Ringkasan Setelan pemindaian aset

OS vulnerability

Nama kategori di API: OS_VULNERABILITY

Deskripsi temuan: VM Manager mendeteksi kerentanan dalam paket sistem operasi (OS) yang diinstal untuk VM Compute Engine.

Paket harga: Premium

Aset yang didukung

compute.googleapis.com/Instance

Perbaiki temuan ini

Laporan kerentanan VM Manager menjelaskan kerentanan dalam paket sistem operasi terinstal untuk VM Compute Engine, termasuk Common Vulnerabilities and Exposures (CVE).

Untuk mengetahui daftar lengkap sistem operasi yang didukung, lihat Detail sistem operasi.

Temuan akan muncul di Security Command Center segera setelah kerentanan terdeteksi. Laporan kerentanan di VM Manager dibuat sebagai berikut:

  • Saat paket diinstal atau diupdate di sistem operasi VM, Anda akan melihat informasi Common Vulnerabilities and Exposures (CVE) untuk VM di Security Command Center dalam waktu dua jam setelah perubahan.
  • Saat pemberitahuan keamanan baru dipublikasikan untuk sistem operasi, CVE yang diperbarui biasanya tersedia dalam waktu 24 jam setelah vendor sistem operasi memublikasikan pemberitahuan.

Meninjau temuan di konsol

Konsol Google Cloud

  1. Di konsol Google Cloud, buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih VM Manager. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Konsol Security Operations

  1. Di konsol Security Operations, buka halaman Temuan.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

  2. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
  3. Pilih VM Manager. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Memperbaiki temuan VM Manager

Temuan OS_VULNERABILITY menunjukkan bahwa VM Manager menemukan vulnerability dalam paket sistem operasi yang diinstal di VM Compute Engine.

Untuk memperbaiki temuan ini, lakukan hal berikut:

  1. Buka temuan OS vulnerability dan lihat definisi JSON-nya.

  2. Salin nilai kolom externalUri. Nilai ini adalah URI untuk halaman info OS instance VM Compute Engine tempat sistem operasi yang rentan diinstal.

  3. Terapkan semua patch yang sesuai untuk OS yang ditampilkan di bagian Info dasar. Untuk petunjuk tentang cara men-deploy patch, lihat Membuat tugas patch.

Pelajari aset dan setelan pemindaian yang didukung untuk jenis temuan ini.

Menonaktifkan temuan VM Manager

Anda mungkin ingin menyembunyikan beberapa atau semua temuan Pengelola VM di Security Command Center jika temuan tersebut tidak relevan dengan persyaratan keamanan Anda.

Anda dapat menyembunyikan temuan Pengelola VM dengan membuat aturan bisukan dan menambahkan atribut kueri khusus untuk temuan Pengelola VM yang ingin disembunyikan.

Untuk membuat aturan bisukan bagi Pengelola VM menggunakan konsol Google Cloud, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Temuan Security Command Center.

    Buka Temuan

  2. Jika perlu, pilih project atau organisasi Google Cloud Anda.

  3. Klik Opsi bisukan, lalu pilih Buat aturan bisukan.

  4. Masukkan ID aturan Penonaktifan. Nilai ini wajib diisi.

  5. Masukkan Deskripsi aturan bisukan yang memberikan konteks alasan penemuan dibisukan. Nilai ini bersifat opsional, tetapi direkomendasikan.

  6. Konfirmasi cakupan aturan bisukan dengan memeriksa nilai Resource induk.

  7. Di kolom Kueri temuan, buat pernyataan kueri dengan mengklik Tambahkan filter. Atau, Anda dapat mengetik pernyataan kueri secara manual.

    1. Pada dialog Select filter, pilih Finding > Source display name > VM Manager.

    2. Klik Terapkan.

    3. Ulangi hingga kueri bisukan berisi semua atribut yang ingin Anda sembunyikan.

    Misalnya, jika Anda ingin menyembunyikan ID CVE tertentu dalam temuan kerentanan VM Manager, pilih Kerentanan > ID CVE, lalu pilih ID CVE yang ingin disembunyikan.

    Kueri temuan terlihat mirip dengan berikut ini:

    Menonaktifkan temuan VM Manager

  8. Klik Pratinjau temuan yang cocok.

    Tabel menampilkan temuan yang cocok dengan kueri Anda.

  9. Klik Simpan.

Sensitive Data Protection

Bagian ini menjelaskan temuan kerentanan yang dihasilkan oleh Perlindungan Data Sensitif, standar kepatuhan yang didukungnya, dan cara memperbaiki temuan tersebut.

Sensitive Data Protection juga mengirimkan temuan pengamatan ke Security Command Center. Untuk informasi selengkapnya tentang temuan pengamatan dan Perlindungan Data Sensitif, lihat Perlindungan Data Sensitif.

Untuk informasi tentang cara melihat temuan, lihat Meninjau temuan Perlindungan Data Sensitif di konsol Google Cloud.

Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah Anda menyimpan data yang sangat sensitif yang tidak dilindungi.

Kategori Ringkasan

Public sensitive data

Nama kategori di API:

PUBLIC_SENSITIVE_DATA

Deskripsi temuan: Resource yang ditentukan memiliki data sensitivitas tinggi yang dapat diakses oleh siapa saja di internet.

Aset yang didukung:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Penyelesaian:

Untuk data Google Cloud, hapus allUsers dan allAuthenticatedUsers dari kebijakan IAM aset data.

Untuk data Amazon S3, konfigurasi setelan blokir akses publik atau perbarui ACL objek untuk menolak akses baca publik.

Standar kepatuhan: Tidak dipetakan

Secrets in environment variables

Nama kategori di API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial Google Cloud—di variabel lingkungan.

Untuk mengaktifkan detektor ini, lihat Melaporkan secret dalam variabel lingkungan ke Security Command Center dalam dokumentasi Perlindungan Data Sensitif.

Aset yang didukung:

Penyelesaian:

Untuk variabel lingkungan fungsi Cloud Run, hapus secret dari variabel lingkungan dan simpan di Secret Manager.

Untuk variabel lingkungan revisi layanan Cloud Run, pindahkan semua traffic dari revisi, lalu hapus revisi.

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Nama kategori di API:

SECRETS_IN_STORAGE

Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial cloud—di resource yang ditentukan.

Aset yang didukung:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Penyelesaian:

  1. Untuk data Google Cloud, gunakan Perlindungan Data Sensitif untuk menjalankan pemindaian pemeriksaan mendalam pada resource yang ditentukan guna mengidentifikasi semua resource yang terpengaruh. Untuk data Cloud SQL, ekspor data tersebut ke file CSV atau AVRO di bucket Cloud Storage dan jalankan pemindaian pemeriksaan mendalam pada bucket.

    Untuk data Amazon S3, periksa bucket yang ditentukan secara manual.

  2. Hapus secret yang terdeteksi.
  3. Pertimbangkan untuk mereset kredensial.
  4. Untuk data Google Cloud, sebaiknya simpan secret yang terdeteksi di Secret Manager.

Standar kepatuhan: Tidak dipetakan

Pengontrol Kebijakan

Pengontrol Kebijakan memungkinkan penerapan dan penegakan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda yang terdaftar sebagai langganan fleet. Kebijakan ini berfungsi sebagai pembatasan dan dapat membantu pengelolaan praktik terbaik, keamanan, dan kepatuhan cluster dan fleet Anda.

Halaman ini tidak mencantumkan semua temuan Pengontrol Kebijakan, tetapi informasi tentang temuan class Misconfiguration yang ditulis Pengontrol Kebijakan ke Security Command Center sama dengan pelanggaran cluster yang didokumentasikan untuk setiap paket Pengontrol Kebijakan. Dokumentasi untuk setiap jenis temuan Pengontrol Kebijakan ada dalam paket Pengontrol Kebijakan berikut:

Kemampuan ini tidak kompatibel dengan perimeter layanan Kontrol Layanan VPC di sekitar Stackdriver API.

Menemukan dan memperbaiki temuan Pengontrol Kebijakan

Kategori Pengontrol Kebijakan sesuai dengan nama batasan yang tercantum dalam dokumentasi paket Pengontrol Kebijakan. Misalnya, penemuan require-namespace-network-policies menunjukkan bahwa namespace melanggar kebijakan bahwa setiap namespace dalam cluster memiliki NetworkPolicy.

Untuk memperbaiki temuan, lakukan tindakan berikut:

Konsol Google Cloud

  1. Di konsol Google Cloud, buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih Policy Controller On-Cluster. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Konsol Security Operations

  1. Di konsol Security Operations, buka halaman Temuan.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

  2. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
  3. Pilih Policy Controller On-Cluster. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Langkah selanjutnya