Die Detektoren Rapid Vulnerability Detection, Security Health Analytics und Web Security Scanner generieren Ergebnisse zu Sicherheitslücken, die in Security Command Center verfügbar sind. Wenn sie in Security Command Center aktiviert sind, generieren integrierte Dienste wie VM Manager ebenfalls Ergebnisse zu Sicherheitslücken.
Die Fähigkeit, Ergebnisse anzusehen und zu bearbeiten, hängt von den IAM-Rollen und -Berechtigungen (Identity and Access Management) ab, die Ihnen zugewiesen sind. Weitere Informationen zu IAM-Rollen in Security Command Center finden Sie unter Zugriffssteuerung.
Detektoren und Compliance
Security Command Center überwacht Ihre Compliance mit Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards entsprechen.
Für jeden unterstützten Sicherheitsstandard prüft Security Command Center einen Teil der Kontrollen. Für die geprüften Steuerelemente wird in Security Command Center angezeigt, wie viele bestanden werden. Für die nicht bestandenen Steuerelemente zeigt Ihnen Security Command Center eine Liste der Ergebnisse an, die die Steuerungsfehler beschreiben.
CIS prüft und zertifiziert die Zuordnungen von Security Command Center-Detektoren zu jeder unterstützten Version der CIS Google Cloud Foundations Benchmark. Zusätzliche Compliancezuordnungen sind nur zu Referenzzwecken enthalten.
Security Command Center unterstützt regelmäßig neue Benchmarkversionen und -standards. Ältere Versionen werden weiterhin unterstützt, werden aber irgendwann verworfen. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten verfügbaren Standard zu verwenden.
Mit dem Dienst für den Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie einen Sicherheitsstatus erstellt haben, können Sie alle Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.
Weitere Informationen zum Verwalten von Compliance finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.
In Google Cloud unterstützte Sicherheitsstandards
Security Command Center ordnet Detektoren für Google Cloud einem oder mehreren der folgenden Compliancestandards zu:
- CIS-Kontrollen (Center for Information Security Controls) 8.0
- CIS Google Cloud Computing Foundations Benchmark (Version 2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0)
- CIS Kubernetes Benchmark Version 1.5.1
- Cloud Controls Matrix (CCM) 4
- Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- Internationale Organisation für Normung (ISO) 27001, 2022 und 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 und R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 und 2017
- Payment Card Industry Data Security Standard (PCI-DSS) 4.0 und 3.2.1
- System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)
Von AWS unterstützte Sicherheitsstandards
Security Command Center ordnet Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zu:
- CIS Amazon Web Services Foundations 2.0.0
- CIS-Steuerungen 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 und 3.2.1
- SOC 2 2017 TSC
Eine Anleitung zum Aufrufen und Exportieren von Complianceberichten finden Sie im Abschnitt Compliance unter Security Command Center in der Google Cloud Console verwenden.
Deaktivierung nach Korrektur ermitteln
Nachdem Sie eine Sicherheitslücke oder ein Fehlkonfigurationsergebnis behoben haben, setzt der Security Command Center-Dienst, der das Ergebnis erkannt hat, den Status des Ergebnisses automatisch auf INACTIVE, wenn der Erkennungsdienst das nächste Mal danach sucht. Wie lange Security Command Center benötigt, um ein korrigiertes Ergebnis auf INACTIVE zu setzen, hängt vom Zeitplan des Scans ab, der das Ergebnis erkennt.
Die Security Command Center-Dienste setzen außerdem den Status eines Sicherheitslücken- oder Fehlkonfigurationsergebnisses auf INACTIVE, wenn ein Scan feststellt, dass die vom Ergebnis betroffene Ressource gelöscht wurde.
Weitere Informationen zu Scanintervallen finden Sie unter den folgenden Themen:
- Security Health Analytics-Scantypen
- Latenz und Intervall von Scans von Rapid Vulnerability Detection
- Web Security Scanner-Scantypen
Ergebnisse von Security Health Analytics
Detektoren von Security Health Analytics überwachen einen Teil der Ressourcen aus Cloud Asset Inventory (CAI), wobei sie Benachrichtigungen über Ressourcenänderungen und Richtlinienänderungen der Identitäts- und Zugriffsverwaltung (IAM) erhalten. Einige Detektoren rufen Daten ab, indem sie Google Cloud APIs direkt aufrufen, wie in Tabellen weiter unten auf dieser Seite angegeben.
Weitere Informationen zu Security Health Analytics, Scanzeitplänen und zur Unterstützung von Security Health Analytics für integrierte und benutzerdefinierte Moduldetektoren finden Sie in der Übersicht über Security Health Analytics.
In den folgenden Tabellen werden die Detektoren von Security Health Analytics, die unterstützten Assets und Compliance-Standards, die für Scans verwendeten Einstellungen und die generierten Ergebnistypen beschrieben. Auf der Security Command Center-Seite Sicherheitslücken in der Google Cloud Console können Sie die Ergebnisse nach verschiedenen Attributen filtern.
Eine Anleitung zum Beheben von Problemen und zum Schutz Ihrer Ressourcen finden Sie unter Behebung von Security Health Analytics-Ergebnissen.
Ergebnisse zu Sicherheitslücken beim API-Schlüssel
Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
API key APIs unrestricted
Kategoriename in der API: |
Ergebnisbeschreibung: API-Schlüssel werden zu häufig verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Ruft das Attribut
|
API key apps unrestricted
Kategoriename in der API: |
Ergebnisbeschreibung: API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Ruft des Attribut
|
API key exists
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Ruft alle API-Schlüssel ab, die zu einem Projekt gehören.
|
API key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Ruft den im Attribut
|
Ergebnisse zu Sicherheitslücken in Cloud Asset Inventory
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Asset Inventory-Konfigurationen und gehören zum Typ CLOUD_ASSET_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Cloud Asset API disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Erfassen von Google Cloud-Ressourcen und IAM-Richtlinien durch Cloud Asset Inventory ermöglicht Sicherheitsanalysen, das Tracking von Ressourcenänderungen und die Complianceprüfung. Wir empfehlen, den Cloud Asset Inventory-Dienst für alle Projekte zu aktivieren. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob der Cloud Asset Inventory-Dienst aktiviert ist.
|
Ergebnisse zu Sicherheitslücken bei Compute-Images
Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Public Compute image
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Compute Engine-Image ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.
COMPUTE_INSTANCE_SCANNER-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Der Name solcher Instanzen beginnt mit "gke-" und kann von Nutzern nicht bearbeitet werden. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Confidential Computing disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Confidential Computing ist auf Compute Engine-Instanzen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Compute project wide SSH keys allowed
Kategoriename in der API: |
Ergebnisbeschreibung: Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Objekt
|
Compute Secure Boot disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen. Preisstufe: Premium Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft das Attribut
|
Compute serial ports enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Serielle Ports sind für eine Instanz aktiviert und ermöglichen Verbindungen zur seriellen Konsole der Instanz. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Objekt
|
Default service account used
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Disk CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft das Feld
|
Disk CSEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Sonderfalldetektor. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Feld
|
Full API access
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Ruft das Feld
|
HTTP load balancer
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Bestimmt, ob das Attribut
|
IP forwarding enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die IP-Weiterleitung ist für Instanzen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
OS login disabled
Kategoriename in der API: |
Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Objekt
|
Public IP address
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz hat eine öffentliche IP-Adresse. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Shielded VM disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Auf dieser Instanz ist Shielded VM deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Weak SSL policy
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz hat eine schwache SSL-Richtlinie. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob
|
Ergebnisse zu Container-Sicherheitslücken
Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Alpha cluster enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Alphacluster-Features sind für einen GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Überprüft, ob das Attribut
|
Auto repair disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das automatische Reparaturfeature eines GKE-Clusters, das Knoten in einem fehlerfreien, laufenden Zustand hält, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Auto upgrade disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Feature für automatische Upgrades eines GKE-Clusters, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Binary authorization disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Binärautorisierung ist entweder im GKE-Cluster deaktiviert oder die Richtlinie zur Binärautorisierung ist so konfiguriert, dass alle Images bereitgestellt werden können. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Überprüft Folgendes:
|
Cluster logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Logging ist für einen GKE-Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Cluster monitoring disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Monitoring ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Cluster private Google access disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Clusterhosts sind nicht so konfiguriert, dass nur private interne IP-Adressen für den Zugriff auf Google APIs verwendet werden. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Cluster secrets encryption disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Cluster shielded nodes disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Shielded GKE-Knoten sind für einen Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
COS not used
Kategoriename in der API: |
Ergebnisbeschreibung: Compute Engine-VMs nutzen nicht Container-Optimzed OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Integrity monitoring disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Integritätsmonitoring ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Intranode visibility disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
IP alias disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Legacy authorization enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Legacy-Autorisierung ist in GKE-Clustern aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Legacy metadata enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Legacy-Metadaten sind für GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Master authorized networks disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Autorisierte Control Plane Authorized Networks ist in GKE-Clustern nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Network policy disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Netzwerkrichtlinie ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Feld
|
Nodepool boot CMEK disabled
Kategoriename in der API: |
Beschreibung: Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft das Attribut
|
Nodepool secure boot disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Secure Boot ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Over privileged account
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkonto hat in einem Cluster übermäßig Zugriff auf das Projekt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Wertet das Attribut
|
Over privileged scopes
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Knotendienstkonto hat große Zugriffsbereiche. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob der im Attribut config.oauthScopes eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich des Dienstkontos ist: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write oder https://www.googleapis.com/auth/monitoring.
|
Pod security policy disabled
Kategoriename in der API: |
Ergebnisbeschreibung: PodSecurityPolicy ist in einem GKE-Cluster deaktiviert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Private cluster disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen GKE-Cluster ist ein privater Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Release channel disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein GKE-Cluster ist nicht auf eine Release-Version abonniert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Web UI enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die GKE-Web-UI (Dashboard) ist aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft das Feld
|
Workload Identity disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Workload Identity ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Dataproc-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Dataproc und gehören zum Detektortyp DATAPROC_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Dataproc CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dataproc-Cluster wurde ohne CMEK für die Verschlüsselungskonfiguration erstellt. Mit CMEK werden die Schlüssel, die Sie in Cloud Key Management Service erstellen und verwalten, verpacken, mit denen Google Cloud Ihre Daten verschlüsselt. So haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Dataproc image outdated
Kategoriename in der API: |
Ergebnis-Beschreibung: Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228 und CVE-2021-45046). Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft, ob das Feld
|
Ergebnisse zu Dataset-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
BigQuery table CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Dataset CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein BigQuery-Dataset ist nicht für die Verwendung eines standardmäßigen CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Public dataset
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dataset ist für den öffentlichen Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu DNS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
DNSSEC disabled
Kategoriename in der API: |
Ergebnisbeschreibung: DNSSEC ist für Cloud DNS-Zonen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
RSASHA1 for signing
Kategoriename in der API: |
Ergebnisbeschreibung: RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Objekt
|
Ergebnisse zu Firewall-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Egress deny rule not set
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Firewall wurde keine Regel für ausgehenden Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Firewall rule logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Logging von Firewallregeln ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open Cassandra port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CASSANDRA-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open ciscosecure websm port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open directory services port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DIRECTORY_SERVICE-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open DNS port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DNS-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open elasticsearch port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ELASTICSEARCH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open firewall
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie öffentlich zugänglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft die Attribute
|
Open FTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen FTP-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open HTTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open LDAP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open Memcached port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open MongoDB port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open MySQL port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen MySQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open NetBIOS port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open OracleDB port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open pop3 port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open PostgreSQL port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open RDP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
Open Redis port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Open SMTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Open SSH port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Open Telnet port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu IAM-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Access Transparency disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Google Cloud Access Transparency ist für Ihre Organisation deaktiviert. Access Transparency-Logs, wenn Google Cloud-Mitarbeiter auf die Projekte in Ihrer Organisation zugreifen, um Support zu leisten. Aktivieren Sie Access Transparency, um zu protokollieren, wer von Google Cloud wann und warum auf Ihre Informationen zugreift. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Überprüft, ob Access Transparency in Ihrer Organisation aktiviert ist.
|
Admin service account
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkonto hat die Berechtigung Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle vom Nutzer erstellten Dienstkonten (angezeigt durch das Präfix iam.gserviceaccount.com), denen
|
Essential Contacts Not Configured
Kategoriename in der API: |
Ergebnisbeschreibung: Ihre Organisation hat keine Person oder Gruppe festgelegt, die Benachrichtigungen von Google Cloud über wichtige Ereignisse wie Angriffe, Sicherheitslücken und Datenvorfälle in Ihrer Google Cloud-Organisation erhalten soll. Wir empfehlen, eine oder mehrere Personen oder Gruppen in Ihrer Unternehmensorganisation als wichtigen Kontakt anzugeben. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Überprüft, ob ein Kontakt für die folgenden wichtigen Kontaktkategorien angegeben wurde:
|
KMS role separation
Kategoriename in der API: |
Ergebnisbeschreibung: Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) hat: CryptoKey-Verschlüsseler/Entschlüsseler, Entschlüsseler oder Verschlüsseler. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft IAM-Zulassungsrichtlinien in Ressourcenmetadaten und ruft Hauptkonten ab, denen gleichzeitig eine der folgenden Rollen zugewiesen ist: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter und roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
|
Non org IAM member
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 lösen derzeit nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Vergleicht @gmail.com-E-Mail-Adressen im Feld
|
Open group IAM member
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft die IAM-Richtlinie in Ressourcenmetadaten auf alle Bindungen, die ein Mitglied (Hauptkonto) mit dem Präfix group enthalten. Wenn die Gruppe eine offene Gruppe ist, generiert Security Health Analytics dieses Ergebnis.
|
Over privileged service account user
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene, statt für ein bestimmtes Dienstkonto. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf alle Hauptkonten, denen roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator auf Projektebene zugewiesen ist.
|
Primitive roles used
Kategoriename in der API: |
Ergebnisbeschreibung:Ein Nutzer hat eine der folgenden einfachen Rollen:
Diese Rollen sind zu freizügig und sollten nicht verwendet werden. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten für alle Hauptkonten, denen die Rolle
|
Redis role used on org
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets
Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf Hauptkonten, denen
|
Service account role separation
Kategoriename in der API: |
Ergebnisbeschreibung: Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung". Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen sowohl roles/iam.serviceAccountUser als auch roles/iam.serviceAccountAdmin zugewiesen ist.
|
Service account key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Wertet den Zeitstempel der Schlüsselerstellung aus, der im Attribut
|
User managed service account key
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer verwaltet einen Dienstkontoschlüssel. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu KMS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
KMS key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Verschlüsselungsschlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft Ressourcenmetadaten auf das Vorhandensein von
|
KMS project has owner
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in Projektmetadaten auf Hauptkonten, die
|
KMS public key
Kategoriename in der API: |
Ergebnisbeschreibung: Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Too many KMS users
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft IAM-Zulassungsrichtlinien für Schlüsselbunde, Projekte und Organisationen und ruft Hauptkonten mit Rollen ab, die das Verschlüsseln, Entschlüsseln oder Signieren von Daten mit Cloud KMS-Schlüsseln ermöglichen: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer und roles/cloudkms.signerVerifier.
|
Ergebnisse zu Logging-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Audit logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Audit-Logging wurde für diese Ressource deaktiviert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf das Vorhandensein eines
|
Bucket logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt einen Storage-Bucket ohne aktiviertes Logging. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Locked retention policy not set
Kategoriename in der API: |
Ergebnisbeschreibung: Für Logs ist keine gesperrte Aufbewahrungsrichtlinie festgelegt. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Log not exported
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Ressource ist keine geeignete Logsenke konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets
Compliance-Standards:
|
Ruft ein
|
Object versioning disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
Ergebnisse zu Monitoring-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:
-
Der
RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll. -
Die
QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken. -
Die
AlertPolicyFailureReasons, die anzeigen, ob im Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Audit config not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Audit-Konfigurationsänderungen konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Bucket IAM not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen der Cloud Storage-IAM-Berechtigungen konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Custom role not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen benutzerdefinierter Rollen konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Firewall not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an VPC-Netzwerk-Firewallregeln konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Network not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Owner not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Route not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
SQL instance not monitored
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud SQL-Instanzen konfiguriert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Ergebnisse zur Multi-Faktor-Authentifizierung
Der MFA_SCANNER-Detektor erkennt Sicherheitslücken bei der Multi-Faktor-Authentifizierung für Nutzer.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
MFA not enforced
Kategoriename in der API: |
Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. Mit Google Workspace können Sie für neue Nutzer einen Kulanzzeitraum festlegen, in dem sie sich für die Bestätigung in zwei Schritten anmelden müssen. Dieser Detektor erstellt während des Kulanzzeitraums für die Registrierung Ergebnisse für Nutzer. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Wertet Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity aus.
|
Ergebnisse zu Netzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Default network
Kategoriename in der API: |
Ergebnisbeschreibung: Das Standardnetzwerk ist in einem Projekt vorhanden. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
DNS logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft alle
|
Legacy network
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Legacy-Netzwerk ist in einem Projekt vorhanden. Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs
|
Load balancer logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Logging ist für den Load-Balancer deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Sicherheitslücken in Organisationsrichtlinien
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Org policy Confidential VM policy
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien in Confidential VM durchsetzen.
Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft, ob das Attribut
|
Org policy location restriction
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Einschränkung constraints/gcp.resourceLocations. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien durchsetzen.
Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft das Attribut
|
|
Unterstützte Assets für ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Da Cloud KMS-Assets nicht gelöscht werden können, gilt das Asset nicht als außerhalb der Region, wenn die Daten des Assets zerstört wurden. 2 Da Cloud KMS-Importjobs einen gesteuerten Lebenszyklus haben und nicht vorzeitig beendet werden können, gilt ein ImportJob nicht als außerhalb der Region, wenn er abgelaufen ist und nicht mehr verwendet werden kann, um Schlüssel zu importieren. 3 Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, gilt ein Job nicht als außerhalb der Region, wenn er einen Endstatus (beendet oder per Drain beendet) erreicht hat, in dem er nicht mehr zur Verarbeitung von Daten verwendet werden kann. |
||
Pub/Sub-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Pub/Sub-Konfigurationen und gehören zum Typ PUBSUB_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Pubsub CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft das Feld
|
Ergebnisse zu SQL-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
AlloyDB auto backup disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen AlloyDB for PostgreSQL-Cluster sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
AlloyDB log min error statement severity
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Damit die Nachrichtentypen in den Logs angemessen erfasst werden, wird ein Ergebnis ausgegeben, wenn das Feld
|
AlloyDB log min messages
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Damit die Nachrichtentypen in den Logs angemessen abgedeckt sind, wird ein Ergebnis ausgegeben, wenn das Feld
|
AlloyDB log error verbosity
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Damit die Nachrichtentypen in den Logs angemessen erfasst werden, wird ein Ergebnis ausgegeben, wenn das Feld
|
Auto backup disabled
Kategoriename in der API: |
Ergebnisbeschreibung: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Public SQL instance
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft, ob für das Attribut
|
SSL not enforced
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Cloud SQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Überprüft, ob für das Attribut
|
SQL CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Eine SQL-Datenbankinstanz wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft das Feld
|
SQL contained database authentication
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL cross DB ownership chaining
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL external scripts enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL local infile
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log checkpoints disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log connections disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log disconnections disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log duration disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log error verbosity
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log lock waits disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log min duration statement enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL log min error statement
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Feld
|
SQL log min error statement severity
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log min messages
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Damit die Nachrichtentypen in den Logs angemessen abgedeckt sind, wird ein Ergebnis ausgegeben, wenn das Feld
|
SQL log executor stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log hostname enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log parser stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log planner stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log statement
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log statement stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das
|
SQL log temp files
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL no root password
Kategoriename in der API: |
Ergebnisbeschreibung:Bei einer Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse ist für das Root-Konto kein Passwort konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
SQL public IP
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob der IP-Adresstyp einer Cloud SQL-Datenbank auf
|
SQL remote access enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL skip show database disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL trace flag 3625
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL user connections configured
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL user options configured
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft das Attribut
|
SQL weak root password
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse hat auch ein schwaches Passwort, das für das Root-Konto konfiguriert ist. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Vergleicht das Passwort für das Root-Konto der Cloud SQL-Datenbank mit einer Liste gängiger Passwörter.
|
Ergebnisse zu Speichersicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Bucket CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft das Feld
|
Bucket policy only disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Der einheitliche Zugriff auf Bucket-Ebene, zuvor "Nur Bucket-Richtlinie" genannt, ist nicht konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Public bucket ACL
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Cloud Storage-Bucket ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets auf die öffentlichen Rollen
|
Public log bucket
Kategoriename in der API: |
Ergebnisbeschreibung: Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance-Standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets für die Hauptkonten
|
Ergebnisse zu Subnetzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
Flow logs disabled
Kategoriename in der API: |
Ergebnisbeschreibung: In einem VPC-Subnetzwerk sind Flusslogs deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
Flow logs settings not recommended
Kategoriename in der API: |
Ergebnisbeschreibung: Bei einem VPC-Subnetzwerk sind VPC-Flusslogs entweder deaktiviert oder nicht gemäß den Empfehlungen von CIS Benchmark 1.3 konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Überprüft, ob das Attribut
|
Private Google access disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs. Preisstufe: Premium
Unterstützte Assets Compliance-Standards:
|
Prüft, ob das Attribut
|
AWS-Ergebnisse
| Detektor | Zusammenfassung | Asset-Scaneinstellungen |
|---|---|---|
AWS Cloud Shell Full Access Restricted
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudShell ist eine bequeme Möglichkeit, Befehlszeilenbefehle für AWS-Dienste auszuführen. Eine verwaltete IAM-Richtlinie („AWSCloudShellFullAccess“) bietet vollen Zugriff auf CloudShell und ermöglicht das Hochladen und Herunterladen von Dateien zwischen dem lokalen System eines Nutzers und der CloudShell-Umgebung. Innerhalb der Cloud Shell-Umgebung hat ein Nutzer Sudo-Berechtigungen und kann auf das Internet zugreifen. Es ist also möglich, Dateiübertragungssoftware (z. B.) zu installieren und Daten von CloudShell auf externe Internetserver zu übertragen. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass der Zugriff auf AWSCloudShellFullAccess eingeschränkt ist
|
Access Keys Rotated Every 90 Days or Less
Kategoriename in der API: |
Ergebnisbeschreibung: Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, mit denen programmatische Anfragen an AWS signiert werden. AWS-Nutzer benötigen eigene Zugriffsschlüssel, um programmatische Aufrufe an AWS über die AWS Command Line Interface (AWS-Befehlszeile), Tools for Windows PowerShell, die AWS SDKs oder direkte HTTP-Aufrufe mit den APIs für einzelne AWS-Dienste zu senden. Es wird empfohlen, alle Zugriffsschlüssel regelmäßig zu rotieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass Zugriffsschlüssel mindestens alle 90 Tage rotiert werden
|
All Expired Ssl Tls Certificates Stored Aws Iam Removed
Kategoriename in der API: |
Ergebnisbeschreibung: Zum Aktivieren von HTTPS-Verbindungen zu Ihrer Website oder Anwendung in AWS benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können ACM oder IAM verwenden, um Serverzertifikate zu speichern und bereitzustellen. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass alle abgelaufenen SSL-/TLS-Zertifikate entfernt werden, die in AWS IAM gespeichert sind
|
Autoscaling Group Elb Healthcheck Required
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob Ihre Autoscaling-Gruppen, die mit einem Load-Balancer verknüpft sind, Elastic Load Balancing-Systemdiagnosen verwenden. Dadurch wird sichergestellt, dass die Gruppe den Zustand einer Instanz anhand zusätzlicher Tests bestimmen kann, die vom Load-Balancer bereitgestellt werden. Systemdiagnosen für Elastic Load Balancing können die Verfügbarkeit von Anwendungen unterstützen, die EC2-Autoscaling-Gruppen verwenden. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob alle mit einem Load Balancer verknüpften Autoscaling-Gruppen Systemdiagnosen verwenden
|
Auto Minor Version Upgrade Feature Enabled Rds Instances
Kategoriename in der API: |
Ergebnisbeschreibung: Achten Sie darauf, dass bei RDS-Datenbankinstanzen das Flag „Automatisches Upgrade von Nebenversionen“ aktiviert ist, um während des angegebenen Wartungsfensters automatisch Nebenversionsupgrades zu erhalten. So können RDS-Instanzen die neuen Funktionen, Fehlerkorrekturen und Sicherheitspatches für ihre Datenbankmodule erhalten. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass das automatische Upgrade von Nebenversionen für RDS-Instanzen aktiviert ist
|
Aws Config Enabled All Regions
Kategoriename in der API: |
Ergebnisbeschreibung: AWS Config ist ein Webdienst, der die Konfigurationsverwaltung unterstützter AWS-Ressourcen in Ihrem Konto ausführt und Ihnen Logdateien bereitstellt. Zu den aufgezeichneten Informationen gehören das Konfigurationselement (AWS-Ressource), Beziehungen zwischen Konfigurationselementen (AWS-Ressourcen) sowie Konfigurationsänderungen zwischen Ressourcen. Es wird empfohlen, AWS Config in allen Regionen zu aktivieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass AWS Config in allen Regionen aktiviert ist
|
Aws Security Hub Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Der Sicherheits-Hub erfasst Sicherheitsdaten aus AWS-Konten, -Diensten und unterstützten Drittanbieterprodukten und hilft Ihnen dabei, Sicherheitstrends zu analysieren und die wichtigsten Sicherheitsprobleme zu identifizieren. Wenn Sie Security Hub aktivieren, beginnt er damit, Ergebnisse von AWS-Diensten, die Sie aktiviert haben, wie Amazon GuardDuty, Amazon Inspector und Amazon Macie, zu verarbeiten, zu aggregieren, zu organisieren und zu priorisieren. Sie können auch Integrationen mit Sicherheitsprodukten von AWS-Partnern aktivieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass AWS Security Hub aktiviert ist
|
Cloudtrail Logs Encrypted Rest Using Kms Cmks
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe für ein Konto aufzeichnet und diese Protokolle für Nutzer und Ressourcen gemäß den IAM-Richtlinien zur Verfügung stellt. Der AWS Key Management Service (KMS) ist ein verwalteter Dienst, mit dem Sie Verschlüsselungsschlüssel erstellen und steuern können, die zum Verschlüsseln von Kontodaten verwendet werden. Außerdem werden Hardwaresicherheitsmodule (HSMs) eingesetzt, um die Sicherheit der Verschlüsselungsschlüssel zu schützen. CloudTrail-Logs können so konfiguriert werden, dass sie die serverseitige Verschlüsselung (SSE) und vom Kunden erstellte KMS-Masterschlüssel (Customer-Created Master Key, CMK) nutzen, um CloudTrail-Logs besser zu schützen. Es wird empfohlen, CloudTrail für die Verwendung von SSE-KMS zu konfigurieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass CloudTrail-Logs im Ruhezustand mit KMS-CMKs verschlüsselt werden
|
Cloudtrail Log File Validation Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Bei der Validierung der CloudTrail-Logdatei wird eine digital signierte Digestdatei erstellt, die einen Hash jedes Logs enthält, den CloudTrail in S3 schreibt. Anhand dieser Digestdateien kann ermittelt werden, ob eine Logdatei nach der Bereitstellung des Logs durch CloudTrail geändert, gelöscht oder unverändert wurde. Es wird empfohlen, die Dateivalidierung auf allen CloudTrails zu aktivieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Validierung der CloudTrail-Logdatei aktiviert ist
|
Cloudtrail Trails Integrated Cloudwatch Logs
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe in einem bestimmten AWS-Konto aufzeichnet. Zu den aufgezeichneten Informationen gehören die Identität des API-Aufrufers, der Zeitpunkt des API-Aufrufs, die Quell-IP-Adresse des API-Aufrufers, die Anfrageparameter und die vom AWS-Dienst zurückgegebenen Antwortelemente. CloudTrail verwendet Amazon S3 zum Speichern und Bereitstellen von Protokolldateien, sodass Protokolldateien dauerhaft gespeichert werden. Zusätzlich zum Erfassen von CloudTrail-Logs in einem bestimmten S3-Bucket zur langfristigen Analyse kann eine Echtzeitanalyse durchgeführt werden, indem CloudTrail so konfiguriert wird, dass Logs an CloudWatch-Logs gesendet werden. Bei einem Pfad, der in allen Regionen eines Kontos aktiviert ist, sendet CloudTrail Logdateien aus allen diesen Regionen an eine CloudWatch Logs-Loggruppe. Es wird empfohlen, CloudTrail-Logs an CloudWatch-Logs zu senden. Hinweis: Mit dieser Empfehlung soll sichergestellt werden, dass AWS-Kontoaktivitäten erfasst, überwacht und entsprechend gemeldet werden. CloudWatch Logs ist eine native Möglichkeit, dies mithilfe von AWS-Diensten zu erreichen, schließt jedoch die Verwendung einer alternativen Lösung nicht aus. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass CloudTrail-Pfade in CloudWatch-Logs eingebunden sind
|
Cloudwatch Alarm Action Check
Kategoriename in der API: |
Ergebnisbeschreibung: Hiermit wird geprüft, ob in Amazon Cloudwatch Aktionen definiert sind, wenn ein Alarm zwischen den Status „OK“, „ALARM“ und „INSUFFICIENT_DATA“ wechselt. Das Konfigurieren von Aktionen für den ALARM-Status in Amazon CloudWatch-Alarmen ist sehr wichtig, um bei überwachten Schwellenwerten für Verstöße bei überwachten Messwerten eine sofortige Reaktion auszulösen. Für Wecker gibt es mindestens eine Aktion. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob für CloudWatch-Alarme mindestens eine Alarmaktion, eine INSUFFICIENT_DATA-Aktion oder eine OK-Aktion aktiviert ist.
|
Cloudwatch Log Group Encrypted
Kategoriename in der API: |
Ergebnisbeschreibung: Durch diese Prüfung wird sichergestellt, dass CloudWatch-Logs mit KMS konfiguriert sind. Loggruppendaten werden in CloudWatch Logs immer verschlüsselt. Standardmäßig verwendet CloudWatch Logs die serverseitige Verschlüsselung für die inaktiven Logdaten. Alternativ können Sie für diese Verschlüsselung den AWS Key Management Service verwenden. In diesem Fall erfolgt die Verschlüsselung mit einem AWS KMS-Schlüssel. Die Verschlüsselung mit AWS KMS wird auf Loggruppenebene aktiviert. Dazu wird entweder beim Erstellen der Loggruppe oder danach ein KMS-Schlüssel mit einer Loggruppe verknüpft. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle Loggruppen in Amazon CloudWatch-Logs mit KMS verschlüsselt sind
|
CloudTrail CloudWatch Logs Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dieses Steuerelement prüft, ob CloudTrail-Pfade zum Senden von Logs an CloudWatch-Logs konfiguriert sind. Das Steuerelement schlägt fehl, wenn das Attribut „CloudWatchLogsLogGroupArn“ des Pfads leer ist. CloudTrail zeichnet AWS API-Aufrufe auf, die in einem bestimmten Konto ausgeführt werden. Folgende Daten werden aufgezeichnet:
CloudTrail verwendet Amazon S3 zum Speichern und Bereitstellen von Logdateien. Sie können CloudTrail-Logs zur Langzeitanalyse in einem bestimmten S3-Bucket erfassen. Für eine Echtzeitanalyse können Sie CloudTrail so konfigurieren, dass Logs an CloudWatch Logs gesendet werden. Bei einem Pfad, der in allen Regionen eines Kontos aktiviert ist, sendet CloudTrail Logdateien aus allen diesen Regionen an eine CloudWatch-Log-Loggruppe. Der Sicherheits-Hub empfiehlt, CloudTrail-Logs an CloudWatch-Logs zu senden. Mit dieser Empfehlung soll sichergestellt werden, dass Kontoaktivitäten erfasst, überwacht und entsprechend gemeldet werden. Sie können CloudWatch Logs verwenden, um dies mit Ihren AWS-Diensten einzurichten. Diese Empfehlung schließt die Verwendung einer anderen Lösung nicht aus. Das Senden von CloudTrail-Logs an CloudWatch Logs erleichtert das Logging von Aktivitäten in Echtzeit und den Verlauf basierend auf Nutzer, API, Ressource und IP-Adresse. So lassen sich Alarme und Benachrichtigungen bei ungewöhnlichen oder sensiblen Kontoaktivitäten einrichten. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob alle CloudTrail-Pfade für das Senden von Logs an AWS CloudWatch konfiguriert sind
|
No AWS Credentials in CodeBuild Project Environment Variables
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob das Projekt die Umgebungsvariablen Die Authentifizierungsdaten Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob alle Projekte, die die Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY enthalten, nicht im Klartext vorliegen
|
Codebuild Project Source Repo Url Check
Kategoriename in der API: |
Ergebnisbeschreibung: Hiermit wird geprüft, ob die Bitbucket-Quell-Repository-URL eines AWS CodeBuild-Projekts persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Die Steuerung schlägt fehl, wenn die URL des Bitbucket-Quell-Repositorys persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Anmeldedaten sollten nicht im Klartext gespeichert oder übertragen und nicht in der URL des Quell-Repositorys auftauchen. Anstelle von persönlichen Zugriffstokens oder Anmeldedaten sollten Sie in CodeBuild auf Ihren Quellanbieter zugreifen und die Quell-Repository-URL so ändern, dass sie nur den Pfad zum Speicherort des Bitbucket-Repositorys enthält. Die Verwendung persönlicher Zugriffstokens oder Anmeldedaten kann zu unbeabsichtigten Datenlecks oder zu unbefugtem Zugriff führen. Preisstufe: Enterprise Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft, ob alle Projekte, die GitHub oder Bitbucket als Quelle nutzen, OAuth verwenden
|
Credentials Unused 45 Days Greater Disabled
Kategoriename in der API: |
Ergebnisbeschreibung: AWS IAM-Nutzer können mit verschiedenen Arten von Anmeldedaten auf AWS-Ressourcen zugreifen, z. B. mit Passwörtern oder Zugriffsschlüsseln. Es wird empfohlen, alle Anmeldedaten zu deaktivieren oder zu entfernen, die in mindestens 45 Tagen nicht verwendet wurden. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass Anmeldedaten, die seit mindestens 45 Tagen nicht verwendet wurden, deaktiviert werden
|
Default Security Group Vpc Restricts All Traffic
Kategoriename in der API: |
Ergebnisbeschreibung: Eine VPC ist mit einer Standardsicherheitsgruppe versehen, deren Anfangseinstellungen den gesamten eingehenden Traffic ablehnen, den gesamten ausgehenden Traffic zulassen und den gesamten Traffic zwischen Instanzen zulassen, die der Sicherheitsgruppe zugewiesen sind. Wenn Sie beim Starten einer Instanz keine Sicherheitsgruppe angeben, wird die Instanz automatisch dieser Standardsicherheitsgruppe zugewiesen. Sicherheitsgruppen bieten zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, den gesamten Traffic durch die Standardsicherheitsgruppe einzuschränken. Die Standard-Sicherheitsgruppe der Standard-VPC in jeder Region sollte entsprechend aktualisiert werden. Alle neu erstellten VPCs enthalten automatisch eine Standardsicherheitsgruppe, die korrigiert werden muss, um dieser Empfehlung nachzukommen. HINWEIS:Bei der Implementierung dieser Empfehlung ist VPC-Fluss-Logging von unschätzbarem Wert, um den Portzugriff mit den geringsten Berechtigungen zu bestimmen, der von Systemen ordnungsgemäß funktioniert, da damit alle Paketannahmen und -ablehnungen unter den aktuellen Sicherheitsgruppen protokolliert werden können. Dies reduziert die primäre Hürde für das Engineering mit den geringsten Berechtigungen erheblich: Es werden nur die Ports ermittelt, die für Systeme in der Umgebung mindestens erforderlich sind. Auch wenn die Empfehlung für das VPC-Fluss-Logging in dieser Benchmark nicht als dauerhafte Sicherheitsmaßnahme übernommen wird, sollte sie in jedem Erkennungs- und Entwicklungszeitraum für Sicherheitsgruppen mit den geringsten Privilegien verwendet werden. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt
|
Dms Replication Not Public
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob AWS DMS-Replikationsinstanzen öffentlich sind. Dazu prüft sie den Wert des Feldes Eine private Replikationsinstanz hat eine private IP-Adresse, auf die Sie außerhalb des Replikationsnetzwerks nicht zugreifen können. Eine Replikationsinstanz sollte eine private IP-Adresse haben, wenn sich die Quell- und die Zieldatenbank im selben Netzwerk befinden. Das Netzwerk muss außerdem über ein VPN, AWS Direct Connect oder VPC-Peering mit der VPC der Replikationsinstanz verbunden sein. Weitere Informationen zu öffentlichen und privaten Replikationsinstanzen finden Sie unter Öffentliche und private Replikationsinstanzen im AWS Database Migration Service-Nutzerhandbuch. Sie sollten außerdem darauf achten, dass der Zugriff auf die Konfiguration Ihrer AWS DMS-Instanz auf autorisierte Nutzer beschränkt ist. Schränken Sie dazu die IAM-Berechtigungen der Nutzer ein, um AWS DMS-Einstellungen und -Ressourcen zu ändern. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob Replikationsinstanzen von AWS Database Migration Service öffentlich sind
|
Do Setup Access Keys During Initial User Setup All Iam Users Console
Kategoriename in der API: |
Ergebnisbeschreibung: Bei der AWS-Konsole sind beim Erstellen eines neuen IAM-Nutzers standardmäßig keine Kästchen ausgewählt. Beim Erstellen der IAM-Nutzeranmeldedaten müssen Sie festlegen, welche Art von Zugriff die Nutzer benötigen. Programmatischer Zugriff: Der IAM-Nutzer muss möglicherweise API-Aufrufe ausführen, die AWS-Befehlszeile oder die Tools for Windows PowerShell verwenden. Erstellen Sie in diesem Fall einen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für diesen Nutzer. Zugriff auf die AWS-Verwaltungskonsole: Wenn der Nutzer auf die AWS-Verwaltungskonsole zugreifen muss, erstellen Sie ein Passwort für den Nutzer. Preisstufe: Enterprise Compliance-Standards:
|
Richten Sie während der anfänglichen Nutzereinrichtung für alle IAM-Nutzer, die ein Console-Passwort haben, keine Zugriffsschlüssel ein
|
Dynamodb Autoscaling Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Damit wird geprüft, ob eine Amazon DynamoDB-Tabelle ihre Lese- und Schreibkapazität nach Bedarf skalieren kann. Diese Steuerung gilt als bestanden, wenn die Tabelle entweder den On-Demand-Kapazitätsmodus oder den bereitgestellten Modus mit konfiguriertem Autoscaling verwendet. Durch die bedarfsgerechte Skalierung der Kapazität werden Drosselungsausnahmen vermieden, wodurch die Verfügbarkeit Ihrer Anwendungen aufrechterhalten bleibt. DynamoDB-Tabellen im On-Demand-Kapazitätsmodus sind nur durch die Standardtabellenkontingente für den DynamoDB-Durchsatz begrenzt. Wenn Sie diese Kontingente erhöhen möchten, können Sie über den AWS-Support ein Support-Ticket einreichen. Bei DynamoDB-Tabellen im bereitgestellten Modus mit Autoscaling wird die bereitgestellte Durchsatzkapazität dynamisch an Traffic-Muster angepasst. Weitere Informationen zur DynamoDB-Anfragedrosselung finden Sie unter „Anfragedrosselung und Burst-Kapazität“ im Amazon DynamoDB-Entwicklerleitfaden. Preisstufe: Enterprise Compliance-Standards:
|
DynamoDB-Tabellen sollten die Kapazität gemäß Nachfrage automatisch skalieren
|
Dynamodb In Backup Plan
Kategoriename in der API: |
Ergebnisbeschreibung: Dieses Steuerelement bewertet, ob eine DynamoDB-Tabelle durch einen Sicherungsplan abgedeckt ist. Die Steuerung schlägt fehl, wenn eine DynamoDB-Tabelle nicht durch einen Sicherungsplan abgedeckt ist. Dieses Steuerelement wertet nur DynamoDB-Tabellen aus, die den Status AKTIV haben. Sicherungen ermöglichen eine schnellere Wiederherstellung nach einem Sicherheitsvorfall. Sie stärken auch die Widerstandsfähigkeit Ihrer Systeme. Wenn Sie DynamoDB-Tabellen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen. Preisstufe: Enterprise Compliance-Standards:
|
DynamoDB-Tabellen sollten durch einen Sicherungsplan abgedeckt sein
|
Dynamodb Pitr Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Wiederherstellung zu einem bestimmten Zeitpunkt (Point-In Time Recovery, PITR) ist einer der Mechanismen, die zum Sichern von DynamoDB-Tabellen zur Verfügung stehen. Die Sicherung zu einem bestimmten Zeitpunkt wird 35 Tage lang aufbewahrt. Wenn eine längere Aufbewahrung erforderlich ist, lesen Sie Geplante Sicherungen für Amazon DynamoDB mit AWS Backup einrichten in der AWS-Dokumentation. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob die Wiederherstellung zu einem bestimmten Zeitpunkt für alle AWS DynamoDB-Tabellen aktiviert ist
|
Dynamodb Table Encrypted Kms
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob alle DynamoDB-Tabellen mit einem vom Kunden verwalteten KMS-Schlüssel (nicht standardmäßig) verschlüsselt sind. Preisstufe: Enterprise Compliance-Standards:
|
Prüft ob alle DynamoDB-Tabellen mit AWS Key Management Service (KMS) verschlüsselt sind
|
Ebs Optimized Instance
Kategoriename in der API: |
Ergebnisbeschreibung: Überprüft, ob die EBS-Optimierung für Ihre EC2-Instanzen, die EBS-optimiert werden können, aktiviert ist. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob die EBS-Optimierung für alle Instanzen aktiviert ist, die diese unterstützen
|
Ebs Snapshot Public Restorable Check
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Steuerung schlägt fehl, wenn Amazon EBS-Snapshots von jedem wiederhergestellt werden können. EBS-Snapshots werden verwendet, um die Daten auf Ihren EBS-Volumes zu einem bestimmten Zeitpunkt in Amazon S3 zu sichern. Sie können die Snapshots verwenden, um vorherige Status von EBS-Volumes wiederherzustellen. Es ist selten akzeptabel, eine Momentaufnahme mit der Öffentlichkeit zu teilen. In der Regel wurde die Entscheidung, einen Snapshot öffentlich freizugeben, aufgrund eines Fehlers oder ohne ein vollständiges Verständnis der Auswirkungen getroffen. So kann sichergestellt werden, dass das Teilen vollständig geplant und beabsichtigt war. Preisstufe: Enterprise Compliance-Standards:
|
Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein
|
Ebs Volume Encryption Enabled All Regions
Kategoriename in der API: |
Ergebnisbeschreibung: Elastic Compute Cloud (EC2) unterstützt die Verschlüsselung inaktiver Daten bei Verwendung des Elastic Block Store-Diensts (EBS). Wenn diese Option standardmäßig deaktiviert ist, wird das Erzwingen der Verschlüsselung beim Erstellen des EBS-Volumes unterstützt. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die EBS-Volume-Verschlüsselung in allen Regionen aktiviert ist
|
Ec2 Instances In Vpc
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon VPC bietet mehr Sicherheitsfunktionen als EC2 Classic. Es wird empfohlen, dass alle Knoten zu einer Amazon VPC gehören. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass alle Instanzen zu einer VPC gehören
|
Ec2 Instance No Public Ip
Kategoriename in der API: |
Ergebnisbeschreibung: Bei EC2-Instanzen mit einer öffentlichen IP-Adresse besteht ein erhöhtes Risiko einer Manipulation. Es wird empfohlen, EC2-Instanzen nicht mit einer öffentlichen IP-Adresse zu konfigurieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass keine Instanz eine öffentliche IP-Adresse hat
|
Ec2 Managedinstance Association Compliance Status Check
Kategoriename in der API: |
Ergebnisbeschreibung: Eine State Manager-Verknüpfung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. Die Konfiguration definiert den Status, den Sie auf Ihren Instanzen beibehalten möchten. Beispielsweise kann eine Verknüpfung angeben, dass auf Ihren Instanzen Antivirensoftware installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen. EC2-Instanzen, die mit AWS Systems Manager verknüpft sind, werden von Systems Manager verwaltet. Dies vereinfacht das Anwenden von Patches, das Beheben von Fehlkonfigurationen und das Reagieren auf Sicherheitsereignisse. Preisstufe: Enterprise Compliance-Standards:
|
Überprüft den Compliancestatus der AWS Systems Manager-Verknüpfung
|
Ec2 Managedinstance Patch Compliance Status Check
Kategoriename in der API: |
Ergebnisbeschreibung: Mit diesem Steuerelement wird geprüft, ob der Status der AWS Systems Manager-Verknüpfungscompliance COMPLIANT oder NON_COMPLIANT lautet, nachdem die Verknüpfung auf einer Instanz ausgeführt wurde. Die Steuerung schlägt fehl, wenn der Compliancestatus der Verknüpfung NON_COMPLIANT lautet. Eine State Manager-Verknüpfung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. Die Konfiguration definiert den Status, den Sie auf Ihren Instanzen beibehalten möchten. Beispielsweise kann eine Verknüpfung festlegen, dass auf Ihren Instanzen Antivirensoftware installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen. Nachdem Sie eine oder mehrere State Manager-Verknüpfungen erstellt haben, stehen Ihnen sofort Informationen zum Compliancestatus zur Verfügung. Sie können den Compliancestatus in der Console oder als Antwort auf AWS CLI-Befehle oder entsprechende Systems Manager API-Aktionen aufrufen. Für Verknüpfungen wird in der Konfigurationscompliance der Compliancestatus angezeigt („Konform“ oder „Nicht konform“). Außerdem wird der der Verknüpfung zugewiesene Schweregrad angezeigt, z. B. „Kritisch“ oder „Mittel“. Weitere Informationen zur Compliance von State Manager-Verknüpfungen finden Sie im AWS Systems Manager-Nutzerhandbuch unter Compliance mit State Manager-Verknüpfungen. Preisstufe: Enterprise Compliance-Standards:
|
Prüft den Status der AWS Systems Manager-Patchcompliance
|
Ec2 Metadata Service Allows Imdsv2
Kategoriename in der API: |
Ergebnisbeschreibung: Beim Aktivieren des Metadatendienstes auf AWS EC2-Instanzen können Nutzer entweder den Instanzmetadatendienst Version 1 (IMDSv1; eine Anfrage/Antwort-Methode) oder eine sitzungsorientierte Methode (IMDSv2) oder den Instanzmetadatendienst der Version 2 verwenden. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass der EC2-Metadatendienst nur IMDSv2 zulässt
|
Ec2 Volume Inuse Check
Kategoriename in der API: |
Ergebnisbeschreibung: Identifizieren und Entfernen nicht angehängter (nicht verwendeter) Elastic Block Store-Volumes (EBS-Volumes) in Ihrem AWS-Konto, um die Kosten Ihrer monatlichen AWS-Rechnung zu senken. Durch das Löschen nicht verwendeter EBS-Volumes verringert sich auch das Risiko, dass vertrauliche/sensible Daten Ihre Räumlichkeiten verlassen. Außerdem wird mit diesem Steuerelement geprüft, ob archivierte EC2-Instanzen zum Löschen von Volumes nach Beendigung archiviert wurden. Standardmäßig sind EC2-Instanzen so konfiguriert, dass die Daten auf allen mit der Instanz verknüpften EBS-Volumes sowie das EBS-Stamm-Volume der Instanz gelöscht werden. Alle Nicht-Root-EBS-Volumes, die beim Start oder während der Ausführung an die Instanz angehängt werden, werden nach der Beendigung standardmäßig beibehalten. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob EBS-Volumes an EC2-Instanzen angehängt und zum Löschen bei Instanzbeendigung konfiguriert sind
|
Efs Encrypted Check
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon EFS unterstützt zwei Arten der Verschlüsselung für Dateisysteme: die Verschlüsselung von Daten bei der Übertragung und die Verschlüsselung ruhender Daten. Dadurch wird geprüft, ob alle EFS-Dateisysteme mit der Verschlüsselung ruhender Daten in allen aktivierten Regionen im Konto konfiguriert sind. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob EFS zum Verschlüsseln von Dateidaten mit KMS konfiguriert ist
|
Efs In Backup Plan
Kategoriename in der API: |
Ergebnisbeschreibung: Best Practices von Amazon empfehlen, Sicherungen für Ihre Elastic File Systems (EFS) zu konfigurieren. Dadurch werden alle EFS in jeder aktivierten Region in Ihrem AWS-Konto auf aktivierte Sicherungen geprüft. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob EFS-Dateisysteme in AWS-Sicherungsplänen enthalten sind
|
Elb Acm Certificate Required
Kategoriename in der API: |
Ergebnisbeschreibung: Überprüft, ob der klassische Load Balancer HTTPS/SSL-Zertifikate verwendet, die vom AWS Certificate Manager (ACM) bereitgestellt werden. Die Steuerung schlägt fehl, wenn der mit dem HTTPS/SSL-Listener konfigurierte klassische Load-Balancer kein von ACM bereitgestelltes Zertifikat verwendet. Zum Erstellen eines Zertifikats können Sie entweder ACM oder ein Tool verwenden, das die SSL- und TLS-Protokolle unterstützt, z. B. OpenSSL. Der Sicherheits-Hub empfiehlt, Zertifikate für Ihren Load-Balancer mit ACM zu erstellen oder zu importieren. ACM lässt sich in klassische Load-Balancer einbinden, sodass Sie das Zertifikat auf Ihrem Load-Balancer bereitstellen können. Außerdem sollten Sie diese Zertifikate automatisch verlängern. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob alle klassischen Load Balancer SSL-Zertifikate verwenden, die von AWS Certificate Manager bereitgestellt wurden
|
Elb Deletion Protection Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Überprüft, ob der Löschschutz für einen Application Load Balancer aktiviert ist. Das Steuerelement schlägt fehl, wenn kein Löschschutz konfiguriert ist. Aktivieren Sie den Löschschutz, um den Application Load Balancer vor dem Löschen zu schützen. Preisstufe: Enterprise Compliance-Standards:
|
Der Löschschutz für Application Load Balancer sollte aktiviert sein
|
Elb Logging Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob Logging für den Application Load Balancer und den klassischen Load Balancer aktiviert ist. Das Steuerelement schlägt fehl, wenn access_logs.s3.enabled auf „false“ gesetzt ist. Elastic Load Balancing bietet Zugriffslogs, die detaillierte Informationen zu Anfragen erfassen, die an Ihren Load-Balancer gesendet werden. Jedes Protokoll enthält Informationen wie die Uhrzeit, zu der die Anfrage empfangen wurde, die IP-Adresse des Clients, Latenzen, Anfragepfade und Serverantworten. Sie können diese Zugriffsprotokolle verwenden, um Traffic-Muster zu analysieren und Probleme zu beheben. Weitere Informationen finden Sie unter Zugriffslogs für klassische Load Balancer im Nutzerhandbuch für klassische Load Balancer. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob Logging für klassische und Application Load Balancer aktiviert ist
|
Elb Tls Https Listeners Only
Kategoriename in der API: |
Ergebnisbeschreibung: Diese Prüfung stellt sicher, dass alle klassischen Load-Balancer für die Verwendung einer sicheren Kommunikation konfiguriert sind. Ein Listener ist ein Prozess, der auf Verbindungsanfragen prüft. Er ist mit einem Protokoll und einem Port für Front-End-Verbindungen (Client zum Load-Balancer) sowie einem Protokoll und einem Port für Back-End-Verbindungen (Load-Balancer zur Instanz) konfiguriert. Informationen zu den von Elastic Load Balancing unterstützten Ports, Protokollen und Listener-Konfigurationen finden Sie unter Listener für Ihren klassischen Load Balancer. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob SSL- oder HTTPS-Listener für alle klassischen Load Balancer konfiguriert sind
|
Encrypted Volumes
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die EBS-Volumes im angehängten Zustand verschlüsselt sind. Damit diese Prüfung bestanden wird, müssen EBS-Volumes verwendet und verschlüsselt sein. Wenn das EBS-Volume nicht angehängt ist, unterliegt es dieser Prüfung nicht. Für eine zusätzliche Sicherheitsebene Ihrer sensiblen Daten auf EBS-Volumes sollten Sie die EBS-Verschlüsselung inaktiver Daten aktivieren. Die Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Ressourcen, bei der Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, warten und schützen müssen. Es werden KMS-Schlüssel verwendet, wenn verschlüsselte Volumes und Snapshots erstellt werden. Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie unter Amazon EBS-Verschlüsselung im Amazon EC2-Benutzerhandbuch für Linux-Instanzen. Preisstufe: Enterprise Compliance-Standards:
|
Ruhende Daten von angehängten Amazon EBS-Volumes sollten verschlüsselt sein
|
Encryption At Rest Enabled Rds Instances
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon RDS-verschlüsselte DB-Instanzen verwenden den branchenüblichen AES-256-Verschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, auf dem Ihre Amazon RDS DB-Instanzen gehostet werden. Nachdem Ihre Daten verschlüsselt wurden, sorgt Amazon RDS für eine transparente Authentifizierung des Zugriffs und die Entschlüsselung der Daten mit minimalen Auswirkungen auf die Leistung. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Verschlüsselung ruhender Daten für RDS-Instanzen aktiviert ist
|
Encryption Enabled Efs File Systems
Kategoriename in der API: |
Ergebnisbeschreibung: EFS-Daten sollten im Ruhezustand mit AWS KMS (Key Management Service) verschlüsselt werden. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Verschlüsselung für EFS-Dateisysteme aktiviert ist
|
Iam Password Policy
Kategoriename in der API: |
Ergebnisbeschreibung: AWS ermöglicht benutzerdefinierte Passwortrichtlinien für Ihr AWS-Konto, um Komplexitätsanforderungen und obligatorische Rotationszeiträume für die Passwörter Ihrer IAM-Nutzer festzulegen. Wenn Sie keine benutzerdefinierte Passwortrichtlinie festlegen, müssen IAM-Nutzerpasswörter der AWS-Standardpasswortrichtlinie entsprechen. Best Practices für die Sicherheit von AWS empfehlen die folgenden Anforderungen an die Passwortkomplexität:
Hiermit werden alle angegebenen Anforderungen der Passwortrichtlinie geprüft. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob die Richtlinie für Kontopasswörter für IAM-Nutzer den angegebenen Anforderungen entspricht
|
Iam Password Policy Prevents Password Reuse
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Passwortrichtlinien können die Wiederverwendung eines Passworts durch denselben Nutzer verhindern. Es wird empfohlen, die Wiederverwendung von Passwörtern durch die Passwortrichtlinie zu verhindern. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert
|
Iam Password Policy Requires Minimum Length 14 Greater
Kategoriename in der API: |
Ergebnisbeschreibung: Passwortrichtlinien werden zum Teil verwendet, um die Anforderungen an die Komplexität von Passwörtern zu erzwingen. Mit IAM-Passwortrichtlinien kann sichergestellt werden, dass das Passwort eine bestimmte Länge hat. Es wird empfohlen, dass die Passwortrichtlinie eine Mindestpasswortlänge von 14 Zeichen vorschreibt. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die IAM-Passwortrichtlinie eine Mindestlänge von 14 Zeichen verlangt
|
Iam Policies Allow Full Administrative Privileges Attached
Kategoriename in der API: |
Ergebnisbeschreibung: Mit IAM-Richtlinien werden Nutzern, Gruppen oder Rollen Berechtigungen gewährt. Es wird empfohlen und gilt als Standardsicherheit, die geringste Berechtigung zu gewähren, d. h. nur die Berechtigungen zu gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Bestimmen Sie, was Nutzer tun müssen, und erstellen Sie dann Richtlinien, damit die Nutzer nur diese Aufgaben ausführen können, anstatt volle Administratorberechtigungen zu gewähren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass keine IAM-Richtlinien angehängt sind, die uneingeschränkte „*:*“-Administratorberechtigungen gewähren
|
Iam Users Receive Permissions Groups
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Nutzern wird über IAM-Richtlinien Zugriff auf Dienste, Funktionen und Daten gewährt. Es gibt vier Möglichkeiten, Richtlinien für einen Nutzer zu definieren: 1) Bearbeiten Sie die Nutzerrichtlinie direkt, also eine Inline- oder Nutzerrichtlinie. 2) Fügen Sie eine Richtlinie direkt einem Nutzer hinzu. 3) Fügen Sie den Nutzer einer IAM-Gruppe hinzu, der eine Richtlinie zugeordnet ist. 4) Fügen Sie den Nutzer einer IAM-Gruppe mit einer Inline-Richtlinie hinzu. Es wird nur die dritte Implementierung empfohlen. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass IAM-Nutzer Berechtigungen nur über Gruppen erhalten
|
Iam User Group Membership Check
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Nutzer sollten immer Teil einer IAM-Gruppe sein, um die Best Practices für die IAM-Sicherheit einzuhalten. Wenn Sie Nutzer zu einer Gruppe hinzufügen, können Sie Richtlinien für mehrere Nutzertypen freigeben. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob IAM-Nutzer Mitglieder von mindestens einer IAM-Gruppe sind
|
Iam User Mfa Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Multi-Faktor-Authentifizierung (MFA) ist eine bewährte Methode, um Nutzernamen und Passwörter zusätzlich zu schützen. Wenn sich ein Nutzer bei der MFA in der AWS-Verwaltungskonsole anmeldet, muss er einen zeitkritischen Authentifizierungscode angeben, der von einem registrierten virtuellen oder physischen Gerät bereitgestellt wird. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für AWS IAM-Nutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert ist
|
Iam User Unused Credentials Check
Kategoriename in der API: |
Ergebnisbeschreibung: Es wird nach IAM-Passwörtern oder aktiven Zugriffsschlüsseln gesucht, die in den letzten 90 Tagen nicht verwendet wurden. Als Best Practices wird empfohlen, alle Anmeldedaten zu entfernen, zu deaktivieren oder zu rotieren, die 90 Tage oder länger nicht verwendet wurden. Dadurch verringert sich die Wahrscheinlichkeit, dass Anmeldedaten, die mit einem manipulierten oder verlassenen Konto verknüpft sind, verwendet werden. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob alle AWS-IAM-Nutzer Passwörter oder aktive Zugriffsschlüssel haben, die in der unter „maxCredentialUsageAge“ angegebenen Anzahl von Tagen nicht verwendet wurden (Standardeinstellung: 90)
|
Kms Cmk Not Scheduled For Deletion
Kategoriename in der API: |
Ergebnisbeschreibung: Mit diesem Steuerelement wird geprüft, ob das Löschen von KMS-Schlüsseln geplant ist. Die Steuerung schlägt fehl, wenn ein KMS-Schlüssel zum Löschen vorgemerkt ist. KMS-Schlüssel können nach dem Löschen nicht wiederhergestellt werden. Daten, die mit einem KMS-Schlüssel verschlüsselt wurden, können auch dann dauerhaft nicht wiederhergestellt werden, wenn der KMS-Schlüssel gelöscht wird. Wenn wichtige Daten unter einem zum Löschen vorgemerkten KMS-Schlüssel verschlüsselt wurden, sollten Sie sie möglicherweise entschlüsseln oder mit einem neuen KMS-Schlüssel neu verschlüsseln, sofern Sie nicht absichtlich einen kryptografischen Löschvorgang durchführen. Wenn ein KMS-Schlüssel zum Löschen vorgemerkt ist, wird eine obligatorische Wartezeit erzwungen, damit der Löschvorgang rückgängig gemacht werden kann, falls er versehentlich geplant wurde. Die standardmäßige Wartezeit beträgt 30 Tage. Sie kann aber auch auf 7 Tage reduziert werden, wenn der KMS-Schlüssel zum Löschen vorgemerkt ist. Während der Wartezeit kann der geplante Löschvorgang abgebrochen werden und der KMS-Schlüssel wird nicht gelöscht. Weitere Informationen zum Löschen von KMS-Schlüsseln finden Sie unter KMS-Schlüssel löschen im AWS Key Management Service-Entwicklerleitfaden. Preisstufe: Enterprise Compliance-Standards:
|
Prüft alle CMKs darauf, dass sie nicht zum Löschen geplant sind
|
Lambda Concurrency Check
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die Lambda-Funktion mit einem Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Die Regel lautet NON_COMPLIANT, wenn die Lambda-Funktion nicht mit einem Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Preisstufe: Enterprise Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Prüft, ob für Lambda-Funktionen das Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist
|
Lambda Dlq Check
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob eine Lambda-Funktion mit einer Warteschlange für unzustellbare Nachrichten konfiguriert ist. Die Regel lautet NON_COMPLIANT, wenn die Lambda-Funktion nicht mit einer Warteschlange für unzustellbare Nachrichten konfiguriert ist. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Lambda-Funktionen mit einer Dead-Letter-Warteschlange konfiguriert sind
|
Lambda Function Public Access Prohibited
Kategoriename in der API: |
Ergebnisbeschreibung: In den Best Practices von AWS wird empfohlen, die Lambda-Funktion nicht öffentlich zugänglich zu machen. Diese Richtlinie prüft alle Lambda-Funktionen, die in allen aktivierten Regionen Ihres Kontos bereitgestellt werden. Sie schlägt fehl, wenn sie so konfiguriert sind, dass der öffentliche Zugriff nicht zulässig ist. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob die an die Lambda-Funktion angehängte Richtlinie den öffentlichen Zugriff verhindert
|
Lambda Inside Vpc
Kategoriename in der API: |
Ergebnisbeschreibung: Überprüft, ob sich eine Lambda-Funktion in einer VPC befindet. Möglicherweise werden fehlgeschlagene Ergebnisse für Lambda@Edge-Ressourcen angezeigt. Die Konfiguration des VPC-Subnetz-Routings wird nicht zur Bestimmung der öffentlichen Erreichbarkeit ausgewertet. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob Lambda-Funktionen in einer VPC vorhanden sind
|
Mfa Delete Enabled S3 Buckets
Kategoriename in der API: |
Ergebnisbeschreibung: Sobald die MFA-Löschung für Ihren vertraulichen und klassifizierten S3-Bucket aktiviert ist, muss der Nutzer über zwei Formen der Authentifizierung verfügen. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass MFA-Löschungen für S3-Buckets aktiviert sind
|
Mfa Enabled Root User Account
Kategoriename in der API: |
Ergebnisbeschreibung: Das Root-Nutzerkonto ist der Nutzer mit den meisten Berechtigungen in einem AWS-Konto. Die Multi-Faktor-Authentifizierung (MFA) bietet neben dem Nutzernamen und dem Passwort eine zusätzliche Sicherheitsebene. Wenn die MFA aktiviert ist, wird ein Nutzer bei der Anmeldung auf einer AWS-Website aufgefordert, seinen Nutzernamen und sein Passwort sowie einen Authentifizierungscode von seinem AWS MFA-Gerät einzugeben. Hinweis: Bei der Verwendung einer virtuellen MFA für „Root“-Konten wird empfohlen, dass das verwendete Gerät KEIN privates Gerät ist, sondern ein dediziertes Mobilgerät (Tablet oder Smartphone), das unabhängig von einzelnen persönlichen Geräten aufgeladen und gesichert wird. („nicht persönliche virtuelle MFA“). Dadurch wird das Risiko verringert, dass der Zugriff auf die MFA aufgrund von Geräteverlust, Geräteeintausch oder wenn die Person, die das Gerät besitzt, nicht mehr im Unternehmen beschäftigt wird. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass MFA für das Root-Nutzerkonto aktiviert ist
|
Multi Factor Authentication Mfa Enabled All Iam Users Console
Kategoriename in der API: |
Ergebnisbeschreibung: Die Multi-Faktor-Authentifizierung (MFA) bietet neben herkömmlichen Anmeldedaten eine weitere Sicherheitsebene. Wenn die MFA aktiviert ist, wird ein Nutzer bei der Anmeldung in der AWS-Konsole aufgefordert, seinen Nutzernamen und sein Passwort sowie einen Authentifizierungscode aus seinem physischen oder virtuellen MFA-Token einzugeben. Es wird empfohlen, MFA für alle Konten zu aktivieren, die ein Konsolenpasswort haben. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer mit einem Konsolenpasswort aktiviert ist
|
No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration
Kategoriename in der API: |
Ergebnisbeschreibung: Die NACL-Funktion (Network Access Control List) ermöglicht das zustandslose Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, dass keine NACL uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zulässt, z. B. SSH zu Port Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass keine Netzwerk-ACLs eingehenden Traffic von 0.0.0.0/0 an Remote-Server-Verwaltungsports zulassen
|
No Root User Account Access Key Exists
Kategoriename in der API: |
Ergebnisbeschreibung: Das Root-Nutzerkonto ist der Nutzer mit den meisten Berechtigungen in einem AWS-Konto. AWS-Zugriffsschlüssel ermöglichen programmatischen Zugriff auf ein bestimmtes AWS-Konto. Es wird empfohlen, alle Zugriffsschlüssel zu löschen, die mit dem Root-Nutzerkonto verknüpft sind. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden ist
|
No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen bieten eine zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zulässt, z. B. SSH zu Port Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von 0.0.0.0/0 an Remote-Serververwaltungsports zulassen
|
No Security Groups Allow Ingress 0 Remote Server Administration
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen bieten eine zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zulässt, z. B. SSH zu Port Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von ::/0 an Remote-Serververwaltungsports zulassen
|
One Active Access Key Available Any Single Iam User
Kategoriename in der API: |
Ergebnisbeschreibung: Zugriffsschlüssel sind langfristige Anmeldedaten für einen IAM-Nutzer oder den Root-Nutzer des AWS-Kontos. Sie können Zugriffsschlüssel verwenden, um programmatische Anfragen an die AWS-Befehlszeile oder die AWS API zu signieren (direkt oder mit dem AWS SDK). Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass für jeden einzelnen IAM-Nutzer nur ein aktiver Zugriffsschlüssel verfügbar ist
|
Public Access Given Rds Instance
Kategoriename in der API: |
Ergebnisbeschreibung: Stellen Sie sicher, dass die in Ihrem AWS-Konto bereitgestellten RDS-Datenbankinstanzen den unbefugten Zugriff einschränken, um Sicherheitsrisiken zu minimieren. Wenn Sie den Zugriff auf eine öffentlich zugängliche RDS-Datenbankinstanz einschränken möchten, müssen Sie das Datenbank-Flag „Öffentlich zugänglich“ deaktivieren und die mit der Instanz verknüpfte VPC-Sicherheitsgruppe aktualisieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass RDS-Instanzen keine öffentliche Zugriffsberechtigung gewährt wird
|
Rds Enhanced Monitoring Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das erweiterte Monitoring bietet Echtzeitmesswerte für das Betriebssystem, auf dem die RDS-Instanz ausgeführt wird, und zwar über einen auf der Instanz installierten Agenten. Weitere Informationen finden Sie unter Betriebssystemmesswerte mit erweitertem Monitoring überwachen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob erweitertes Monitoring für alle RDS-Datenbankinstanzen aktiviert ist
|
Rds Instance Deletion Protection Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Aktivieren des Löschschutzes für Instanzen ist eine zusätzliche Schutzschicht vor dem versehentlichen Löschen der Datenbank oder dem Löschen durch eine nicht autorisierte Entität. Solange der Löschschutz aktiviert ist, kann eine RDS-Datenbankinstanz nicht gelöscht werden. Damit eine Löschanfrage erfolgreich ist, muss der Löschschutz deaktiviert werden. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob für alle RDS-Instanzen der Löschschutz aktiviert ist
|
Rds In Backup Plan
Kategoriename in der API: |
Ergebnisbeschreibung: Diese Prüfung prüft, ob Amazon RDS-DB-Instanzen durch einen Sicherungsplan abgedeckt sind. Diese Steuerung schlägt fehl, wenn eine RDS-DB-Instanz nicht durch einen Sicherungsplan abgedeckt ist. AWS Backup ist ein vollständig verwalteter Sicherungsdienst, der die Sicherung von Daten über AWS-Dienste hinweg zentralisiert und automatisiert. Mit AWS Backup können Sie Sicherungsrichtlinien erstellen, sogenannte Sicherungspläne. Mit diesen Plänen können Sie Ihre Sicherungsanforderungen definieren, z. B. wie oft und wie lange Ihre Daten gesichert werden sollen. Wenn Sie RDS-DB-Instanzen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen. Preisstufe: Enterprise Compliance-Standards:
|
Für die RDS-Datenbankinstanzen sollte es einen Sicherungsplan geben
|
Rds Logging Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob die folgenden Logs von Amazon RDS aktiviert und an CloudWatch gesendet werden. Für RDS-Datenbanken sollten relevante Protokolle aktiviert sein. Das Datenbank-Logging bietet detaillierte Aufzeichnungen der Anfragen an RDS. Datenbanklogs können bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen helfen. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob exportierte Logs für alle RDS-Datenbankinstanzen aktiviert sind
|
Rds Multi Az Support
Kategoriename in der API: |
Ergebnisbeschreibung: RDS-DB-Instanzen sollten für mehrere Verfügbarkeitszonen konfiguriert werden. Dadurch wird die Verfügbarkeit der gespeicherten Daten sichergestellt. Multi-AZ-Bereitstellungen ermöglichen automatisches Failover bei Problemen mit der Verfügbarkeit der Verfügbarkeitszone und während der regulären RDS-Wartung. Preisstufe: Enterprise Compliance-Standards:
|
Prüfen Sie, ob die Hochverfügbarkeit für alle RDS-Datenbankinstanzen aktiviert ist
|
Redshift Cluster Configuration Check
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird nach wesentlichen Elementen eines Redshift-Clusters gesucht: Verschlüsselung inaktiver Daten, Logging und Knotentyp. Diese Konfigurationselemente sind wichtig für die Wartung eines sicheren und beobachtbaren Redshift-Clusters. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob für alle Redshift-Cluster die Verschlüsselung ruhender Daten, das Logging und der Knotentyp konfiguriert sind.
|
Redshift Cluster Maintenancesettings Check
Kategoriename in der API: |
Ergebnisbeschreibung: Automatische Upgrades von Hauptversionen erfolgen je nach Wartungsfenster Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob für alle Redshift-Cluster „allowVersionUpgrade“ aktiviert ist und Werte für „preferredMaintenanceWindow“ sowie „automatedSnapshotRetentionPeriod“ festgelegt sind
|
Redshift Cluster Public Access Check
Kategoriename in der API: |
Ergebnisbeschreibung: Das Attribut „PubliclyAccessible“ der Amazon Redshift-Clusterkonfiguration gibt an, ob der Cluster öffentlich zugänglich ist. Wenn der Cluster mit der Einstellung „PubliclyAccessible“ auf „true“ konfiguriert ist, handelt es sich um eine Instanz mit Internetzugriff, die einen öffentlich auflösbaren DNS-Namen hat, der in eine öffentliche IP-Adresse aufgelöst wird. Wenn der Cluster nicht öffentlich zugänglich ist, handelt es sich um eine interne Instanz mit einem DNS-Namen, der in eine private IP-Adresse aufgelöst wird. Sofern Ihr Cluster nicht öffentlich zugänglich sein soll, sollte für die Konfiguration „PubliclyAccessible“ nicht auf „true“ festgelegt sein. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob Redshift-Cluster öffentlich zugänglich sind
|
Restricted Common Ports
Kategoriename in der API: |
Ergebnisbeschreibung: Damit wird geprüft, ob uneingeschränkter eingehender Traffic für die Sicherheitsgruppen für die angegebenen Ports mit dem höchsten Risiko zugänglich ist. Diese Steuerung schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Traffic von „0.0.0.0/0“ oder „::/0“ für diese Ports zulässt. Der uneingeschränkte Zugriff (0.0.0.0/0) erhöht die Möglichkeiten für schädliche Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverluste. Sicherheitsgruppen bieten eine zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten eingehenden Zugriff auf die folgenden Ports zulassen:
Preisstufe: Enterprise Compliance-Standards:
|
Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen
|
Restricted Ssh
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen bieten eine zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. CIS empfiehlt, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf eingehenden Traffic auf Port 22 zulässt. Durch das Entfernen uneingeschränkter Verbindungen zu Remote-Konsolendiensten wie SSH wird das Risiko eines Servers verringert. Preisstufe: Enterprise Compliance-Standards:
|
Sicherheitsgruppen sollten keinen eingehenden Traffic von 0.0.0.0/0 an Port 22 zulassen
|
Rotation Customer Created Cmks Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die automatische Schlüsselrotation für jeden Schlüssel aktiviert ist, und stimmt mit der Schlüssel-ID des vom Kunden erstellten AWS KMS-Schlüssels überein. Die Regel lautet NON_COMPLIANT, wenn die AWS Config Recorder-Rolle für eine Ressource nicht die Berechtigung kms:describeKey hat. Preisstufe: Enterprise Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Achten Sie darauf, dass die Rotation für vom Kunden erstellte CMKs aktiviert ist
|
Rotation Customer Created Symmetric Cmks Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dem AWS Key Management Service (KMS) können Kunden den Sicherungsschlüssel rotieren, bei dem es sich um im KMS gespeichertes Schlüsselmaterial handelt, das mit der Schlüssel-ID des vom Kunden erstellten Masterschlüssels (Customer Created Customer Master Key, CMK) verknüpft ist. Er ist der Sicherungsschlüssel, der für kryptografische Vorgänge wie Verschlüsselung und Entschlüsselung verwendet wird. Bei der automatischen Schlüsselrotation werden derzeit alle vorherigen Sicherungsschlüssel beibehalten, sodass die Entschlüsselung verschlüsselter Daten transparent erfolgen kann. Es wird empfohlen, die CMK-Schlüsselrotation für symmetrische Schlüssel zu aktivieren. Die Schlüsselrotation kann für keinen asymmetrischen CMK aktiviert werden. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Rotation für vom Kunden erstellte symmetrische CMKs aktiviert ist
|
Routing Tables Vpc Peering Are Least Access
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob Routentabellen für VPC-Peering mit dem Hauptkonto der geringsten Berechtigung konfiguriert sind. Preisstufe: Enterprise Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Achten Sie darauf, dass Routingtabellen für VPC-Peering den geringsten Zugriff gewähren
|
S3 Account Level Public Access Blocks
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon S3 Block Public Access bietet Einstellungen für Zugangspunkte, Buckets und Konten, mit denen Sie den öffentlichen Zugriff auf Amazon S3-Ressourcen verwalten können. Standardmäßig ist der öffentliche Zugriff auf neue Buckets, Zugangspunkte und Objekte nicht möglich. Preisstufe: Enterprise Compliance-Standards: Diese Ergebniskategorie ist keinen Steuerelementen für Compliancestandards zugeordnet. |
Überprüft, ob die erforderlichen Einstellungen für S3-Blockierung des öffentlichen Zugriffs auf Kontoebene konfiguriert sind
|
S3 Bucket Logging Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die AWS S3 Server Access Logging-Funktion zeichnet Zugriffsanfragen auf Storage-Buckets auf, was für Sicherheitsprüfungen hilfreich ist. Standardmäßig ist das Logging des Serverzugriffs für S3-Buckets nicht aktiviert. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob Logging für alle S3-Buckets aktiviert ist
|
S3 Bucket Policy Set Deny Http Requests
Kategoriename in der API: |
Ergebnisbeschreibung: Auf Bucket-Ebene in Amazon S3 können Sie Berechtigungen über eine Bucket-Richtlinie konfigurieren, sodass die Objekte nur über HTTPS zugänglich sind. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die S3-Bucket-Richtlinie auf Ablehnen von HTTP-Anfragen festgelegt ist
|
S3 Bucket Replication Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dieses Steuerelement prüft, ob für einen Amazon S3-Bucket die regionsübergreifende Replikation aktiviert ist. Die Steuerung schlägt fehl, wenn für den Bucket die regionsübergreifende Replikation nicht aktiviert ist oder wenn auch die Replikation in derselben Region aktiviert ist. Replikation ist das automatische, asynchrone Kopieren von Objekten über Buckets in derselben oder verschiedenen AWS-Regionen. Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen oder mehrere Ziel-Buckets kopiert. Best Practices von AWS empfehlen die Replikation für Quell- und Ziel-Buckets, die zum selben AWS-Konto gehören. Neben der Verfügbarkeit sollten Sie andere Einstellungen zur Härtung von Systemen in Betracht ziehen. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob die regionsübergreifende Replikation für S3-Buckets aktiviert ist
|
S3 Bucket Server Side Encryption Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob für Ihren S3-Bucket entweder die Amazon S3-Standardverschlüsselung aktiviert ist oder die S3-Bucket-Richtlinie Put-Objekt-Anfragen ohne serverseitige Verschlüsselung explizit ablehnt. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass alle S3-Buckets die Verschlüsselung ruhender Daten verwenden
|
S3 Bucket Versioning Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon S3 ist eine Möglichkeit, mehrere Varianten eines Objekts im selben Bucket zu speichern, und kann Ihnen dabei helfen, eine Wiederherstellung nach unbeabsichtigten Nutzeraktionen und Anwendungsfehlern zu vereinfachen. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob die Versionsverwaltung für alle S3-Buckets aktiviert ist
|
S3 Default Encryption Kms
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die Amazon S3-Buckets mit AWS Key Management Service (AWS KMS) verschlüsselt sind Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob alle Buckets mit KMS verschlüsselt sind
|
Sagemaker Notebook Instance Kms Key Configured
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein AWS Key Management Service-Schlüssel (AWS KMS) für eine Amazon SageMaker-Notebookinstanz konfiguriert ist. Die Regel ist NON_COMPLIANT, wenn für die SageMaker-Notebook-Instanz „KmsKeyId“ nicht angegeben ist. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob für alle SageMaker-Notebookinstanzen die Verwendung von KMS konfiguriert ist
|
Sagemaker Notebook No Direct Internet Access
Kategoriename in der API: |
Ergebnisbeschreibung: Überprüft, ob der direkte Internetzugriff für eine SageMaker-Notebookinstanz deaktiviert ist. Dazu wird geprüft, ob das Feld „DirectInternetAccess“ für die Notebookinstanz deaktiviert ist. Wenn Sie Ihre SageMaker-Instanz ohne VPC konfigurieren, ist der direkte Internetzugriff auf Ihrer Instanz standardmäßig aktiviert. Sie sollten die Instanz mit einer VPC konfigurieren und die Standardeinstellung in „Deaktivieren – Internetzugriff über eine VPC“ ändern. Zum Trainieren oder Hosten von Modellen aus einem Notebook benötigen Sie Internetzugriff. Achten Sie beim Aktivieren des Internetzugriffs darauf, dass Ihre VPC ein NAT-Gateway hat und Ihre Sicherheitsgruppe ausgehende Verbindungen zulässt. Weitere Informationen zum Verbinden einer Notebook-Instanz mit Ressourcen in einer VPC finden Sie im Amazon SageMaker-Entwicklerleitfaden unter „Notebook-Instanz mit Ressourcen in einer VPC verbinden“. Sie sollten außerdem darauf achten, dass nur autorisierte Nutzer Zugriff auf Ihre SageMaker-Konfiguration haben. IAM-Berechtigungen von Nutzern zum Ändern von SageMaker-Einstellungen und -Ressourcen einschränken. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob der direkte Internetzugriff für alle Amazon SageMaker-Notebookinstanzen deaktiviert ist
|
Secretsmanager Rotation Enabled Check
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein in AWS Secrets Manager gespeichertes Secret mit automatischer Rotation konfiguriert ist. Das Steuerelement schlägt fehl, wenn das Secret nicht mit automatischer Rotation konfiguriert ist. Wenn Sie einen benutzerdefinierten Wert für den Parameter Secrets Manager hilft Ihnen, den Sicherheitsstatus Ihrer Organisation zu verbessern. Secrets enthalten Datenbankanmeldedaten, Passwörter und API-Schlüssel von Drittanbietern. Mit Secrets Manager können Sie Secrets zentral speichern und automatisch verschlüsseln sowie den Zugriff auf Secrets sicher und automatisch rotieren. Secrets Manager kann Secrets rotieren. Mithilfe der Rotation können Sie langfristige Secrets durch kurzfristige Secrets ersetzen. Durch das Rotieren von Secrets wird eingeschränkt, wie lange ein nicht autorisierter Nutzer ein manipuliertes Secret verwenden kann. Aus diesem Grund sollten Sie Ihre Secrets häufig rotieren. Weitere Informationen zur Rotation finden Sie im AWS Secrets Manager-Nutzerhandbuch unter „AWS Secrets Manager-Secrets rotieren“. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob für alle AWS Secrets Manager-Secrets die Rotation aktiviert ist
|
Sns Encrypted Kms
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein SNS-Thema im Ruhezustand mit AWS KMS verschlüsselt wird. Die Steuerung schlägt fehl, wenn ein SNS-Thema keinen KMS-Schlüssel für die serverseitige Verschlüsselung (SSE) verwendet. Durch die Verschlüsselung inaktiver Daten wird das Risiko verringert, dass auf dem Laufwerk gespeicherte Daten von einem Nutzer aufgerufen werden, der nicht bei AWS authentifiziert ist. Darüber hinaus werden weitere Zugriffskontrollen hinzugefügt, um die Möglichkeiten für unbefugte Nutzer einzuschränken, auf die Daten zuzugreifen. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. SNS-Themen sollten bei Inaktivität verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu schaffen. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob alle SNS-Themen mit KMS verschlüsselt sind
|
Vpc Default Security Group Closed
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Steuerung wird geprüft, ob die Standardsicherheitsgruppe einer VPC eingehenden oder ausgehenden Traffic zulässt. Die Steuerung schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Traffic zulässt. Die Regeln für die Standardsicherheitsgruppe lassen den gesamten ausgehenden und eingehenden Traffic von Netzwerkschnittstellen (und den zugehörigen Instanzen) zu, die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, nicht die Standardsicherheitsgruppe zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Einstellung für die Standardregeln für Sicherheitsgruppen ändern, um den ein- und ausgehenden Traffic einzuschränken. Dadurch wird unbeabsichtigter Traffic verhindert, wenn die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2-Instanzen konfiguriert wurde. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt
|
Vpc Flow Logging Enabled All Vpcs
Kategoriename in der API: |
Ergebnisbeschreibung: VPC-Flusslogs sind ein Feature, mit dem Sie Informationen über den IP-Traffic erfassen können, der an Netzwerkschnittstellen in Ihrer VPC ein- und ausgeht. Nachdem Sie ein Flusslog erstellt haben, können Sie dessen Daten in Amazon CloudWatch-Logs ansehen und abrufen. Es wird empfohlen, VPC-Flusslogs für das Paket „Abgelehnt“ für VPCs zu aktivieren. Preisstufe: Enterprise Compliance-Standards:
|
Achten Sie darauf, dass VPC-Fluss-Logging in allen VPCs aktiviert ist
|
Vpc Sg Open Only To Authorized Ports
Kategoriename in der API: |
Ergebnisbeschreibung: Dieses Steuerelement prüft, ob eine Amazon EC2-Sicherheitsgruppe uneingeschränkten eingehenden Traffic von nicht autorisierten Ports zulässt. Der Status der Kontrollgruppe wird wie folgt bestimmt: Wenn Sie den Standardwert für AuthorizedTcpPorts verwenden, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von jedem Port außer den Ports 80 und 443 zulässt. Wenn Sie benutzerdefinierte Werte für „authorizedTcpPorts“ oder „authorizedUdpPorts“ angeben, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem nicht aufgeführten Port zulässt. Wird kein Parameter verwendet, schlägt die Steuerung bei allen Sicherheitsgruppen fehl, für die eine Regel für uneingeschränkten eingehenden Traffic gilt. Sicherheitsgruppen bieten eine zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS. Regeln für Sicherheitsgruppen sollten dem Prinzip der geringsten Berechtigung folgen. Uneingeschränkter Zugriff (IP-Adresse mit einem /0-Suffix) erhöht die Wahrscheinlichkeit für schädliche Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverluste. Sofern ein Port nicht ausdrücklich zugelassen ist, sollte er uneingeschränkten Zugriff verweigern. Preisstufe: Enterprise Compliance-Standards:
|
Prüft, ob Sicherheitsgruppen mit 0.0.0.0/0 einer beliebigen VPC nur bestimmten eingehenden TCP/UDP-Traffic zulassen
|
Both VPC VPN Tunnels Up
Kategoriename in der API: |
Ergebnisbeschreibung: Ein VPN-Tunnel ist eine verschlüsselte Verbindung, über die Daten innerhalb einer AWS Site-to-Site-VPN-Verbindung vom Kundennetzwerk zu oder von AWS übertragen werden können. Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie gleichzeitig für Hochverfügbarkeit nutzen können. Es ist wichtig, dass beide VPN-Tunnel für eine VPN-Verbindung aktiv sind, um eine sichere und hochverfügbare Verbindung zwischen einer AWS-VPC und Ihrem Remote-Netzwerk zu gewährleisten. Mit dieser Steuerung wird geprüft, ob beide von AWS Site-to-Site VPN bereitgestellten VPN-Tunnel den Status „UP“ haben. Die Steuerung schlägt fehl, wenn sich einer oder beide Tunnel im AUS-Status befinden. Preisstufe: Enterprise Compliance-Standards:
|
Überprüft, ob beide AWS VPC-Tunnel, die von AWS Site-to-Site bereitgestellt werden, im UP-Status sind
|
Web Security Scanner-Ergebnisse
Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.
| Kategorie | Ergebnisbeschreibung | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
|---|---|---|---|
Accessible Git repository
Kategoriename in der API: |
Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository.
Preisstufe: Standard |
A5 | A01 |
Accessible SVN repository
Kategoriename in der API: |
Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository.
Preisstufe: Standard |
A5 | A01 |
Cacheable password input
Kategoriename in der API: |
In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden.
Preisstufe: Premium |
A3 | A04 |
Clear text password
Kategoriename in der API: |
Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort.
Preisstufe: Standard |
A3 | A02 |
Insecure allow origin ends with validation
Kategoriename in der API: |
Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Suffix des Anfrageheaders Origin, bevor er im Antwortheader Access-Control-Allow-Origin widergespiegelt wird. Prüfen Sie zur Korrektur dieses Ergebnisses, ob die erwartete Stammdomain Teil des Headerwerts Origin ist, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben. Stellen Sie bei Subdomain-Platzhaltern der Stammdomain einen Punkt voran, z. B. .endsWith(".google.com").
Preisstufe: Premium |
A5 | A01 |
Insecure allow origin starts with validation
Kategoriename in der API: |
Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Präfix des Anfrageheaders Origin, bevor er im Antwortheader Access-Control-Allow-Origin widergespiegelt wird. Um dieses Ergebnis zu korrigieren, prüfen Sie, ob die erwartete Domain vollständig mit dem Headerwert Origin übereinstimmt, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben, z. B. .equals(".google.com").
Preisstufe: Premium |
A5 | A01 |
Invalid content type
Kategoriename in der API: |
Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu korrigieren, legen Sie für den HTTP-Header X-Content-Type-Options den richtigen Wert fest.
Preisstufe: Standard |
A6 | A05 |
Invalid header
Kategoriename in der API: |
Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
Preisstufe: Standard |
A6 | A05 |
Mismatching security header values
Kategoriename in der API: |
Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
Preisstufe: Standard |
A6 | A05 |
Misspelled security header name
Kategoriename in der API: |
Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
Preisstufe: Standard |
A6 | A05 |
Mixed content
Kategoriename in der API: |
Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden.
Preisstufe: Standard |
A6 | A05 |
Outdated library
Kategoriename in der API: |
Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben.
Preisstufe: Standard |
A9 | A06 |
Server side request forgery
Kategoriename in der API: |
Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben.
Preisstufe: Standard |
Nicht zutreffend | A10 |
Session ID leak
Kategoriename in der API: |
Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzungs-ID des Nutzers im Anfrageheader Referer. Diese Sicherheitslücke gewährt der empfangenden Domain Zugriff auf die Sitzungs-ID, mit der die Identität des Nutzers angenommen oder dieser sicher identifiziert werden kann.
Preisstufe: Premium |
A2 | A07 |
SQL injection
Kategoriename in der API: |
Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen, um dieses Ergebnis anzusprechen.
Preisstufe: Premium |
A1 | A03 |
Struts insecure deserialization
Kategoriename in der API: |
Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren.
Preisstufe: Premium |
A8 | A08 |
XSS
Kategoriename in der API: |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.
Preisstufe: Standard |
A7 | A03 |
XSS angular callback
Kategoriename in der API: |
Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden, um das Problem zu beheben.
Preisstufe: Standard |
A7 | A03 |
XSS error
Kategoriename in der API: |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.
Preisstufe: Standard |
A7 | A03 |
XXE reflected file leakage
Kategoriename in der API: |
Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host offenlegt. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben.
Preisstufe: Premium |
A4 | A05 |
Prototype pollution
Kategoriename in der API: |
Die Anwendung ist anfällig für Umweltverschmutzung durch Prototypen. Diese Sicherheitslücke entsteht, wenn Eigenschaften des Object.prototype-Objekts vom Angreifer steuerbare Werte zugewiesen werden können. Es wird angenommen, dass sich die Werte, die in diesen Prototypen eingefügt wurden, in Cross-Site-Scripting oder ähnliche clientseitige Sicherheitslücken sowie Logikfehler niederschlagen.
Preisstufe: Standard |
A1 | A03 |
Ergebnisse und Behebungen von Rapid Vulnerability Detection
Rapid Vulnerability Detection erkennt schwache Anmeldedaten, unvollständige Softwareinstallationen und andere kritische Sicherheitslücken, bei denen die Wahrscheinlichkeit einer Ausnutzung sehr hoch ist. Der Dienst erkennt automatisch Netzwerkendpunkte, Protokolle, offene Ports, Netzwerkdienste und installierte Softwarepakete.
Die Ergebnisse der schnellen Sicherheitslückenerkennung sind frühzeitig eine Warnung vor Sicherheitslücken und wir empfehlen Ihnen, diese sofort zu beheben.
Informationen zum Aufrufen der Ergebnisse finden Sie unter Ergebnisse in Security Command Center prüfen.
Rapid Vulnerability Detection-Scans identifizieren die folgenden Ergebnistypen.
| Ergebnistyp | Ergebnisbeschreibung | OWASP-Top-10-Codes |
|---|---|---|
| Schwache Anmeldedaten | ||
WEAK_CREDENTIALS
|
Dieser Detektor sucht nach schwachen Anmeldedaten mithilfe von Bruch-Force-Methoden vom Typ ncrack. Unterstützte Dienste: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Lösung : Erzwingen Sie eine Richtlinie für starke Passwörter. Erstellen Sie eindeutige Anmeldedaten für Ihre Dienste und vermeiden Sie die Verwendung von Wörterbuchwörtern in Passwörtern. |
2021 A07 2017 A2 |
| Ergebnisse der verfügbaren Schnittstelle | ||
ELASTICSEARCH_API_EXPOSED
|
Mit der
Elasticsearch API können Aufrufer beliebige Abfragen ausführen, Skripts schreiben und ausführen sowie dem Dienst weitere Dokumente hinzufügen.
Abhilfe: Entfernen Sie den direkten Zugriff auf die Elasticsearch API, indem Sie Anfragen über eine Anwendung weiterleiten, oder beschränken Sie den Zugriff auf authentifizierte Nutzer. Weitere Informationen finden Sie unter Sicherheitseinstellungen in Elasticsearch. |
2021 A01, A05 2017 A5, A6 |
EXPOSED_GRAFANA_ENDPOINT
|
In Grafana 8.0.0 bis 8.3.0 können Nutzer ohne Authentifizierung auf einen Endpunkt zugreifen, der eine Sicherheitslücke beim Verzeichnisdurchlauf hat, sodass Nutzer beliebige Dateien auf dem Server ohne Authentifizierung lesen können. Weitere Informationen finden Sie unter CVE-2021-43798. Problembehebung : Patchen Sie Grafana oder führen Sie ein Upgrade von Grafana auf eine neuere Version durch. Weitere Informationen finden Sie unter Grafana-Pfaddurchlauf. |
2021 A06, A07 2017 A2, A9 |
EXPOSED_METABASE
|
Die Versionen x.40.0 bis x.40.4 von Metabase, einer Open-Source-Datenanalyseplattform, enthalten eine Sicherheitslücke bei der Unterstützung benutzerdefinierter GeoJSON-Karten und bei der potenziellen Aufnahme von lokalen Dateien, einschließlich Umgebungsvariablen. URLs wurden vor dem Laden nicht überprüft. Weitere Informationen finden Sie unter CVE-2021-41277. Abhilfe:Führen Sie ein Upgrade auf die Wartungsversion 0.40.5 oder höher bzw. 1.40.5 oder höher durch. Weitere Informationen finden Sie unter Die GeoJSON-URL-Validierung kann nicht autorisierten Nutzern Serverdateien und Umgebungsvariablen zur Verfügung stellen. |
2021 A06 2017 A3, A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
Dieser Detektor prüft, ob vertrauliche Bedienelement-Endpunkte von
Spring Boot-Anwendungen verfügbar gemacht werden. Einige der Standardendpunkte wie /heapdump können vertrauliche Informationen enthalten. Andere Endpunkte wie /env können zur Remote-Codeausführung führen.
Derzeit ist nur /heapdump ausgewählt.
Abhilfe : Deaktivieren Sie den Zugriff auf vertrauliche Bedienelementendpunkte. Weitere Informationen finden Sie unter HTTP-Endpunkte sichern. |
2021 A01, A05 2017 A5, A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
Dieser Detektor prüft, ob die
Hadoop Yarn ResourceManager API, die die Rechen- und Speicherressourcen eines Hadoop-Clusters steuert, verfügbar ist und die Ausführung von nicht authentifiziertem Code ermöglicht.
Abhilfe: Verwenden Sie Zugriffssteuerungslisten mit der API. |
2021 A01, A05 2017 A5, A6 |
JAVA_JMX_RMI_EXPOSED
|
Die
Java Management Extension (JMX) ermöglicht Remote-Monitoring und -Diagnose für Java-Anwendungen. Wenn Sie JMX mit einem ungeschützten Remote Methode-Aufrufendpunkt ausführen, können alle Remote-Nutzer eine javax.management.loading.MLet MBean-Datei erstellen und damit neue MBeans aus beliebigen URLs erstellen.
Abhilfe: Informationen zum ordnungsgemäßen Konfigurieren des Remote-Monitoring finden Sie unter Monitoring und Verwaltung mit JMX-Technologie. |
2021 A01, A05 2017 A5, A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
Dieser Detektor prüft, ob ein nicht authentifizierte Jupyter Notebook verfügbar ist. Jupyter ermöglicht Remote-Codeausführung auf dem Hostcomputer.
Ein nicht authentifiziertes Jupyter Notebook setzt die Hosting-VM dem Risiko aus, dass Code per Fernzugriff ausgeführt wird.
Abhilfe : Fügen Sie Ihrem Jupyter Notebook-Server die Tokenauthentifizierung hinzu oder verwenden Sie neuere Versionen von Jupyter Notebook, die standardmäßig die Tokenauthentifizierung verwenden. |
2021 A01, A05 2017 A5, A6 |
KUBERNETES_API_EXPOSED
|
Die
Kubernetes API wird bereitgestellt und kann von nicht authentifizierten Aufrufern aufgerufen werden. Dies ermöglicht die beliebige Codeausführung auf dem Kubernetes-Cluster.
Abhilfe : Legen Sie eine Authentifizierung für alle API-Anfragen fest. Weitere Informationen finden Sie in der Kubernetes API-Anleitung zur Authentifizierung. |
2021 A01, A05 2017 A5, A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
Dieser Detektor prüft, ob eine WordPress-Installation abgeschlossen ist. Nach einer nicht abgeschlossenen WordPress-Installation wird die Seite /wp-admin/install.php sichtbar gemacht. Dadurch kann der Angreifer das Administratorpasswort festlegen und möglicherweise das System kompromittieren.
Abhilfe: Schließen Sie die WordPress-Installation ab. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
Dieser Detektor sucht nach einer nicht authentifizierten Jenkins-Instanz, indem er einen Prüf-Ping als anonymer Besucher an den /view/all/newJob-Endpunkt sendet. Eine authentifizierte Jenkins-Instanz zeigt das Formular createItem an. Damit können beliebige Jobs erstellt werden, die zur Remote-Codeausführung führen können.
Lösung: Folgen Sie der Jenkins-Anleitung zum Verwalten der Sicherheit, um nicht authentifizierte Zugriffe zu blockieren. |
2021 A01, A05 2017 A5, A6 |
| Ergebnisse zu Sicherheitslücken | ||
APACHE_HTTPD_RCE
|
In Apache HTTP Server 2.4.49 wurde eine Schwachstelle festgestellt, die es einem Angreifer ermöglicht, über einen Pfaddurchlauf-Angriff URLs Dateien außerhalb des erwarteten Dokumentenstamms zuzuordnen und die Quelle interpretierter Dateien wie CGI-Skripts zu sehen. Diese Problematik wird bereits in freier Wildbahn ausgenutzt. Dieses Problem betrifft Apache 2.4.49 und 2.4.50, aber keine früheren Versionen. Weitere Informationen zu dieser Sicherheitslücke finden Sie unter: Abhilfe: Schützen Sie Dateien außerhalb des Dokumentenstamms, indem Sie in Apache HTTP Server die Anweisung „require all disapproved“ konfigurieren. |
2021 A01, A06 2017 A5, A9 |
APACHE_HTTPD_SSRF
|
Angreifer können einen URI zum Apache-Webserver erstellen. Dadurch leitet Abhilfe: Führen Sie ein Upgrade des Apache HTTP-Servers auf eine neuere Version durch. |
2021 A06, A10 2017 A9 |
CONSUL_RCE
|
Angreifer können beliebigen Code auf einem Consul-Server ausführen, da die Consul-Instanz mit
Nach der Prüfung wird der Dienst von Rapid Vulnerability Detection mithilfe des REST-Endpunkts Abhilfe : Setzen Sie „enable-script-checks“ in der Konfiguration der Console-Instanz auf |
2021 A05, A06 2017 A6, A9 |
DRUID_RCE
|
Apache Druid bietet die Möglichkeit, von Nutzern bereitgestellten JavaScript-Code auszuführen, der in verschiedene Arten von Anfragen eingebettet ist. Diese Funktion ist für den Einsatz in Umgebungen mit hoher Vertrauenswürdigkeit vorgesehen und standardmäßig deaktiviert. In Druid 0.20.0 und früheren Versionen ist es jedoch für einen authentifizierten Nutzer möglich, eine speziell entwickelte Anfrage zu senden, die Druid dazu zwingt, vom Nutzer bereitgestellten JavaScript-Code für diese Anfrage auszuführen, unabhängig von der Serverkonfiguration. Dies kann genutzt werden, um Code mit den Berechtigungen des Druid-Serverprozesses auf dem Zielcomputer auszuführen. Weitere Informationen finden Sie unter CVE-2021-25646 Detail. Abhilfe : Führen Sie ein Upgrade von Apache Druid auf eine höhere Version durch. |
2021 A05, A06 2017 A6, A9 |
DRUPAL_RCE
Diese Kategorie umfasst zwei Sicherheitslücken in Drupal. Mehrere Ergebnisse dieses Typs können auf mehr als eine Sicherheitslücke hinweisen. |
Drupal-Versionen vor 7.58, 8.x vor 8.3.9, 8.4.x vor 8.4.6 und 8.5.x vor 8.5.1 sind anfällig für die Remote-Code-Ausführung auf AJAX-Anfragen über Form API.
Abhilfe: Führen Sie ein Upgrade auf alternative Drupal-Versionen durch. |
2021 A06 2017 A9 |
| Die
Drupal-Versionen 8.5.x vor 8.5.11 und 8.6.x vor 8.6.10 sind anfällig für die Remote-Codeausführung, wenn entweder das RESTful Web Service-Modul oder die JSON:API aktiviert ist. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer mithilfe einer benutzerdefinierten POST-Anfrage ausgenutzt werden.
Abhilfe: Führen Sie ein Upgrade auf alternative Drupal-Versionen durch. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Durch eine Sicherheitslücke in
Apache Flink-Versionen 1.11.0, 1.11.1 und 1.11.2 können Angreifer jede Datei im lokalen Dateisystem des JobManagers über die REST-Schnittstelle lesen des JobManager-Prozesses. Der Zugriff ist auf Dateien beschränkt, auf die über den JobManager-Prozess zugegriffen werden kann.
Abhilfe: Wenn Ihre Flink-Instanzen gefährdet sind, führen Sie ein Upgrade auf Flink 1.11.3 oder 1.12.0 durch. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
Ab Version 11.9 von GitLab Community Edition (CE) und Enterprise Edition (EE) validiert GitLab Bilddateien, die an einen Dateiparser übergeben werden, nicht ordnungsgemäß. Ein Angreifer kann diese Sicherheitslücke für die Remoteausführung von Befehlen ausnutzen. Abhilfe: Führen Sie ein Upgrade auf GitLab CE oder EE Release 13.10.3, 13.9.6 und 13.8.8 oder höher aus. Weitere Informationen finden Sie unter Maßnahmen für selbstverwaltete Kunden als Reaktion auf CVE-2021-22205 erforderlich. |
2021 A06 2017 A9 |
GoCD_RCE
|
In GoCD 21.2.0 und früheren Versionen gibt es einen Endpunkt, auf den ohne Authentifizierung zugegriffen werden kann. Dieser Endpunkt hat eine Sicherheitslücke beim Verzeichnisdurchlauf, durch die Nutzer jede Datei auf dem Server ohne Authentifizierung lesen können. Abhilfe: Führen Sie ein Upgrade auf Version 21.3.0 oder höher durch. Weitere Informationen finden Sie in den Versionshinweisen von GoCD 21.3.0. |
2021 A06, A07 2017 A2, A9 |
JENKINS_RCE
|
Die
Jenkins-Versionen 2.56 und früher sowie 2.46.1 LTS und niedriger sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer ausgelöst werden, der ein schädliches serielles Java-Objekt verwendet.
Abhilfe : Installieren Sie eine alternative Jenkins-Version. |
2021 A06, A08 2017 A8, A9 |
JOOMLA_RCE
Diese Kategorie enthält zwei Sicherheitslücken in Joomla. Mehrere Ergebnisse dieses Typs können auf mehr als eine Sicherheitslücke hinweisen. |
Die
Joomla-Versionen 1.5.x, 2.x und 3.x vor 3.4.6 sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann mit einem erstellten Header mit seriellen PHP-Objekten ausgelöst werden.
Problembehebung : Installieren Sie eine alternative Joomla-Version. |
2021 A06, A08 2017 A8, A9 |
|
Joomla-Versionen 3.0.0 bis 3.4.6 sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann durch Senden einer POST-Anfrage ausgelöst werden, die ein fertiges, serielles PHP-Objekt enthält.
Problembehebung : Installieren Sie eine alternative Joomla-Version. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
In Apache Log4j2 2.14.1 und früheren Versionen schützen JNDI-Features, die in Konfigurationen, Lognachrichten und Parametern verwendet werden, nicht vor von einem Angreifer gesteuerten LDAP- und anderen JNDI-bezogenen Endpunkten. Weitere Informationen finden Sie unter CVE-2021-44228. Lösung: Informationen zur Abhilfe finden Sie unter Apache Log4j-Sicherheitslücken. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
MantisBT durch Version 2.3.0 ermöglicht das Zurücksetzen von Passwörtern und nicht authentifizierten Administratorzugriff. Dazu wird verify.php ein leerer Wert confirm_hash bereitgestellt.
Lösung : Aktualisieren Sie MantisBT auf eine neuere Version oder folgen Sie der Anleitung von Mantis, um ein kritisches Sicherheitsupdate anzuwenden. |
2021 A06 2017 A9 |
OGNL_RCE
|
Server- und Rechenzentrumsinstanzen von Confluence enthalten eine OGNL-Injection-Sicherheitslücke, über die nicht authentifizierte Angreifer beliebigen Code ausführen können. Weitere Informationen finden Sie unter CVE-2021-26084. Abhilfe: Informationen zur Abhilfe finden Sie unter Confluence Server Webwork OGNL-Einschleusung – CVE-2021-26084. |
2021 A03 2017 A1 |
OPENAM_RCE
|
Der OpenAM-Server 14.6.2 und niedriger und ForgeRock AM Server 6.5.3 und niedriger haben eine Sicherheitslücke in der Java-Deserialisierung im Parameter Abhilfe:Führen Sie ein Upgrade auf eine neuere Version durch. Informationen zur Abhilfe durch ForgeRock finden Sie unter AM Security Advisory #202104. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke, darunter die Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Diese leicht ausnutzbare Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer, der über HTTP Netzwerkzugriff hat, einen Oracle WebLogic Server zu missbrauchen. Erfolgreiche Angriffe dieser Sicherheitslücke können zu einer Übernahme von Oracle WebLogic Server führen. Weitere Informationen finden Sie unter CVE-2020-14882. Abhilfe: Informationen zu Patches finden Sie unter Oracle – Beratung zu kritischen Patchupdates – Oktober 2020. |
2021 A06, A07 2017 A2, A9 |
PHPUNIT_RCE
|
PHPUnit-Versionen vor 5.6.3 ermöglichen die Ausführung von Remote-Code mit einer einzelnen nicht authentifizierten POST-Anfrage.
Abhilfe : Führen Sie ein Upgrade auf neuere PHPUnit-Versionen durch. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
PHP-Versionen vor 5.3.12 und Versionen 5.4.x vor 5.4.2 ermöglichen die Remote-Ausführung von Code, wenn sie als CGI-Skript konfiguriert sind. Der gefährdete Code verarbeitet Abfragestrings, denen das Zeichen = (Gleichheitszeichen) fehlt, nicht richtig. Dadurch können Angreifer Befehlszeilenoptionen hinzufügen, die auf dem Server ausgeführt werden.
Abhilfe : Installieren Sie eine alternative PHP-Version. |
2021 A05, A06 2017 A6, A9 |
PORTAL_RCE
|
Die Deserialisierung nicht vertrauenswürdiger Daten in Versionen des
Liferay-Portals vor Version 7.2.1 CE GA2 ermöglicht Remote-Angriffen die Ausführung von beliebigem Code über JSON-Webdienste.
Abhilfe : Führen Sie ein Upgrade auf neuere Liferay-Portal-Versionen durch. |
2021 A06, A08 2017 A8, A9 |
REDIS_RCE
|
Wenn für eine Redis-Instanz keine Authentifizierung zum Ausführen von Administratorbefehlen erforderlich ist, können Angreifer möglicherweise beliebigen Code ausführen. Abhilfe: Konfigurieren Sie Redis so, dass eine Authentifizierung erforderlich ist. |
2021 A01, A05 2017 A5, A6 |
SOLR_FILE_EXPOSED
|
Die Authentifizierung ist im Open-Source-Suchserver Apache Solr nicht aktiviert. Wenn Apache Solr keine Authentifizierung erfordert, kann ein Angreifer direkt eine Anfrage zur Aktivierung einer bestimmten Konfiguration erstellen und schließlich eine serverseitige Anfragefälschung (SSRF) implementieren oder beliebige Dateien lesen. Abhilfe : Führen Sie ein Upgrade auf alternative Apache Solr-Versionen durch. |
2021 A07, A10 2017 A2 |
SOLR_RCE
|
Die
Apache Solr-Versionen 5.0.0 bis Apache Solr 8.3.1 sind anfällig für die Remote-Codeausführung über VelocityResponseWriter, wenn params.resource.loader.enabled auf true gesetzt ist. Dadurch können Angreifer einen Parameter erstellen, der eine schädliche Velocity-Vorlage enthält.
Abhilfe : Führen Sie ein Upgrade auf alternative Apache Solr-Versionen durch. |
2021 A06 2017 A9 |
STRUTS_RCE
Diese Kategorie umfasst drei Sicherheitslücken in Apache Struts. Mehrere Ergebnisse dieses Typs können auf mehr als eine Sicherheitslücke hinweisen. |
Apache Struts-Versionen vor 2.3.32 und 2.5.x vor 2.5.10.1 sind für die Remote-Codeausführung anfällig. Die Sicherheitslücke kann von einem nicht authentifizierten Angreifer ausgelöst werden, der einen erstellten Content-Type-Header bereitstellt.
Abhilfe : Installieren Sie eine alternative Apache Struts-Version. |
2021 A06 2017 A9 |
| Das
REST-Plug-in in den Apache Struts-Versionen 2.1.1 bis 2.3.x vor 2.3.34 und 2.5.x vor 2.5.13 ist anfällig für die Remote-Codeausführung, wenn erstellte XML-Nutzlasten deserialisiert werden.
Abhilfe : Installieren Sie eine alternative Apache Struts-Version. |
2021 A06, A08 2017 A8, A9 |
|
Die
Apache Struts-Versionen 2.3 bis 2.3.34 und 2.5 bis 2.5.16 sind für die Ausführung von Remote-Code anfällig, wenn alwaysSelectFullNamespace auf true gesetzt ist und bestimmte Es sind noch andere Aktionskonfigurationen vorhanden.
Problembehebung : Installieren Sie Version 2.3.35 oder 2.5.17. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Apache Tomcat-Versionen 9.x vor 9.0.31, 8.x vor 8.5.51, 7.x vor 7.0.100 und alle 6.x sind anfällig für Quellcode und die Offenlegung der Konfiguration über einen bereitgestellten Apache JServ Protocol-Connector. In manchen Fällen wird diese Funktion für die Ausführung von Remote-Code verwendet, wenn das Hochladen von Dateien erlaubt ist.
Abhilfe:Führen Sie ein Upgrade auf alternative Apache Tomcat-Versionen durch. |
2021 A06 2017 A3, A9 |
VBULLETIN_RCE
|
Bei
vBulletin-Servern, auf denen die Versionen 5.0.0 bis 5.5.4 ausgeführt werden, kann die Ausführung von Remote-Code nicht ausgeführt werden. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer ausgenutzt werden, der einen Abfrageparameter in einer routestring-Anfrage verwendet.
Abhilfe: Führen Sie ein Upgrade auf alternative VMware vCenter Server-Versionen durch. |
2021 A03, A06 2017 A1, A9 |
VCENTER_RCE
|
VMware vCenter Server-Versionen 7.x vor 7.0 U1c, 6.7 vor 6.7 U3l
und 6.5 vor 6.5 U3n sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann ausgelöst werden, wenn ein Angreifer eine erstellte Java-Serverseiten-Datei in ein über das Internet zugängliches Verzeichnis hochlädt und dann die Ausführung dieser Datei auslöst.
Abhilfe: Führen Sie ein Upgrade auf alternative VMware vCenter Server-Versionen durch. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke bei der Remote-Codeausführung, darunter die Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.0.1.1. Diese Sicherheitslücke hängt mit CVE-2020-14750, CVE-2020-14882 und CVE-2020-14883 zusammen. Weitere Informationen finden Sie unter CVE-2020-14883. Abhilfe: Informationen zu Patches finden Sie unter Oracle – Beratung zu kritischen Patchupdates – Oktober 2020. |
2021 A06, A07 2017 A2, A9 |
Ergebnisse des IAM-Recommenders
In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die vom IAM Recommender generiert wurden.
Jedes IAM-Recommender-Ergebnis enthält spezifische Empfehlungen zum Entfernen oder Ersetzen einer Rolle, die übermäßige Berechtigungen von einem Hauptkonto in Ihrer Google Cloud-Umgebung enthält.
Die vom IAM-Recommender generierten Ergebnisse entsprechen Empfehlungen, die in der Google Cloud Console auf der IAM-Seite des betroffenen Projekts, Ordners oder der betroffenen Organisation angezeigt werden.
Weitere Informationen zur Einbindung des IAM-Recommenders in Security Command Center finden Sie unter Sicherheitsquellen.
| Detektor | Zusammenfassung |
|---|---|
IAM role has excessive permissions
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Recommender hat ein Dienstkonto mit einer oder mehreren IAM-Rollen erkannt, die dem Nutzerkonto übermäßige Berechtigungen gewähren. Preisstufe: Premium Unterstützte Assets:
Korrigieren Sie dieses Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden auf |
Service agent role replaced with basic role
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Recommender hat festgestellt, dass die ursprüngliche IAM-Standardrolle, die einem Dienst-Agent gewährt wurde, durch eine der einfachen IAM-Rollen Inhaber, Bearbeiter oder Betrachter ersetzt wurde. Einfache Rollen sind Legacy-Rollen mit zu umfangreichen Berechtigungen und sollten keinen Dienst-Agents gewährt werden. Preisstufe: Premium Unterstützte Assets:
Korrigieren Sie dieses Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden auf |
Service agent granted basic role
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Recommender hat IAM erkannt, dass einem Dienst-Agent eine der einfachen IAM-Rollen gewährt wurde: Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind Legacy-Rollen mit zu umfangreichen Berechtigungen und sollten keinen Dienst-Agents gewährt werden. Preisstufe: Premium Unterstützte Assets:
Korrigieren Sie dieses Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden auf |
Unused IAM role
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Recommender hat ein Nutzerkonto mit einer IAM-Rolle erkannt, die in den letzten 90 Tagen nicht verwendet wurde. Preisstufe: Premium Unterstützte Assets:
Korrigieren Sie dieses Ergebnis : Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses innerhalb von 24 Stunden auf |
Ergebnisse des Sicherheitsstatusdienstes
In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die vom Dienst für den Sicherheitsstatus generiert wurden.
Jedes Ergebnis des Diensts zum Sicherheitsstatus identifiziert eine Abweichung von Ihrem definierten Sicherheitsstatus.
| Ergebnis | Zusammenfassung |
|---|---|
SHA Canned Module Drifted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einem Security Health Analytics-Detektor erkannt, die außerhalb eines Statusupdates aufgetreten ist. Preisstufe: Premium
Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Detektoreinstellungen in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können den Security Health Analytics-Detektor aktualisieren oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie den Security Health Analytics-Detektor in der Google Cloud Console. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. So akzeptieren Sie die Änderung:
|
SHA Custom Module Drifted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einem benutzerdefinierten Security Health Analytics-Modul erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Einstellungen für das benutzerdefinierte Modul in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Modul von Security Health Analytics aktualisieren oder Sie können die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Modul für Security Health Analytics in der Google Cloud Console. Eine Anleitung finden Sie unter Benutzerdefiniertes Modul aktualisieren. So akzeptieren Sie die Änderung:
|
SHA Custom Module Deleted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat erkannt, dass ein benutzerdefiniertes Security Health Analytics-Modul gelöscht wurde. Dieser Löschvorgang ist außerhalb eines Statusupdates erfolgt. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Einstellungen für das benutzerdefinierte Modul in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Modul von Security Health Analytics aktualisieren oder Sie können die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Modul für Security Health Analytics in der Google Cloud Console. Eine Anleitung finden Sie unter Benutzerdefiniertes Modul aktualisieren. So akzeptieren Sie die Änderung:
|
Org Policy Canned Constraint Drifted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer Organisationsrichtlinie erkannt, die außerhalb einer Aktualisierung des Sicherheitsstatus aufgetreten ist. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Richtlinien erstellen und bearbeiten. So akzeptieren Sie die Änderung:
|
Org Policy Canned Constraint Deleted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Dieser Löschvorgang ist außerhalb eines Statusupdates erfolgt. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Richtlinien erstellen und bearbeiten. So akzeptieren Sie die Änderung:
|
Org Policy Custom Constraint Drifted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer benutzerdefinierten Organisationsrichtlinie erkannt, die außerhalb einer Aktualisierung des Sicherheitsstatus aufgetreten ist. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der benutzerdefinierten Organisationsrichtlinien in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und ‐status aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. So akzeptieren Sie die Änderung:
|
Org Policy Custom Constraint Deleted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat erkannt, dass eine benutzerdefinierte Organisationsrichtlinie gelöscht wurde. Dieser Löschvorgang ist außerhalb eines Statusupdates erfolgt. Preisstufe: Premium Korrigieren Sie dieses Ergebnis : Für dieses Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der benutzerdefinierten Organisationsrichtlinien in Ihrem Sicherheitsstatus und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und ‐status aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. So akzeptieren Sie die Änderung:
|
VM Manager
VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.
Wenn Sie VM Manager mit Security Command Center Premium auf Organisationsebene aktivieren, schreibt VM Manager Ergebnisse aus den Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, in Security Command Center. Die Berichte enthalten Sicherheitslücken in Betriebssystemen, die auf VMs installiert sind, einschließlich Common Vulnerabilities and Exposures (CVEs).
Wenn Sie VM Manager mit Aktivierungen auf Projektebene von Security Command Center Premium verwenden möchten, aktivieren Sie Security Command Center Standard in der übergeordneten Organisation.
Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.
Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit diesem Feature können Sie die Patchverwaltung auf Projektebene für alle Projekte vornehmen.
Der Schweregrad der Ergebnisse zu Sicherheitslücken, die von VM Manager empfangen werden, ist immer entweder CRITICAL oder HIGH.
VM Manager-Ergebnisse
Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.
| Detektor | Zusammenfassung | Asset-Scaneinstellungen | Compliance-Standards |
|---|---|---|---|
OS vulnerability
Kategoriename in der API: |
Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt. Preisstufe: Premium
Unterstützte Assets |
VM Manager Berichte zu Sicherheitslücken Detaillierte Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine-VMs, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs). Eine vollständige Liste der unterstützten Betriebssysteme finden Sie in den Details zu Betriebssystemen.Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt:
|
Korrekturmaßnahmen für VM-Manager-Ergebnisse
Ein OS_VULNERABILITY-Ergebnis gibt an, dass VM Manager eine Sicherheitslücke in den installierten Betriebssystempaketen in einer Compute Engine-VM gefunden hat.
So können Sie dieses Ergebnis beheben:
Rufen Sie im Security Command Center die Seite Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie unter Schnellfilter im Unterabschnitt Kategorie die Option Sicherheitslücke des Betriebssystems aus. Die Ergebnisse der Ergebnisabfrage werden so gefiltert, dass nur Ergebnisse zu Sicherheitslücken des Betriebssystems angezeigt werden.
Klicken Sie in der Liste Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf den Kategorienamen des Ergebnisses, das Sie korrigieren möchten. Die Detailseite für die Sicherheitslücke des Betriebssystems wird geöffnet.
Klicken Sie auf den Tab JSON. Die JSON-Datei für dieses Ergebnis wird angezeigt.
Kopieren Sie den Wert des Felds
externalUri. Dieser Wert ist der URI für die Seite Betriebssysteminformationen der Compute Engine-VM-Instanz, in der das anfällige Betriebssystem installiert ist.Wenden Sie alle geeigneten Patches für das Betriebssystem an, das im Abschnitt Allgemeine Informationen angezeigt wird. Eine Anleitung zum Bereitstellen von Patches finden Sie unter Patchjobs erstellen.
Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Ergebnisse in der Google Cloud Console prüfen
So prüfen Sie die Ergebnisse in der Google Cloud Console:
Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option VM Manager aus.
Die Tabelle wird mit den Ergebnissen von VM Manager gefüllt.
Klicken Sie auf den Namen des Ergebnisses unter
Category, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.Prüfen Sie auf dem Tab Zusammenfassung die Informationen zum Ergebnis, einschließlich Informationen darüber, was erkannt wurde, zu der betroffenen Ressource und mehr.
Informationen zum Korrigieren von VM Manager-Ergebnissen finden Sie unter VM Manager-Ergebnisse korrigieren.
VM Manager-Ergebnisse ausblenden
Möglicherweise möchten Sie einige oder alle VM Manager-Ergebnisse in Security Command Center ausblenden, wenn sie für Ihre Sicherheitsanforderungen nicht relevant sind.
Sie können VM Manager-Ergebnisse ausblenden, indem Sie eine Ausblendungsregel erstellen und Abfrageattribute für die VM Manager-Ergebnisse hinzufügen, die ausgeblendet werden sollen.
So erstellen Sie mit der Google Cloud Console eine Ausblendungsregel für VM Manager:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Klicken Sie auf Ausblendungsoptionen und wählen Sie Ausblendungsregel erstellen aus.
Geben Sie eine ID für eine Ausblendungs-Regel ein. Dieser Wert ist erforderlich.
Geben Sie eine Beschreibung der Ausblendungsregel ein, die den Kontext dafür enthält, warum die Ergebnisse ausgeblendet werden. Dieser Wert ist optional, wird aber empfohlen.
Bestätigen Sie den Umfang der Ausblendungsregel, indem Sie den Wert für Übergeordnete Ressource prüfen.
Erstellen Sie im Feld Ergebnisabfrage Ihre Abfrageanweisungen, indem Sie auf Filter hinzufügen klicken. Alternativ können Sie die Abfrageanweisungen manuell eingeben.
- Wählen Sie im Dialogfeld Filter auswählen die Option Ergebnis > Anzeigename der Quelle > VM Manager aus.
- Klicken Sie auf Anwenden.
Wiederholen Sie diesen Schritt, bis die Ausblendungsabfrage alle Attribute enthält, die Sie ausblenden möchten.
Wenn Sie beispielsweise bestimmte CVE-IDs in den Ergebnissen zu VM Manager-Sicherheitslücken ausblenden möchten, wählen Sie Sicherheitslücke > CVE-ID und dann die CVE-IDs aus, die ausgeblendet werden sollen.
Die Ergebnisabfrage sieht in etwa so aus:
Klicken Sie auf Vorschau übereinstimmender Ergebnisse.
Eine Tabelle zeigt Ergebnisse an, die Ihrer Abfrage entsprechen.
Klicken Sie auf Speichern.
Sensitive Data Protection
In diesem Abschnitt werden die Ergebnisse zu Sicherheitslücken beschrieben, die vom Schutz sensibler Daten generiert werden, welche Compliancestandards unterstützt werden und wie die Ergebnisse behoben werden können.
Der Schutz sensibler Daten sendet außerdem Beobachtungsergebnisse an Security Command Center. Weitere Informationen zu den Beobachtungsergebnissen und zum Schutz sensibler Daten finden Sie unter Schutz sensibler Daten.
Informationen zum Aufrufen der Ergebnisse finden Sie unter Ergebnisse zum Schutz sensibler Daten in der Google Cloud Console prüfen.
Mit dem Erkennungsdienst für den Schutz sensibler Daten können Sie feststellen, ob Ihre Cloud Functions-Umgebungsvariablen Secrets wie Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten enthalten. Eine vollständige Liste der Secret-Typen, die der Schutz sensibler Daten in dieser Funktion erkennt, finden Sie unter Anmeldedaten und Secrets.
| Ergebnistyp | Ergebnisbeschreibung | Compliancestandards |
|---|---|---|
Secrets in environment variablesKategoriename in der API: SECRETS_IN_ENVIRONMENT_VARIABLES
|
Dieser Detektor sucht nach Secrets in Cloud Functions-Umgebungsvariablen.
Abhilfe: Entfernen Sie das Secret aus der Umgebungsvariablen und speichern Sie es stattdessen in Secret Manager. |
CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18 |
Wie Sie diesen Detektor aktivieren, erfahren Sie unter Secrets in Umgebungsvariablen an Security Command Center melden in der Dokumentation zum Schutz sensibler Daten.
Policy Controller
Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster, die als Flottenmitgliedschaft registriert sind. Diese Richtlinien dienen als Leitplanken und können beim Verwalten von Best Practices, der Sicherheit und der Compliance in Ihren Clustern und Ihrer Flotte hilfreich sein.
Auf dieser Seite werden nicht alle einzelnen Policy Controller-Ergebnisse aufgeführt. Die Informationen zu den Ergebnissen der Klasse Misconfiguration, die Policy Controller in Security Command Center schreibt, sind jedoch dieselben wie die Clusterverstöße, die für jedes Policy Controller-Bundle dokumentiert sind. Die Dokumentation für die einzelnen Policy Controller-Ergebnistypen finden Sie in den folgenden Policy Controller-Bundles:
- CIS Kubernetes Benchmark v1.5.1, eine Reihe von Empfehlungen für die Konfiguration von Kubernetes, um ein hohes Sicherheitsniveau zu erreichen Sie können sich auch Informationen zu diesem Bundle im GitHub-Repository für
cis-k8s-v1.5.1ansehen. - PCI-DSS v3.2.1, ein Bundle, das die Compliance Ihrer Clusterressourcen mit einigen Aspekten des Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1 bewertet.
Sie können sich auch Informationen zu diesem Bundle im GitHub-Repository für
pci-dss-v3ansehen.
Diese Funktion ist nicht mit VPC Service Controls-Dienstperimetern rund um die Stackdriver API kompatibel.
Policy Controller-Ergebnisse finden und korrigieren
Die Policy Controller-Kategorien entsprechen den Einschränkungsnamen, die in der Dokumentation zu Policy Controller-Bundles aufgeführt sind. Ein require-namespace-network-policies-Ergebnis weist beispielsweise darauf hin, dass ein Namespace gegen die Richtlinie verstößt, dass jeder Namespace in einem Cluster einen NetworkPolicy hat.
So korrigieren Sie ein Ergebnis:
Rufen Sie im Security Command Center die Seite Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie unter Schnellfilter im Unterabschnitt Kategorie den Namen des Policy Controller-Ergebnisses aus, das Sie korrigieren möchten. Die Ergebnisse der Abfrageergebnisse werden so gefiltert, dass nur Ergebnisse für diese Kategorie angezeigt werden.
Klicken Sie in der Liste Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf den Kategorienamen des Ergebnisses, das Sie korrigieren möchten. Die Detailseite für das Ergebnis wird geöffnet.
Prüfen Sie auf dem Tab Zusammenfassung die Informationen zum Ergebnis, einschließlich Informationen darüber, was erkannt wurde, zu der betroffenen Ressource und mehr.
Unter Nächste Schritte finden Sie Informationen dazu, wie Sie das Ergebnis beheben können, einschließlich Links zur Kubernetes-Dokumentation zu diesem Problem.
Nächste Schritte
- Security Health Analytics verwenden
- Informationen zur Verwendung von Web Security Scanner
- Rapid Vulnerability Detection verwenden
- Vorschläge zur Behebung von Security Health Analytics-Ergebnissen und zur Behebung von Web Security Scanner-Ergebnissen