Los detectores de Rapid Vulnerability Detection, Security Health Analytics y Web Security Scanner generan hallazgos de vulnerabilidades que están disponibles en Security Command Center. Cuando están habilitados en Security Command Center, los servicios integrados, como VM Manager, también generan resultados de vulnerabilidades.
Las funciones y los permisos de Identity and Access Management (IAM) que se te asignan determinan tu capacidad para ver y editar los resultados. Para obtener más información sobre las funciones de IAM en Security Command Center, consulta Control de acceso.
Detectores y cumplimiento
Security Command Center supervisa el cumplimiento de los detectores asignados a los controles de una amplia variedad de estándares de seguridad.
Para cada estándar de seguridad compatible, Security Command Center verifica un subconjunto de los controles. En el caso de los controles marcados, Security Command Center te muestra cuántos están pasando. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de resultados que describen las fallas de control.
CIS revisa y certifica las asignaciones de los detectores de Security Command Center para cada versión compatible de la comparativa de CIS para Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo como referencia.
Security Command Center agrega compatibilidad con versiones de comparativas y estándares nuevos de forma periódica. Las versiones anteriores siguen siendo compatibles, pero con el tiempo se darán de baja. Te recomendamos que uses la versión comparativa o estándar más reciente que esté disponible.
Con el servicio de postura de seguridad, puedes asignar políticas de la organización y detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar cualquier cambio en el entorno que pueda afectar el cumplimiento de tu empresa.
Para obtener más información sobre la administración del cumplimiento, consulta Evalúa el cumplimiento de los estándares de seguridad y genera informes sobre ellos.
Estándares de seguridad compatibles con Google Cloud
Security Command Center asigna los detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:
- Center for Information Security Controls (CIS) Controls 8.0
- Comparativa de CIS para Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativas de CIS en Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R5 y R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top 10, 2021 y 2017
- Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Controles del sistema y de la organización (SOC) 2 Criterios de servicios de confianza (TSC) 2017
Estándares de seguridad compatibles con AWS
Security Command Center asigna los detectores de Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800‐53 R5
- NIST CSF 1.0
- PCI DSS 4.0 y 3.2.1
- SOC 2 TSC 2017
Si quieres obtener instrucciones para ver y exportar informes de cumplimiento, consulta la sección Cumplimiento en Usa Security Command Center en la consola de Google Cloud.
Desactivación de hallazgos después de la corrección
Después de solucionar un resultado de vulnerabilidad o configuración incorrecta, el servicio de Security Command Center que detectó el resultado configura de forma automática el estado del resultado en INACTIVE la próxima vez que el servicio de detección lo analice. El tiempo que tarda Security Command Center en configurar un resultado corregido como INACTIVE depende del programa del análisis que lo detecta.
Los servicios de Security Command Center también establecen el estado de una vulnerabilidad o un resultado de configuración incorrecta en INACTIVE cuando un análisis detecta que se borra el recurso afectado por el resultado.
Para obtener más información sobre los intervalos de análisis, consulta los siguientes temas:
- Tipos de análisis de Security Health Analytics
- Intervalo y latencia del análisis de Detección rápida de vulnerabilidades
- Tipos de análisis de Web Security Scanner
Resultados de las estadísticas de estado de seguridad
Los detectores de estadísticas del estado de la seguridad supervisan un subconjunto de recursos de Cloud Asset Inventory (CAI) y reciben notificaciones de los cambios en las políticas de la administración de identidades y accesos (IAM). Algunos detectores recuperan datos mediante una llamada directa a las API de Google Cloud, como se indica en las tablas que aparecen más adelante en esta página.
Para obtener más información sobre Security Health Analytics, los programas de análisis y la compatibilidad de Security Health Analytics con detectores de módulos integrados y personalizados, consulta Descripción general de Security Health Analytics.
En las siguientes tablas, se describen los detectores de estadísticas del estado de la seguridad, los elementos y los estándares de cumplimiento que admiten, la configuración que usan para los análisis y los tipos de hallazgos que generan. Puedes filtrar los resultados por varios atributos mediante la página Vulnerabilidades de Security Command Center en la consola de Google Cloud.
Si quieres obtener instrucciones para solucionar problemas y proteger tus recursos, consulta Soluciona los problemas de las estadísticas del estado de seguridad.
Resultados de las vulnerabilidades de la clave de API
El detector API_KEY_SCANNER identifica vulnerabilidades relacionadas con las claves de API que se usan en tu implementación en la nube.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
API key APIs unrestricted
Nombre de categoría en la API: |
Hallazgos de la descripción: Hay claves de API que se usan demasiado. Para resolver esto, limita el uso de la clave de API a fin de permitir solo las API que necesita la aplicación. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Recupera la propiedad
|
API key apps unrestricted
Nombre de categoría en la API: |
Descripción del resultado: Hay claves de API que se usan sin restricciones y que permiten cualquier app que no sea de confianza. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Recupera la propiedad
|
API key exists
Nombre de categoría en la API: |
Descripción del resultado: Un proyecto usa claves de API en lugar de la autenticación estándar. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Recupera todas las claves de API que son propiedad de un proyecto.
|
API key not rotated
Nombre de categoría en la API: |
Descripción del resultado: La clave de API no se rotó durante más de 90 días. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Recupera la marca de tiempo incluida en la propiedad
|
Hallazgos de vulnerabilidades de Cloud Asset Inventory
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud Asset Inventory y pertenecen al tipo CLOUD_ASSET_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Cloud Asset API disabled
Nombre de categoría en la API: |
Descripción del resultado: La captura de recursos de Google Cloud y políticas de IAM por parte de Cloud Asset Inventory permite el análisis de seguridad, el seguimiento de cambios de recursos y la auditoría de cumplimiento. Recomendamos habilitar el servicio de Cloud Asset Inventory para todos los proyectos. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si el servicio de Cloud Asset Inventory está habilitado.
|
Resultados de las vulnerabilidades de imágenes de Compute
El detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de imágenes de Google Cloud.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Public Compute image
Nombre de categoría en la API: |
Descripción del resultado: Una imagen de Compute Engine es de acceso público. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Verifica la política de permisos de IAM en metadatos de recursos para las principales
|
Resultados de las vulnerabilidades de las instancias de Compute
El detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de instancias de Compute Engine.
Los detectores COMPUTE_INSTANCE_SCANNER no informan los resultados en las instancias de Compute Engine que crea GKE. Estas instancias tienen nombres que comienzan con “gke-”, que los usuarios no pueden editar. Para proteger estas instancias, consulta la sección de resultados de vulnerabilidades de contenedores.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Confidential Computing disabled
Nombre de categoría en la API: |
Descripción de resultados: Confidential Computing está inhabilitado en una instancia de Compute Engine. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Compute project wide SSH keys allowed
Nombre de categoría en la API: |
Descripción del resultado: Se usan claves SSH de todo el proyecto, lo que permite el acceso a todas las instancias del proyecto. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba el objeto
|
Compute Secure Boot disabled
Nombre de categoría en la API: |
Descripción del resultado: Esta VM protegida no tiene habilitado Inicio seguro. El uso de Inicio seguro ayuda a proteger las instancias de máquinas virtuales de las amenazas avanzadas, como rootkits y bootkits. Nivel de precios: Premium Elementos compatibles Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Verifica la propiedad
|
Compute serial ports enabled
Nombre de categoría en la API: |
Descripción del resultado: Los puertos en serie están habilitados para una instancia, lo que permite conexiones a la consola en serie de la instancia. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba el objeto
|
Default service account used
Nombre de categoría en la API: |
Descripción del resultado: Una instancia está configurada para usar la cuenta de servicio predeterminada. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Disk CMEK disabled
Nombre de categoría en la API: |
Descripción del resultado: Los discos de esta VM no se encriptan con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Comprueba el campo
|
Disk CSEK disabled
Nombre de categoría en la API: |
Descripción del resultado: Los discos de esta VM no se encriptan con claves de encriptación proporcionadas por el cliente (CSEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Detector de casos especiales. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica el campo
|
Full API access
Nombre de categoría en la API: |
Descripción del resultado: Una instancia está configurada para usar la cuenta de servicio predeterminada con acceso completo a todas las API de Google Cloud. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Recupera el campo
|
HTTP load balancer
Nombre de categoría en la API: |
Descripción del resultado: Una instancia usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Determina si la propiedad
|
IP forwarding enabled
Nombre de categoría en la API: |
Descripción del resultado: El reenvío de IP está habilitado en las instancias. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
OS login disabled
Nombre de categoría en la API: |
Descripción del resultado: El Acceso al SO está inhabilitado en esta instancia. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba el objeto
|
Public IP address
Nombre de categoría en la API: |
Descripción del resultado: Una instancia tiene una dirección IP pública. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Shielded VM disabled
Nombre de categoría en la API: |
Descripción del resultado: La VM protegida está inhabilitada en esta instancia. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
Weak SSL policy
Nombre de categoría en la API: |
Descripción del resultado: Una instancia tiene una política de SSL débil. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si
|
Resultados de las vulnerabilidades de contenedores
Estos tipos de resultados se relacionan con los parámetros de configuración del contenedor de GKE y pertenecen al tipo de detector CONTAINER_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Alpha cluster enabled
Nombre de categoría en la API: |
Descripción de los resultados: Las funciones del clúster Alfa están habilitadas para un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Auto repair disabled
Nombre de categoría en la API: |
Descripción del resultado: La función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado, está inhabilitada. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
Auto upgrade disabled
Nombre de categoría en la API: |
Descripción del resultado: La función de actualización automática de un clúster de GKE, que conserva los clústeres y grupos de nodos en la versión estable más reciente de Kubernetes, está inhabilitada. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
Binary authorization disabled
Nombre de categoría en la API: |
Descripción del resultado: Autorización Binaria está inhabilitada en el clúster de GKE o la política de Autorización Binaria está configurada para permitir que se implementen todas las imágenes. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Comprueba lo siguiente:
|
Cluster logging disabled
Nombre de categoría en la API: |
Descripción del resultado: Logging no está habilitado para un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Cluster monitoring disabled
Nombre de categoría en la API: |
Descripción del resultado: Monitoring está inhabilitado en los clústeres de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Cluster private Google access disabled
Nombre de categoría en la API: |
Descripción de los hallazgos: Los hosts de clústeres no están configurados con el fin de usar solo direcciones IP internas privadas para acceder a las API de Google. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Cluster secrets encryption disabled
Nombre de categoría en la API: |
Descripción del resultado: La encriptación de los Secrets de la capa de la aplicación está inhabilitada en un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Verifica la propiedad
|
Cluster shielded nodes disabled
Nombre de categoría en la API: |
Descripción de los resultados: Los nodos de GKE protegidos no están habilitados para un clúster. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Verifica la propiedad
|
COS not used
Nombre de categoría en la API: |
Resultado de la descripción: Las VM de Compute Engine no usan Container Optimized OS diseñado para ejecutar contenedores de Docker en Google Cloud de forma segura. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
Integrity monitoring disabled
Nombre de categoría en la API: |
Descripción de los resultados: La supervisión de integridad está inhabilitada para un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Verifica la propiedad
|
Intranode visibility disabled
Nombre de categoría en la API: |
Descripción de los resultados: La visibilidad dentro de los nodos está inhabilitada para un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Verifica la propiedad
|
IP alias disabled
Nombre de categoría en la API: |
Descripción del resultado: Se creó un clúster de GKE con los rangos de alias de IP inhabilitados. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si el campo
|
Legacy authorization enabled
Nombre de categoría en la API: |
Descripción del resultado: La autorización heredada está habilitada en los clústeres de GKE. Nivel de precios: Premium o Estándar
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
Legacy metadata enabled
Nombre de categoría en la API: |
Descripción del resultado: Los metadatos heredados están habilitados en los clústeres de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
Master authorized networks disabled
Nombre de categoría en la API: |
Descripción del resultado: Las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
Network policy disabled
Nombre de categoría en la API: |
Descripción del resultado: La política de red está inhabilitada en los clústeres de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba el campo
|
Nodepool boot CMEK disabled
Nombre de categoría en la API: |
Descripción del resultado: Los discos de arranque de este grupo de nodos no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Comprueba la propiedad
|
Nodepool secure boot disabled
Nombre de categoría en la API: |
Descripción del resultado: El inicio seguro está inhabilitado para un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Verifica la propiedad
|
Over privileged account
Nombre de categoría en la API: |
Descripción del resultado: Una cuenta de servicio tiene acceso a proyectos demasiado amplio en un clúster. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Evalúa la propiedad
|
Over privileged scopes
Nombre de categoría en la API: |
Descripción del resultado: Una cuenta de servicio de nodo tiene permisos de acceso amplios. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si el permiso de acceso que aparece en la propiedad config.oauthScopes de un grupo de nodos es un permiso limitado de acceso a la cuenta de servicio: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write. o https://www.googleapis.com/auth/monitoring.
|
Pod security policy disabled
Nombre de categoría en la API: |
Descripción del resultado: PodSecurityPolicy está inhabilitado en un clúster de GKE. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
Private cluster disabled
Nombre de categoría en la API: |
Descripción del resultado: Un clúster de GKE tiene un clúster privado inhabilitado. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si el campo
|
Release channel disabled
Nombre de categoría en la API: |
Descripción del resultado: Un clúster de GKE no está suscrito a un canal de versiones. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Verifica la propiedad
|
Web UI enabled
Nombre de categoría en la API: |
Descripción del resultado: La IU web de GKE (panel) está habilitada. Nivel de precios: Premium o Estándar
Elementos compatibles Estándares de cumplimiento:
|
Comprueba el campo
|
Workload Identity disabled
Nombre de categoría en la API: |
Descripción del resultado: Workload Identity está inhabilitado en un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Resultados de las vulnerabilidades de Dataproc
Las vulnerabilidades de este tipo de detector se relacionan con Dataproc y pertenecen al tipo de detector DATAPROC_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Dataproc CMEK disabled
Nombre de categoría en la API: |
Descripción del resultado: Se creó un clúster de Dataproc sin una CMEK de configuración de encriptación. Con CMEK, las claves que creas y administras en Cloud Key Management Service unen las claves que usa Google Cloud para encriptar tus datos, lo que te brinda más control sobre el acceso a ellos. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si el campo
|
Dataproc image outdated
Nombre de categoría en la API: |
Descripción de los resultados: Se creó un clúster de Dataproc con una versión de imagen de Dataproc que se ve afectada por las vulnerabilidades de seguridad en la utilidad Apache Log4j 2 (CVE-2021-44228 y CVE-2021-45046. Nivel de precios: Premium o Estándar
Elementos compatibles Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Comprueba si el campo
|
Resultados de las vulnerabilidades de los conjuntos de datos
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de conjuntos de datos de BigQuery y pertenecen al tipo de detector DATASET_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
BigQuery table CMEK disabled
Nombre de categoría en la API: |
Descripción de los resultados: Una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
Dataset CMEK disabled
Nombre de categoría en la API: |
Descripción de los resultados: Un conjunto de datos de BigQuery no está configurado para usar una CMEK predeterminada. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
Public dataset
Nombre de categoría en la API: |
Descripción del resultado: Un conjunto de datos está configurado para estar abierto al acceso público. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en metadatos de recursos para las principales
|
Resultados de las vulnerabilidades de DNS
Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Cloud DNS y pertenecen al tipo de detector DNS_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
DNSSEC disabled
Nombre de categoría en la API: |
Descripción del resultado: DNSSEC está inhabilitada para las zonas de Cloud DNS. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
RSASHA1 for signing
Nombre de categoría en la API: |
Descripción del resultado: RSASHA1 se usa para firmar claves en zonas de Cloud DNS. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si el objeto
|
Resultados de las vulnerabilidades de firewall
Las vulnerabilidades de este tipo de detector se relacionan con la configuración del firewall y pertenecen al tipo de detector FIREWALL_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Egress deny rule not set
Nombre de categoría en la API: |
Descripción de resultados: Una regla de denegación de salida no se establece en un firewall. Las reglas de denegación de salida deben configurarse para bloquear el tráfico saliente no deseado. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Firewall rule logging disabled
Nombre de categoría en la API: |
Descripción del resultado: El registro de reglas de firewall está inhabilitado. El registro de las reglas de firewall debe estar habilitado para que puedas auditar el acceso a la red. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open Cassandra port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto Cassandra abierto que permite el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open ciscosecure websm port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto abierto CISCOSECURE_WEBSM que permite el acceso genérico. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open directory services port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto DIRECTORY_SERVICES abierto que permita el acceso genérico. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open DNS port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto DNS abierto que permita el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open elasticsearch port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto ELASTICSEARCH abierto que permita el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open firewall
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para estar abierto al acceso público. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Verifica las propiedades
|
Open FTP port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto FTP abierto que permite el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open HTTP port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto HTTP abierto que permite el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open LDAP port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto LDAP abierto que permita el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open Memcached port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto MEMCACHED abierto que permite el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open MongoDB port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto MONGODB abierto que permite el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open MySQL port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto MYSQL abierto que permita el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open NetBIOS port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open OracleDB port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto ORACLEDB abierto que permite el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open pop3 port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto POP3 abierto que permita el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open PostgreSQL port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto PostgreSQL abierto que permite el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open RDP port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto RDP abierto que permita el acceso genérico. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
Open Redis port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto REDIS abierto que permita el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Open SMTP port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto SMTP abierto que permita el acceso genérico. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Open SSH port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto SSH abierto que permite el acceso genérico. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Open Telnet port
Nombre de categoría en la API: |
Descripción del resultado: Un firewall está configurado para tener un puerto TELNET abierto que permita el acceso genérico. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Resultados de las vulnerabilidades de IAM
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de la administración de identidades y accesos (IAM) y pertenecen al tipo de detector IAM_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Access Transparency disabled
Nombre de categoría en la API: |
Descripción del resultado: La Transparencia de acceso de Google Cloud está inhabilitada para tu organización. La Transparencia de acceso registra cuando los empleados de Google Cloud acceden a los proyectos de tu organización para proporcionar asistencia. Habilita la Transparencia de acceso para registrar qué usuarios de Google Cloud acceden a tu información, cuándo y por qué. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si tu organización tiene habilitada la Transparencia de acceso.
|
Admin service account
Nombre de categoría en la API: |
Descripción de hallazgos: Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estas funciones no se deben asignar a las cuentas de servicio creadas por el usuario. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en los metadatos de recursos para cualquier cuenta de servicio creada por el usuario (indicada por el prefijo iam.gserviceaccount.com), que se les asigna
|
Essential Contacts Not Configured
Nombre de categoría en la API: |
Descripción del resultado: Tu organización no designó a una persona o un grupo para recibir notificaciones de Google Cloud sobre eventos importantes, como ataques, incidentes de datos y vulnerabilidades en tu organización de Google Cloud. Te recomendamos que designes como contacto esencial a una o más personas o grupos de la organización de tu empresa. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba que se especifique un contacto para las siguientes categorías esenciales de contactos:
|
KMS role separation
Nombre de categoría en la API: |
Descripción del resultado: No se aplica la separación de obligaciones, y existe un usuario que tiene cualquiera de las siguientes funciones de Cloud Key Management Service (Cloud KMS) al mismo tiempo: Encriptador/desencriptador de CryptoKey, Encriptador o Desencriptador. Este hallazgo no está disponible para activaciones a nivel de proyecto. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica las políticas de permisos de IAM en los metadatos de recursos
y recupera las principales asignadas cualquiera de los siguientes
roles al mismo tiempo:
roles/cloudkms.cryptoKeyEncrypterDecrypter,
roles/cloudkms.cryptoKeyEncrypter y
roles/cloudkms.cryptoKeyDecrypter,
roles/cloudkms.signer,
roles/cloudkms.signerVerifier y
roles/cloudkms.publicKeyViewer.
|
Non org IAM member
Nombre de categoría en la API: |
Descripción del resultado: Hay un usuario que no usa credenciales de organización. Según CIS para GCP Foundations 1.0, por el momento, solo las identidades con direcciones de correo electrónico @gmail.com activan este detector. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Compara las direcciones de correo electrónico @gmail.com en el campo
|
Open group IAM member
Nombre de categoría en la API: |
Descripción de los resultados: Se usa una cuenta de Grupos de Google que se puede unir sin aprobación como principal de la política de permisos de IAM. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Verifica la política de IAM en los metadatos de recursos en busca de vinculaciones que contengan un miembro (principal) con el prefijo group. Si el grupo es abierto, Security Health Analytics genera este resultado.
|
Over privileged service account user
Nombre de categoría en la API: |
Descripción del resultado: Un usuario tiene la función Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel de proyecto, en lugar de una cuenta de servicio específica. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en los metadatos de recursos para cualquier miembro asignado roles/iam.serviceAccountUser o roles/iam.serviceAccountTokenCreator a nivel de proyecto.
|
Primitive roles used
Nombre de categoría en la API: |
Descripción del resultado: Un usuario tiene uno de los siguientes roles básicos:
Estos roles son demasiado permisivos y no deben usarse. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en los metadatos
de los recursos de todas las principales a las que se les haya asignado un rol
|
Redis role used on org
Nombre de categoría en la API: |
Descripción de los hallazgos: Una función de IAM de Redis se asigna a nivel de organización o carpeta. Este hallazgo no está disponible para activaciones a nivel de proyecto. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en metadatos de recursos para miembros asignados
|
Service account role separation
Nombre de categoría en la API: |
Descripción del resultado: Se asignaron a un usuario las funciones de administrador de cuentas de servicio y usuario de cuentas de servicio. Esto infringe el principio de “Separación de obligaciones”. Este hallazgo no está disponible para activaciones a nivel de proyecto. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la política de permisos de IAM en los metadatos de recursos para cualquier miembro asignado tanto roles/iam.serviceAccountUser como roles/iam.serviceAccountAdmin.
|
Service account key not rotated
Nombre de categoría en la API: |
Descripción de los hallazgos: La clave de una cuenta de servicio no se rotó por más de 90 días. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Evalúa la marca de tiempo de creación de claves capturada en la propiedad
|
User managed service account key
Nombre de categoría en la API: |
Descripción del resultado: Un usuario administra una clave de cuenta de servicio. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Resultados de las vulnerabilidades de KMS
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud KMS y pertenecen al tipo de detector KMS_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
KMS key not rotated
Nombre de categoría en la API: |
Descripción de los hallazgos: La rotación no se configura en una clave de encriptación de Cloud KMS. La encriptación de claves se debe rotar en un período de 90 días Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica los metadatos de los recursos para la existencia de propiedades
|
KMS project has owner
Nombre de categoría en la API: |
Descripción de los hallazgos: Un usuario tiene permisos de Propietario en un proyecto que tiene claves criptográficas. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en los metadatos
del proyecto de las principales asignadas
|
KMS public key
Nombre de categoría en la API: |
Descripción de los hallazgos: Una clave criptográfica de Cloud KMS es de acceso público. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en metadatos de recursos para las principales
|
Too many KMS users
Nombre de categoría en la API: |
Descripción del resultado: Hay más de tres usuarios de claves criptográficas. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica las políticas de permisos de IAM para llaveros de claves,
proyectos y organizaciones y recupera principales con
roles que les permiten encriptar, desencriptar o firmar datos con
claves de Cloud KMS: roles/owner,
roles/cloudkms.cryptoKeyEncrypterDecrypter,
roles/cloudkms.cryptoKeyEncrypter,
roles/cloudkms.cryptoKeyDecrypter,
roles/cloudkms.signer y
roles/cloudkms.signerVerifier.
|
Resultados de las vulnerabilidades de registros
Las vulnerabilidades de este tipo de detector se relacionan con la configuración del registro y pertenecen al tipo de detector LOGGING_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Audit logging disabled
Nombre de categoría en la API: |
Descripción de los hallazgos: Se inhabilitó el registro de auditoría para este recurso. Este hallazgo no está disponible para activaciones a nivel de proyecto. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en los metadatos de recursos para la existencia de un objeto
|
Bucket logging disabled
Nombre de categoría en la API: |
Descripción del resultado: Hay un bucket de almacenamiento sin el registro habilitado. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
Locked retention policy not set
Nombre de categoría en la API: |
Descripción del resultado: Una política de retención bloqueada no se establece para los registros. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
Log not exported
Nombre de categoría en la API: |
Descripción de los hallazgos: Hay un recurso que no tiene configurado un receptor de registros adecuado. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Recupera un objeto
|
Object versioning disabled
Nombre de categoría en la API: |
Descripción del resultado: El control de versiones de objetos no está habilitado en un bucket de almacenamiento en el que están configurados los receptores. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
Resultados de las vulnerabilidades de Monitoring
Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de supervisión y pertenecen al tipo MONITORING_SCANNER. Todas las propiedades del hallazgo del detector de Monitoring incluyen lo siguiente:
-
El
RecommendedLogFilterque se usará para crear las métricas de registro. -
El
QualifiedLogMetricNamesque abarca las condiciones enumeradas en el filtro de registros recomendado -
El
AlertPolicyFailureReasonsque indica si el proyecto no tiene políticas de alertas creadas para ninguna de las métricas de registro calificadas o las políticas de alertas existentes no tienen la configuración recomendada.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Audit config not monitored
Nombre de categoría en la API: |
Descripción del resultado: Las métricas y alertas de registro no están configuradas para supervisar los cambios de la configuración de auditoría. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se establece en protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* y, si se especifica resource.type, el valor es global.
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
Bucket IAM not monitored
Nombre de categoría en la API: |
Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions".
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
Custom role not monitored
Nombre de categoría en la API: |
Descripción de los hallazgos: Las métricas y alertas de registro no están configuradas para supervisar los cambios de funciones personalizadas. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole").
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
Firewall not monitored
Nombre de categoría en la API: |
Descripción de los resultados: Las métricas y alertas de registros no están configuradas para supervisar los cambios de la regla de firewall de la red de nube privada virtual (VPC). En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete").
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
Network not monitored
Nombre de categoría en la API: |
Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios de la red de VPC En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering").
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
Owner not monitored
Nombre de categoría en la API: |
Descripción del resultado: Las métricas y alertas de registros no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se establece en (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") y, si se especifica resource.type, el valor es global.
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
Route not monitored
Nombre de categoría en la API: |
Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert").
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
SQL instance not monitored
|
Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios en la configuración de la instancia de Cloud SQL. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se establece en
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" y, si se especifica resource.type, el valor es global.
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
Resultados de autenticación de varios factores
El detector MFA_SCANNER identifica vulnerabilidades relacionadas con la autenticación de varios factores para los usuarios.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
MFA not enforced
Nombre de categoría en la API: |
Hay usuarios que no están usando la verificación en 2 pasos. Google Workspace te permite especificar un período de gracia de inscripción para los usuarios nuevos durante el cual deben inscribirse en la verificación en 2 pasos. Este detector crea resultados para los usuarios durante el período de gracia de inscripción. Este hallazgo no está disponible para activaciones a nivel de proyecto. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Evalúa las políticas de administración de identidades en las organizaciones y la configuración de usuarios para cuentas administradas en Cloud Identity.
|
Resultados de las vulnerabilidades de la red
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de red de una organización y pertenecen al tipo NETWORK_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Default network
Nombre de categoría en la API: |
Descripción del resultado: La red predeterminada existe en un proyecto. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
DNS logging disabled
Nombre de categoría en la API: |
Descripción de búsqueda: El registro DNS en una red de VPC no está habilitado. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba todas las
|
Legacy network
Nombre de categoría en la API: |
Descripción del resultado: Existe una red heredada en un proyecto. En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la existencia de metadatos de red para la existencia de la propiedad
|
Load balancer logging disabled
Nombre de categoría en la API: |
Descripción del resultado: El registro está inhabilitado para el balanceador de cargas. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Hallazgos de las vulnerabilidades de las políticas de la organización
Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de las restricciones de Política de la organización y pertenecen al tipo ORG_POLICY.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Org policy Confidential VM policy
Nombre de categoría en la API: |
Descripción del resultado: Un recurso de Compute Engine no cumple con la política de la organización constraints/compute.restrictNonConfidentialComputing. Para obtener más información sobre esta restricción de la política de la organización, consulta Aplica restricciones de políticas de la organización en Confidential VM.
En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Comprueba si la propiedad
|
Org policy location restriction
Nombre de categoría en la API: |
Descripción de los resultados: Un recurso de Compute Engine no cumple con la restricción constraints/gcp.resourceLocations. Para obtener más información sobre esta restricción de políticas de la organización, consulta Aplica restricciones de políticas de la organización.
En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Comprueba la propiedad
|
|
Elementos admitidos para ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Debido a que los elementos de Cloud KMS no se pueden borrar, estos no se consideran fuera de la región si sus datos se destruyeron. 2 Debido a que los trabajos de importación de Cloud KMS tienen un ciclo de vida controlado y no se pueden finalizar de forma anticipada, un ImportJob no se considera fuera de la región si el trabajo venció y ya no se puede usar para importar claves. 3 Debido a que no se puede administrar el ciclo de vida de los trabajos de Dataflow, un trabajo no se considera fuera de la región una vez que alcanza un estado terminal (detenido o desviado), en el que ya no se pueden usar para procesar datos. |
||
Resultados de vulnerabilidades de Pub/Sub
Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Pub/Sub y pertenecen al tipo PUBSUB_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Pubsub CMEK disabled
Nombre de categoría en la API: |
Descripción del resultado: Un tema de Pub/Sub no se encripta con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Comprueba el campo
|
Resultados de las vulnerabilidades de SQL
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud SQL y pertenecen al tipo SQL_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
AlloyDB auto backup disabled
Nombre de categoría en la API: |
Descripción del resultado: Un clúster de AlloyDB para PostgreSQL no tiene habilitadas las copias de seguridad automáticas. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la
propiedad
|
AlloyDB log min error statement severity
Nombre de categoría en la API: |
Descripción del resultado:
La marca de base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Para garantizar una cobertura adecuada de los tipos de mensajes en los registros, emite un resultado si el campo
|
AlloyDB log min messages
Nombre de categoría en la API: |
Descripción del resultado:
La marca de base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Para garantizar una cobertura adecuada de los tipos de mensajes en los registros, emite un resultado si el campo
|
AlloyDB log error verbosity
Nombre de categoría en la API: |
Descripción del resultado:
La marca de base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Para garantizar una cobertura adecuada de los tipos de mensajes en los registros, emite un resultado si el campo
|
Auto backup disabled
Nombre de categoría en la API: |
Descripción del resultado: Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Public SQL instance
Nombre de categoría en la API: |
Descripción de los hallazgos: Una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
SSL not enforced
Nombre de categoría en la API: |
Descripción del resultado: Una instancia de base de datos de Cloud SQL no necesita que todas las conexiones entrantes usen SSL. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
SQL CMEK disabled
Nombre de categoría en la API: |
Descripción del resultado: Una instancia de base de datos SQL no está encriptada con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Comprueba el campo
|
SQL contained database authentication
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
SQL cross DB ownership chaining
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL external scripts enabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL local infile
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL log checkpoints disabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL log connections disabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL log disconnections disabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL log duration disabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL log error verbosity
Nombre de categoría en la API: |
Descripción del resultado: La marca de base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
SQL log lock waits disabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL log min duration statement enabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL log min error statement
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
SQL log min error statement severity
Nombre de categoría en la API: |
Descripción de los resultados: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
SQL log min messages
Nombre de categoría en la API: |
Descripción del resultado:
La marca de base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Para garantizar una cobertura adecuada de los tipos de mensajes en los registros, emite un resultado si el campo
|
SQL log executor stats enabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
SQL log hostname enabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
SQL log parser stats enabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
SQL log planner stats enabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
SQL log statement
Nombre de categoría en la API: |
Descripción de los resultados: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
SQL log statement stats enabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
SQL log temp files
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL no root password
Nombre de categoría en la API: |
Descripción del resultado: Una base de datos de Cloud SQL con una dirección IP pública no tiene una contraseña configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
SQL public IP
Nombre de categoría en la API: |
Descripción de los hallazgos: Una base de datos de Cloud SQL tiene una dirección IP pública. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si el tipo de dirección IP de una base de datos de Cloud SQL está configurada como
|
SQL remote access enabled
Nombre de categoría en la API: |
Descripción del resultado:
La marca de base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL skip show database disabled
Nombre de categoría en la API: |
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL trace flag 3625
Nombre de categoría en la API: |
Descripción del resultado:
La marca de base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL user connections configured
Nombre de categoría en la API: |
Descripción de los resultados: Se configura la marca de base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL user options configured
Nombre de categoría en la API: |
Descripción de los resultados: Se configura la marca de base de datos Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
SQL weak root password
Nombre de categoría en la API: |
Descripción del resultado: Una base de datos de Cloud SQL con una dirección IP pública también tiene una contraseña poco segura configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Compara la contraseña de la cuenta raíz de tu base de datos de Cloud SQL con una lista de contraseñas comunes.
|
Resultados de las vulnerabilidades de Storage
Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de depósitos de Cloud Storage y pertenecen al tipo STORAGE_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Bucket CMEK disabled
Nombre de categoría en la API: |
Descripción de los hallazgos: Un bucket no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita detectores. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Comprueba el campo
|
Bucket policy only disabled
Nombre de categoría en la API: |
Descripción del resultado: No se configuró el acceso uniforme a nivel de bucket, que antes se denominaba Solo política del bucket. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Public bucket ACL
Nombre de categoría en la API: |
Descripción del resultado:Un bucket de Cloud Storage es de acceso público. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM de un bucket para
roles públicos,
|
Public log bucket
Nombre de categoría en la API: |
Descripción del resultado:: Un bucket de almacenamiento que se usa como receptor de registros es de acceso público. Este hallazgo no está disponible para activaciones a nivel de proyecto. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM de un bucket para las principales
|
Resultados de las vulnerabilidades de subred
Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de la subred de una organización y pertenecen al tipo SUBNETWORK_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
Flow logs disabled
Nombre de categoría en la API: |
Descripción del resultado: Hay una subred de VPC que tiene los registros de flujo inhabilitados. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si falta la propiedad
|
Flow logs settings not recommended
Nombre de categoría en la API: |
Descripción del resultado: Para una subred de VPC, los registros de flujo de VPC están desactivados o no están configurados según las recomendaciones de CIS Benchmark 1.3. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si falta la propiedad
|
Private Google access disabled
Nombre de categoría en la API: |
Descripción del resultado: Existen subredes privadas sin acceso a las API públicas de Google. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Resultados de AWS
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
AWS Cloud Shell Full Access Restricted
Nombre de categoría en la API: |
Descripción del resultado: AWS Cloud Shell es una forma conveniente de ejecutar comandos de CLI en los servicios de AWS. Una política de IAM administrada (“AWSCloudShellFullAccess”) proporciona acceso completo a Cloud Shell, que permite cargar y descargar archivos entre el sistema local de un usuario y el entorno de Cloud Shell. Dentro del entorno de Cloud Shell, un usuario tiene permisos sudo y puede acceder a Internet. Por lo tanto, es factible instalar un software de transferencia de archivos (por ejemplo) y mover datos desde Cloud Shell a servidores de Internet externos. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que el acceso a AWSCloudShellFullAccess esté restringido
|
Access Keys Rotated Every 90 Days or Less
Nombre de categoría en la API: |
Descripción del resultado: Las claves de acceso constan de un ID de clave de acceso y una clave de acceso secreta, que se usan para firmar las solicitudes programáticas que realizas en AWS. Los usuarios de AWS necesitan sus propias claves de acceso para realizar llamadas programáticas a AWS desde la interfaz de línea de comandos de AWS (CLI de AWS), las herramientas para Windows PowerShell, los SDK de AWS o llamadas HTTP directas con las API para servicios de AWS individuales. Se recomienda que todas las claves de acceso se roten con regularidad. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que las claves de acceso se roten cada 90 días o menos
|
All Expired Ssl Tls Certificates Stored Aws Iam Removed
Nombre de categoría en la API: |
Descripción del resultado: Para habilitar las conexiones HTTPS a tu sitio web o aplicación en AWS, necesitas un certificado de servidor SSL/TLS. Puedes usar ACM o IAM para almacenar e implementar certificados de servidor. Usa IAM como administrador de certificados solo si debes admitir conexiones HTTPS en una región que ACM no admita. IAM encripta de forma segura tus claves privadas y almacena la versión encriptada en el almacenamiento de certificados SSL de IAM. IAM admite la implementación de certificados de servidor en todas las regiones, pero debes obtener el certificado de un proveedor externo para usarlo con AWS. No puedes subir un certificado ACM a IAM. Además, no puedes administrar tus certificados desde la consola de IAM. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de quitar todos los certificados SSL o TLS vencidos que estén almacenados en IAM de AWS
|
Autoscaling Group Elb Healthcheck Required
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si tus grupos de ajuste de escala automático asociados con un balanceador de cargas usan las verificaciones de estado de Elastic Load Balancing. Esto garantiza que el grupo pueda determinar el estado de una instancia en función de las pruebas adicionales que proporciona el balanceador de cargas. Usar las verificaciones de estado de Elastic Load Balancing puede ayudar a admitir la disponibilidad de aplicaciones que usan grupos de ajuste de escala automático de EC2. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todos los grupos de ajuste de escala automático asociados con un balanceador de cargas usen verificaciones de estado.
|
Auto Minor Version Upgrade Feature Enabled Rds Instances
Nombre de categoría en la API: |
Descripción del resultado: Asegúrate de que las instancias de la base de datos de RDS tengan habilitada la marca de actualización de versión secundaria automática para recibir actualizaciones secundarias automáticas de motor durante el período de mantenimiento especificado. Por lo tanto, las instancias de RDS pueden obtener las funciones nuevas, las correcciones de errores y los parches de seguridad para sus motores de base de datos. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que la función de actualización de versión secundaria automática esté habilitada para las instancias de RDS.
|
Aws Config Enabled All Regions
Nombre de categoría en la API: |
Descripción del resultado: AWS Config es un servicio web que realiza la administración de la configuración de los recursos de AWS compatibles dentro de tu cuenta y te entrega archivos de registro. La información registrada incluye el elemento de configuración (recurso de AWS), las relaciones entre los elementos de configuración (recursos de AWS) y cualquier cambio de configuración entre los recursos. Se recomienda habilitar AWS Config en todas las regiones. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que AWS Config esté habilitado en todas las regiones
|
Aws Security Hub Enabled
Nombre de categoría en la API: |
Descripción del resultado: El Centro de seguridad recopila datos de seguridad de todas las cuentas, los servicios y los productos de socios externos compatibles de AWS. Además, te ayuda a analizar tus tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad. Cuando habilitas el Centro de seguridad, este comienza a consumir, agregar, organizar y priorizar los hallazgos de los servicios de AWS que habilitaste, como Amazon GuardDuty, Amazon Inspector y Amazon Macie. También puedes habilitar las integraciones con productos de seguridad de socios de AWS. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que el Security Hub de AWS esté habilitado
|
Cloudtrail Logs Encrypted Rest Using Kms Cmks
Nombre de categoría en la API: |
Descripción del resultado: AWS CloudTrail es un servicio web que registra las llamadas a la API de AWS para una cuenta y pone esos registros a disposición de los usuarios y recursos de acuerdo con las políticas de IAM. AWS Key Management Service (KMS) es un servicio administrado que ayuda a crear y controlar las claves de encriptación que se usan para encriptar los datos de la cuenta, y utiliza módulos de seguridad de hardware (HSM) para proteger la seguridad de las claves de encriptación. Los registros de CloudTrail se pueden configurar para aprovechar la encriptación del lado del servidor (SSE) y las claves maestras creadas por el cliente (CMK) de KMS para proteger aún más los registros de CloudTrail. Se recomienda configurar CloudTrail para usar SSE-KMS. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que los registros de CloudTrail estén encriptados en reposo con CMK de KMS
|
Cloudtrail Log File Validation Enabled
Nombre de categoría en la API: |
Descripción del resultado: La validación del archivo de registro de CloudTrail crea un archivo de resumen con firma digital que contiene un hash de cada registro que CloudTrail escribe en S3. Estos archivos de resumen se pueden usar para determinar si un archivo de registro se modificó, borró o no cambió después de que CloudTrail entregó el registro. Se recomienda habilitar la validación de archivos en todos los CloudTrails. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que la validación del archivo de registro de CloudTrail esté habilitada
|
Cloudtrail Trails Integrated Cloudwatch Logs
Nombre de categoría en la API: |
Descripción del resultado: AWS CloudTrail es un servicio web que registra las llamadas a la API de AWS que se realizan en una cuenta de AWS determinada. La información registrada incluye la identidad del llamador de la API, la hora de la llamada a la API, la dirección IP de origen del llamador de la API, los parámetros de solicitud y los elementos de respuesta que muestra el servicio de AWS. CloudTrail usa Amazon S3 para el almacenamiento y la entrega de archivos de registro, por lo que los archivos de registro se almacenan de forma duradera. Además de capturar los registros de CloudTrail dentro de un bucket de S3 especificado para el análisis a largo plazo, se puede realizar un análisis en tiempo real configurando CloudTrail para enviar registros a los registros de CloudWatch. Para un registro que se habilita en todas las regiones de una cuenta, CloudTrail envía archivos de registro de todas esas regiones a un grupo de registros de CloudWatch Logs. Se recomienda que los registros de CloudTrail se envíen a los registros de CloudWatch. Nota: El objetivo de esta recomendación es garantizar que la actividad de la cuenta de AWS se capture, supervise y se active de la alarma adecuada. Los registros de CloudWatch son una forma nativa de lograr esto con los servicios de AWS, pero no excluyen el uso de una solución alternativa. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que los registros de CloudTrail estén incluidos en los registros de CloudWatch
|
Cloudwatch Alarm Action Check
Nombre de categoría en la API: |
Descripción del resultado: Esta función verifica si Amazon Cloudwatch tiene acciones definidas cuando una alarma pasa entre los estados “OK”, “ALARM” e “INSUFFICIENT_DATA”. Configurar acciones para el estado ALARM en las alarmas de Amazon CloudWatch es muy importante para activar una respuesta inmediata cuando las métricas supervisadas superan los umbrales. Garantiza una rápida resolución de problemas, reduce el tiempo de inactividad y permite una corrección automatizada, mantiene el estado del sistema y evita interrupciones. Las alarmas tienen al menos una acción. Las alarmas tienen al menos una acción cuando pasan al estado "INSUFFICIENT_DATA" desde cualquier otro estado. (Opcional) Las alarmas tienen al menos una acción cuando pasan a un estado "OK" desde cualquier otro estado. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si las alarmas de CloudWatch tienen al menos una acción de alarma, una acción INSUFFICIENT_DATA o una acción OK habilitada.
|
Cloudwatch Log Group Encrypted
Nombre de categoría en la API: |
Descripción del resultado: Esta verificación garantiza que los registros de CloudWatch estén configurados con KMS. Los datos del grupo de registros siempre se encriptan en los registros de CloudWatch. De forma predeterminada, CloudWatch Logs usa la encriptación del lado del servidor para los datos de registro en reposo. Como alternativa, puedes usar AWS Key Management Service para esta encriptación. Si lo haces, la encriptación se realiza con una clave KMS de AWS. La encriptación con AWS KMS se habilita a nivel del grupo de registros asociando una clave de KMS a un grupo de registros, ya sea cuando creas el grupo de registros o después de que existe. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todos los grupos de registros en los registros de Amazon CloudWatch estén encriptados con KMS
|
CloudTrail CloudWatch Logs Enabled
Nombre de categoría en la API: |
Descripción del resultado: Este control verifica si los registros de CloudTrail están configurados para enviar registros a los registros de CloudWatch. El control falla si la propiedad CloudWatchLogsLogGroupArn de la prueba está vacía. CloudTrail registra las llamadas a la API de AWS que se realizan en una cuenta determinada. La información registrada incluye lo siguiente: - La identidad del emisor de la API - La hora de la llamada a la API - La dirección IP de origen del emisor de la API - Los parámetros de la solicitud - Los elementos de respuesta devueltos por el servicio de AWS CloudTrail usa Amazon S3 para el almacenamiento y la entrega de archivos de registro. Puedes capturar registros de CloudTrail en un bucket de S3 especificado para un análisis a largo plazo. Si quieres realizar un análisis en tiempo real, puedes configurar CloudTrail para enviar registros a los registros de CloudWatch. Para un registro que está habilitado en todas las regiones de una cuenta, CloudTrail envía archivos de registro de todas esas regiones a un grupo de registros de CloudWatch. El Centro de seguridad recomienda que envíes los registros de CloudTrail a los registros de CloudWatch. Ten en cuenta que el objetivo de esta recomendación es garantizar que se capture, supervise y se active la alarma debidamente en la actividad de la cuenta. Puedes usar los registros de CloudWatch para configurar esto con tus servicios de AWS. Esta recomendación no excluye el uso de una solución diferente. Enviar registros de CloudTrail a los registros de CloudWatch facilita el registro de actividad histórico y en tiempo real basado en usuarios, API, recursos y direcciones IP. Puedes utilizar este enfoque para establecer alarmas y notificaciones para actividades de la cuenta anómalas o de sensibilidad. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todos los registros de CloudTrail estén configurados para enviar registros a CloudWatch de AWS.
|
No AWS Credentials in CodeBuild Project Environment Variables
Nombre de categoría en la API: |
Descripción del resultado: Esta función verifica si el proyecto contiene las variables de entorno “AWS_ACCESS_KEY_ID” y “AWS_SECRET_ACCESS_KEY”. Las credenciales de autenticación “AWS_ACCESS_KEY_ID” y “AWS_SECRET_ACCESS_KEY” nunca se deben almacenar en texto claro, ya que esto podría causar una exposición no deseada de datos y un acceso no autorizado. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todos los proyectos que contienen variables de entorno AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY no estén en texto simple.
|
Codebuild Project Source Repo Url Check
Nombre de categoría en la API: |
Descripción del resultado: Esta función verifica si la URL del repositorio de origen de Bitbucket del proyecto de AWS CodeBuild contiene tokens de acceso personales o un nombre de usuario y una contraseña. El control falla si la URL del repositorio de código fuente de Bitbucket contiene tokens de acceso personal o un nombre de usuario y una contraseña. Las credenciales de acceso no se deben almacenar ni transmitir en texto claro, ni deben aparecer en la URL del repositorio de código fuente. En lugar de tokens de acceso personales o credenciales de acceso, debes acceder a tu proveedor de código fuente en CodeBuild y cambiar la URL del repositorio de código fuente para que contenga solo la ruta de acceso a la ubicación del repositorio de Bitbucket. El uso de tokens de acceso personal o credenciales de acceso podría provocar la exposición involuntaria de los datos o el acceso no autorizado. Nivel de precios: Enterprise Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Comprueba que todos los proyectos que usan github o bitbucket como fuente usen OAuth
|
Credentials Unused 45 Days Greater Disabled
Nombre de categoría en la API: |
Descripción del resultado: Los usuarios de IAM de AWS pueden acceder a los recursos de AWS con diferentes tipos de credenciales, como contraseñas o claves de acceso. Se recomienda desactivar o quitar todas las credenciales que no se hayan usado en 45 días o más. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que las credenciales que no se usen durante 45 días o más estén inhabilitadas
|
Default Security Group Vpc Restricts All Traffic
Nombre de categoría en la API: |
Descripción del resultado: Una VPC incluye un grupo de seguridad predeterminado cuya configuración inicial rechaza todo el tráfico entrante, permite todo el tráfico saliente y permite todo el tráfico entre las instancias asignadas al grupo de seguridad. Si no especificas un grupo de seguridad cuando inicias una instancia, la instancia se asigna automáticamente a este grupo de seguridad predeterminado. Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Recomendamos que el grupo de seguridad predeterminado restrinja todo el tráfico. Se debe actualizar el grupo de seguridad predeterminado de la VPC predeterminada en cada región para que cumpla con los requisitos. Todas las VPC creadas recientemente contendrán automáticamente un grupo de seguridad predeterminado que necesitará corrección para cumplir con esta recomendación. **NOTA:** Cuando se implementa esta recomendación, el registro de flujo de VPC es invaluable para determinar el acceso al puerto con privilegio mínimo que requieren los sistemas para funcionar correctamente, ya que puede registrar todas las aceptaciones y rechazos de paquetes que ocurren en los grupos de seguridad actuales. Esto reduce drásticamente la barrera principal de la ingeniería de privilegio mínimo: descubrir los puertos mínimos requeridos por los sistemas del entorno. Incluso si la recomendación de registro de flujo de VPC en esta comparativa no se adopta como una medida de seguridad permanente, debe usarse durante cualquier período de descubrimiento e ingeniería para grupos de seguridad con menos privilegios. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que el grupo de seguridad predeterminado de cada VPC restrinja todo el tráfico
|
Dms Replication Not Public
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si las instancias de replicación de AWS DMS son públicas. Para ello, examina el valor del campo "PubliclyAccessible". Una instancia de replicación privada tiene una dirección IP privada a la que no puedes acceder fuera de la red de replicación. Una instancia de replicación debe tener una dirección IP privada cuando las bases de datos de origen y de destino están en la misma red. La red también debe estar conectada a la VPC de la instancia de replicación mediante una VPN, AWS Direct Connect o intercambio de tráfico de VPC. Para obtener más información sobre las instancias de replicación públicas y privadas, consulta [Instancias de replicación públicas y privadas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate) en la Guía del usuario de AWS Database Migration Service. También debes asegurarte de que el acceso a la configuración de tu instancia de DMS de AWS se limite solo a los usuarios autorizados. Para hacerlo, restringe los permisos de IAM de los usuarios y modifica la configuración y los recursos de DMS de AWS. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica si las instancias de replicación de AWS Database Migration Service son públicas.
|
Do Setup Access Keys During Initial User Setup All Iam Users Console
Nombre de categoría en la API: |
Descripción del resultado: La consola de AWS no tiene casillas de verificación seleccionadas de forma predeterminada cuando se crea un usuario de IAM nuevo. Cuando creas las credenciales de usuario de IAM, debes determinar qué tipo de acceso requieren. Acceso programático: Es posible que el usuario de IAM necesite realizar llamadas a la API, usar la CLI de AWS o usar las herramientas para Windows PowerShell. En ese caso, crea una clave de acceso (ID de clave de acceso y una clave de acceso secreta) para ese usuario. Acceso a la consola de administración de AWS: si el usuario necesita acceder a ella, créale una contraseña. Nivel de precios: Enterprise Estándares de cumplimiento:
|
No establezcas claves de acceso durante la configuración inicial del usuario para todos los usuarios de IAM que tengan una contraseña de la consola
|
Dynamodb Autoscaling Enabled
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si una tabla de Amazon DynamoDB puede escalar su capacidad de lectura y escritura según sea necesario. Este control se pasa si la tabla usa el modo de capacidad según demanda o el modo aprovisionado con ajuste de escala automático configurado. El escalamiento de la capacidad con demanda evita la limitación de excepciones, lo que ayuda a mantener la disponibilidad de las aplicaciones. Las tablas de DynamoDB en el modo de capacidad según demanda solo están limitadas por las cuotas de tabla predeterminadas de la capacidad de procesamiento de DynamoDB. Para aumentar estas cuotas, puedes enviar un ticket de asistencia a través de la asistencia de AWS. Las tablas de DynamoDB en modo aprovisionado con ajuste de escala automático ajustan la capacidad de procesamiento aprovisionada de forma dinámica en respuesta a los patrones de tráfico. Si deseas obtener información adicional sobre la limitación de solicitudes de DynamoDB, consulta Limitación de solicitudes y capacidad de aumento de actividad en la Guía para desarrolladores de Amazon DynamoDB. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Las tablas de DynamoDB deberían escalar automáticamente la capacidad según la demanda.
|
Dynamodb In Backup Plan
Nombre de categoría en la API: |
Descripción del resultado: Este control evalúa si una tabla de DynamoDB está cubierta por un plan de copia de seguridad. El control falla si una tabla de DynamoDB no está cubierta por un plan de copia de seguridad. Este control solo evalúa las tablas de DynamoDB que están en estado ACTIVO. Las copias de seguridad te ayudan a recuperarte más rápido de un incidente de seguridad. También fortalecen la resiliencia de tus sistemas. Incluir tablas de DynamoDB en un plan de copia de seguridad te ayuda a proteger tus datos contra pérdidas o eliminaciones no deseadas. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Las tablas de DynamoDB deben estar cubiertas por un plan de copia de seguridad.
|
Dynamodb Pitr Enabled
Nombre de categoría en la API: |
Descripción del resultado: La recuperación de un momento determinado (PITR) es uno de los mecanismos disponibles para crear copias de seguridad de tablas de DynamoDB. La copia de seguridad de un momento determinado se guarda durante 35 días. Si necesitas una retención más larga, consulta [Configura copias de seguridad programadas para Amazon DynamoDB con AWS Backup](https://aws.amazon.com/blogs/database/set-up-scheduled-backups-for-amazon-dynamodb-using-aws-backup/) en la documentación de AWS. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que la recuperación de un momento determinado (PITR) esté habilitada para todas las tablas de AWS DynamoDB
|
Dynamodb Table Encrypted Kms
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si todas las tablas de DynamoDB están encriptadas con una clave de KMS administrada por el cliente (no predeterminada). Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todas las tablas de DynamoDB estén encriptadas con Key Management Service (KMS) de AWS
|
Ebs Optimized Instance
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si la optimización de EBS está habilitada para las instancias de EC2 que pueden optimizarse para EBS. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que la optimización de EBS esté habilitada para todas las instancias que admiten la optimización de EBS
|
Ebs Snapshot Public Restorable Check
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si las instantáneas de Amazon Elastic Block Store no son públicas. El control falla si alguien puede restablecer las instantáneas de EBS de Amazon. Las instantáneas de EBS se usan para crear una copia de seguridad de los datos de tus volúmenes de EBS en Amazon S3 en un momento específico. Puedes usar las instantáneas para restablecer los estados anteriores de los volúmenes de EBS. Rara vez es aceptable compartir una instantánea con el público. Por lo general, la decisión de compartir una instantánea públicamente se tomó por error o sin una comprensión completa de las implicaciones. Esta verificación ayuda a garantizar que todo ese intercambio se haya planificado completamente y de forma intencional. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Las instantáneas de Amazon EBS no se deben poder restaurar públicamente.
|
Ebs Volume Encryption Enabled All Regions
Nombre de categoría en la API: |
Descripción del resultado: Elastic Compute Cloud (EC2) admite la encriptación en reposo cuando se usa el servicio Elastic Block Store (EBS). Mientras está inhabilitada de forma predeterminada, se admite forzar la encriptación en la creación de volúmenes de EBS. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que la encriptación de volumen de EBS esté habilitada en todas las regiones
|
Ec2 Instances In Vpc
Nombre de categoría en la API: |
Descripción del resultado: Amazon VPC proporciona más funciones de seguridad que EC2 Classic. Se recomienda que todos los nodos pertenezcan a una VPC de Amazon. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Garantiza que todas las instancias pertenezcan a una VPC
|
Ec2 Instance No Public Ip
Nombre de categoría en la API: |
Descripción del resultado: Las instancias de EC2 que tienen una dirección IP pública tienen un mayor riesgo de compromiso. Se recomienda que las instancias de EC2 no se configuren con una dirección IP pública. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Garantiza que ninguna instancia tenga una IP pública
|
Ec2 Managedinstance Association Compliance Status Check
Nombre de categoría en la API: |
Descripción del resultado: Una asociación de administrador de estado es una configuración que se asigna a tus instancias administradas. La configuración define el estado que deseas mantener en tus instancias. Por ejemplo, una asociación puede especificar que se debe instalar y ejecutar software antivirus en tus instancias, o que ciertos puertos deben estar cerrados. Las instancias de EC2 que están asociadas con AWS Systems Manager están bajo la administración del Systems Manager, lo que facilita la aplicación de parches, la corrección de configuraciones incorrectas y la respuesta a eventos de seguridad. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica el estado de cumplimiento de la asociación de AWS Systems Manager
|
Ec2 Managedinstance Patch Compliance Status Check
Nombre de categoría en la API: |
Descripción del resultado: Este control verifica si el estado de cumplimiento de la asociación de AWS Systems Manager es COMPLIANT o NON_COMPLIANT después de que se ejecuta la asociación en una instancia. El control falla si el estado de cumplimiento de la asociación es NON_COMPLIANT. Una asociación de administrador de estado es una configuración que se asigna a tus instancias administradas. La configuración define el estado que deseas mantener en tus instancias. Por ejemplo, una asociación puede especificar que se debe instalar y ejecutar software antivirus en tus instancias, o que ciertos puertos deben estar cerrados. Después de crear una o más asociaciones de administradores estatales, la información sobre el estado de cumplimiento estará disponible de inmediato. Puedes ver el estado de cumplimiento en la consola o en respuesta a los comandos de la CLI de AWS o a las acciones correspondientes de la API de Systems Manager. En el caso de las asociaciones, en Cumplimiento de la configuración se muestra el estado de cumplimiento (Conforme o No conforme). También muestra el nivel de gravedad asignado a la asociación, como Crítica o Media. Para obtener más información sobre el cumplimiento de asociaciones de State Manager, consulta [Acerca del cumplimiento de las asociaciones del administrador de estado](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) en la guía del usuario de AWS Systems Manager. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba el estado de cumplimiento de los parches del administrador de sistemas de AWS.
|
Ec2 Metadata Service Allows Imdsv2
Nombre de categoría en la API: |
Descripción del resultado: Cuando se habilita el servicio de metadatos en las instancias EC2 de AWS, los usuarios tienen la opción de usar la versión 1 del servicio de metadatos de la instancia (IMDSv1; un método de solicitud/respuesta) o la versión 2 del servicio de metadatos de instancia (IMDSv2, un método orientado a la sesión). Nivel de precios: Enterprise Estándares de cumplimiento:
|
Garantiza que el servicio de metadatos de EC2 solo permita IMDSv2
|
Ec2 Volume Inuse Check
Nombre de categoría en la API: |
Descripción del resultado: Identifica y quita los volúmenes de Elastic Block Store (EBS) no adjuntos (sin usar) de tu cuenta de AWS para reducir el costo de tu factura mensual de AWS. Borrar volúmenes de EBS sin usar también reduce el riesgo de que los datos confidenciales o sensibles salgan de tu sitio. Además, este control también comprueba si las instancias de EC2 se archivaron y están configuradas para borrar volúmenes en el momento de la rescisión. De forma predeterminada, las instancias de EC2 están configuradas para borrar los datos en cualquier volumen EBS asociado con la instancia y para borrar el volumen raíz de EBS de la instancia. Sin embargo, cualquier volumen de EBS no raíz adjunto a la instancia, en el inicio o durante la ejecución, se conserva después de la finalización de forma predeterminada. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si los volúmenes de EBS están conectados a instancias de EC2 y configurados para su eliminación cuando se finaliza la instancia
|
Efs Encrypted Check
Nombre de categoría en la API: |
Descripción del resultado: Amazon EFS admite dos formas de encriptación para sistemas de archivos: la encriptación de datos en tránsito y la encriptación en reposo. Esto verifica que todos los sistemas de archivos EFS estén configurados con encriptación en reposo en todas las regiones habilitadas de la cuenta. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si EFS está configurado para encriptar datos de archivos con KMS
|
Efs In Backup Plan
Nombre de categoría en la API: |
Descripción del resultado: Las prácticas recomendadas de Amazon recomiendan configurar las copias de seguridad para tus Elastic File Systems (EFS). Esta acción verifica todas las EFS en cada región habilitada en tu cuenta de AWS para las copias de seguridad habilitadas. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si los sistemas de archivos EFS están incluidos en los planes de copia de seguridad de AWS
|
Elb Acm Certificate Required
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si el balanceador de cargas clásico usa certificados HTTPS/SSL que proporciona el Administrador de certificados de AWS (ACM). El control falla si el balanceador de cargas clásico configurado con el objeto de escucha HTTPS/SSL no usa un certificado proporcionado por ACM. Para crear un certificado, puedes usar ACM o una herramienta que admita los protocolos SSL y TLS, como OpenSSL. El Centro de seguridad recomienda que uses ACM para crear o importar certificados para tu balanceador de cargas. ACM se integra en los balanceadores de cargas clásicos para que puedas implementar el certificado en el balanceador de cargas. También debes renovar automáticamente estos certificados. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todos los balanceadores de cargas clásicos usen certificados SSL proporcionados por el Administrador de certificados de AWS
|
Elb Deletion Protection Enabled
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si un balanceador de cargas de aplicaciones tiene habilitada la protección contra la eliminación. El control falla si no se configura la protección contra la eliminación. Habilita la protección contra la eliminación para evitar que se borre tu balanceador de cargas de aplicaciones. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Se debe habilitar la protección contra la eliminación del balanceador de cargas de aplicaciones
|
Elb Logging Enabled
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si el balanceador de cargas de aplicaciones y el balanceador de cargas clásico tienen el registro habilitado. El control falla si access_logs.s3.enabled es falso. Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre las solicitudes enviadas a tu balanceador de cargas. Cada registro contiene información como la hora en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de acceso de las solicitudes y las respuestas del servidor. Puedes usar estos registros de acceso para analizar patrones de tráfico y solucionar problemas. Para obtener más información, consulta [Registros de acceso del balanceador de cargas clásico](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) en la guía del usuario de balanceadores de cargas clásicos. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si los balanceadores de cargas clásicos y de aplicaciones tienen el registro habilitado
|
Elb Tls Https Listeners Only
Nombre de categoría en la API: |
Descripción del resultado: Esta verificación garantiza que todos los balanceadores de cargas clásicos estén configurados para usar una comunicación segura. Un objeto de escucha es un proceso que verifica las solicitudes de conexión. Está configurada con un protocolo y un puerto para conexiones de frontend (cliente a balanceador de cargas), y un protocolo y un puerto para conexiones de backend (balanceador de cargas a instancia). Para obtener información sobre la configuración de puertos, protocolos y objetos de escucha compatibles con Elastic Load Balancing, consulta [Objetos de escucha para tu balanceador de cargas clásico](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-listener-config.html). Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todos los balanceadores de cargas clásicos estén configurados con objetos de escucha SSL o HTTPS.
|
Encrypted Volumes
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si los volúmenes de EBS que se encuentran adjuntos están encriptados. Para pasar esta verificación, los volúmenes de EBS deben estar en uso y encriptados. Si el volumen de EBS no está adjunto, no está sujeto a esta verificación. Para agregar una capa de seguridad adicional a tus datos sensibles en los volúmenes de EBS, debes habilitar la encriptación en reposo. La encriptación de Amazon EBS ofrece una solución de encriptación directa para tus recursos de EBS que no requiere que compiles, mantengas ni protejas tu propia infraestructura de administración de claves. Usa claves de KMS cuando crea instantáneas y volúmenes encriptados. Para obtener más información sobre la encriptación de Amazon EBS, consulta la guía del usuario de Amazon EC2 para instancias de Linux. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Los volúmenes de Amazon EBS adjuntos deben encriptarse en reposo
|
Encryption At Rest Enabled Rds Instances
Nombre de categoría en la API: |
Descripción del resultado: Las instancias de base de datos encriptadas de Amazon RDS usan el algoritmo de encriptación AES-256 estándar de la industria para encriptar tus datos en el servidor que aloja tus instancias de base de datos de Amazon RDS. Después de que se encriptan tus datos, Amazon RDS maneja la autenticación del acceso y la desencriptación de tus datos con transparencia y con un impacto mínimo en el rendimiento. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Garantiza que la encriptación en reposo esté habilitada para las instancias de RDS.
|
Encryption Enabled Efs File Systems
Nombre de categoría en la API: |
Descripción del resultado: Los datos EFS se deben encriptar en reposo con AWS KMS (Key Management Service). Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que la encriptación esté habilitada para los sistemas de archivos EFS
|
Iam Password Policy
Nombre de categoría en la API: |
Descripción del resultado: AWS permite crear políticas de contraseñas personalizadas en tu cuenta de AWS para especificar los requisitos de complejidad y los períodos de rotación obligatorios para las contraseñas de los usuarios de IAM. Si no estableces una política de contraseñas personalizada, las contraseñas de usuario de IAM deben cumplir con la política de contraseñas predeterminada de AWS. Las prácticas recomendadas de seguridad de AWS recomiendan los siguientes requisitos de complejidad de contraseña: - Exige al menos un carácter en mayúscula en la contraseña. - Exige al menos un carácter en minúscula en las contraseñas. - Exige al menos un símbolo en las contraseñas. - Exige al menos un número en las contraseñas. - La contraseña debe tener una longitud mínima de 14 caracteres. - Solicita al menos 24 contraseñas antes de permitir la reutilización. - Exigir al menos 90 antes del vencimiento de la contraseña Este control verifica todos los requisitos de la política de contraseñas especificada. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si la política de contraseñas de la cuenta de los usuarios de IAM cumple con los requisitos especificados.
|
Iam Password Policy Prevents Password Reuse
Nombre de categoría en la API: |
Descripción del resultado: Las políticas de contraseñas de IAM pueden impedir que un mismo usuario reutilice una contraseña dada. Se recomienda que la política de contraseñas impida la reutilización de contraseñas. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que la política de contraseñas de IAM evite la reutilización de contraseñas
|
Iam Password Policy Requires Minimum Length 14 Greater
Nombre de categoría en la API: |
Descripción del resultado: Las políticas de contraseñas se usan, en parte, para aplicar de manera forzosa los requisitos de complejidad de las contraseñas. Las políticas de contraseñas de IAM se pueden usar para garantizar que las contraseñas tengan una longitud mínima. Se recomienda que la política de contraseñas requiera una longitud mínima de 14 contraseñas. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que la política de contraseñas de IAM requiera una longitud mínima de 14 caracteres
|
Iam Policies Allow Full Administrative Privileges Attached
Nombre de categoría en la API: |
Descripción del resultado: Las políticas de IAM son las formas en las que se otorgan privilegios a usuarios, grupos o roles. Se recomienda y se considera una sugerencia de seguridad estándar otorgar el _mínimo privilegio_, es decir, otorgar solo los permisos necesarios para realizar una tarea. Determina lo que deben hacer los usuarios y, luego, crea políticas que les permitan realizar _solo_ esas tareas, en lugar de otorgarles privilegios administrativos completos. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que no se adjunten políticas de IAM que permitan privilegios administrativos completos de “*:*”
|
Iam Users Receive Permissions Groups
Nombre de categoría en la API: |
Descripción del resultado: A los usuarios de IAM se les otorga acceso a los servicios, las funciones y los datos a través de las políticas de IAM. Existen cuatro maneras de definir políticas para un usuario: 1) editar la política del usuario de forma directa, también conocida como política intercalada o de usuario; 2) adjuntar una política directamente a un usuario; 3) agregar el usuario a un grupo de IAM que tenga una política adjunta; 4) agregar el usuario a un grupo de IAM con una política intercalada. Solo se recomienda la tercera implementación. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que los usuarios de IAM reciban permisos solo a través de grupos
|
Iam User Group Membership Check
Nombre de categoría en la API: |
Descripción del resultado: Los usuarios de IAM siempre deben ser parte de un grupo de IAM para cumplir con las prácticas recomendadas de seguridad. Si agregas usuarios a un grupo, es posible compartir políticas entre diferentes tipos de usuarios. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica si los usuarios de IAM son miembros de al menos un grupo de IAM.
|
Iam User Mfa Enabled
Nombre de categoría en la API: |
Descripción del resultado: La autenticación de varios factores (MFA) es una práctica recomendada que agrega una capa adicional de protección además de los nombres de usuario y las contraseñas. Con la MFA, cuando un usuario inicia sesión en la Consola de administración de AWS, se le exige que proporcione un código de autenticación urgente, proporcionado por un dispositivo virtual o físico registrado. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si los usuarios de IAM de AWS tienen habilitada la autenticación de varios factores (MFA)
|
Iam User Unused Credentials Check
Nombre de categoría en la API: |
Descripción del resultado: Esta función permite verificar si hay contraseñas de IAM o claves de acceso activas que no se hayan usado en los últimos 90 días. Se recomienda quitar, desactivar o rotar todas las credenciales que no se usen durante 90 días o más. Esto reduce el período de oportunidad para que se usen las credenciales asociadas a una cuenta comprometida o abandonada. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todos los usuarios de IAM de AWS tengan contraseñas o claves de acceso activas que no se hayan usado en los días de maxCredentialUsageAge (90 valores predeterminados).
|
Kms Cmk Not Scheduled For Deletion
Nombre de categoría en la API: |
Descripción del resultado: Este control verifica si las claves de KMS están programadas para borrarse. El control falla si se programa la eliminación de una clave de KMS. Una vez borradas, no se pueden recuperar las claves de KMS. Los datos encriptados con una clave de KMS también son irrecuperables de forma permanente si se borra esta clave. Si se han encriptado datos significativos con una clave de KMS programada para su eliminación, considera desencriptar los datos o volver a encriptarlos con una clave de KMS nueva, a menos que estés realizando un borrado criptográfico de forma intencional. Cuando se programa la eliminación de una clave de KMS, se aplica un período de espera obligatorio a fin de dar tiempo para revertir la eliminación, si se programó por error. El período de espera predeterminado es de 30 días, pero puede reducirse a solo 7 días cuando se programa la eliminación de la clave de KMS. Durante el período de espera, se puede cancelar la eliminación programada y no se borrará la clave de KMS. Para obtener información adicional sobre cómo borrar claves de KMS, consulta [Borra claves de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/deleted-keys.html) en la Guía para desarrolladores de AWS Key Management Service. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que no se programó la eliminación de todos los CMK
|
Lambda Concurrency Check
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si la función de Lambda está configurada con un límite de ejecución simultánea a nivel de función. La regla es NON_COMPLIANT si la función de Lambda no está configurada con un límite de ejecución simultánea a nivel de función. Nivel de precios: Enterprise Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Comprueba si las funciones Lambda están configuradas con límite de ejecución simultánea a nivel de función
|
Lambda Dlq Check
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si una función de Lambda está configurada con una cola de mensajes no entregados. La regla es NON_COMPLIANT si la función Lambda no está configurada con una cola de mensajes no entregados. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si las funciones Lambda están configuradas con una cola de mensajes no entregados
|
Lambda Function Public Access Prohibited
Nombre de categoría en la API: |
Descripción del resultado: Las prácticas recomendadas de AWS indican que la función de Lambda no debe exponerse públicamente. Esta política verifica todas las funciones Lambda implementadas en todas las regiones habilitadas en tu cuenta y fallará si están configuradas para permitir el acceso público. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si la política adjunta a la función de Lambda prohíbe el acceso público
|
Lambda Inside Vpc
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si una función de Lambda está en una VPC. Es posible que veas hallazgos fallidos para los recursos de Lambda@Edge. No evalúa la configuración de enrutamiento de la subred de VPC para determinar la accesibilidad pública. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si las funciones Lambda existen en una VPC
|
Mfa Delete Enabled S3 Buckets
Nombre de categoría en la API: |
Descripción del resultado: Una vez que se habilita la eliminación MFA en tu bucket de S3 sensible y clasificado, se requiere que el usuario tenga dos formas de autenticación. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que la eliminación MFA esté habilitada en los buckets de S3
|
Mfa Enabled Root User Account
Nombre de categoría en la API: |
Descripción del resultado: La cuenta de usuario “raíz” es el usuario con más privilegios en una cuenta de AWS. La autenticación de varios factores (MFA) agrega una capa extra de protección al nombre de usuario y a la contraseña. Con la MFA habilitada, cuando un usuario inicia sesión en un sitio web de AWS, se le solicitará su nombre de usuario y contraseña, así como un código de autenticación de su dispositivo AWS MFA. **Nota:** Cuando la MFA virtual se utiliza para cuentas “raíz”, se recomienda que el dispositivo utilizado NO sea un dispositivo personal, sino un dispositivo móvil dedicado (tablet o teléfono) que se pueda mantener cargado y protegido independientemente de cualquier dispositivo personal individual. ("MFA virtual no personal") Esto disminuye los riesgos de perder el acceso a la MFA debido a la pérdida de dispositivos, intercambios de dispositivos o si la persona que posee el dispositivo ya no trabaja en la empresa. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que la MFA esté habilitada para la cuenta de usuario “raíz”
|
Multi Factor Authentication Mfa Enabled All Iam Users Console
Nombre de categoría en la API: |
Descripción del resultado: La autenticación de varios factores (MFA) agrega una capa adicional de garantía de autenticación más allá de las credenciales tradicionales. Con la MFA habilitada, cuando un usuario inicia sesión en la consola de AWS, se le solicitará su nombre de usuario y contraseña, así como un código de autenticación de su token de MFA físico o virtual. Se recomienda habilitar la MFA para todas las cuentas que tengan una contraseña de la consola. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que la autenticación de varios factores (MFA) esté habilitada para todos los usuarios de IAM que tengan una contraseña de la consola
|
No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration
Nombre de categoría en la API: |
Descripción del resultado: La función Lista de control de acceso a la red (NACL) proporciona filtrado sin estado del tráfico de red de entrada y salida a los recursos de AWS. Se recomienda que ningún NACL permita el acceso de entrada sin restricciones a los puertos de administración del servidor remoto, como SSH al puerto “22” y RDP al puerto “3389”, mediante los protocolos TDP (6), UDP (17) o TODOS (-1). Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que ninguna LCA de red permita la entrada de 0.0.0.0/0 a los puertos de administración del servidor remoto
|
No Root User Account Access Key Exists
Nombre de categoría en la API: |
Descripción del resultado: La cuenta de usuario “raíz” es el usuario con más privilegios en una cuenta de AWS. Las claves de acceso de AWS proporcionan acceso programático a una cuenta de AWS determinada. Se recomienda borrar todas las claves de acceso asociadas con la cuenta de usuario “raíz”. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que no exista una clave de acceso a una cuenta de usuario “raíz”
|
No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration
Nombre de categoría en la API: |
Descripción del resultado: Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Se recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones a los puertos de administración del servidor remoto, como SSH al puerto “22” y RDP al puerto “3389”, mediante los protocolos TDP (6), UDP (17) o TODOS (-1). Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que ningún grupo de seguridad permita la entrada de 0.0.0.0/0 a los puertos de administración del servidor remoto
|
No Security Groups Allow Ingress 0 Remote Server Administration
Nombre de categoría en la API: |
Descripción del resultado: Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Se recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones a los puertos de administración del servidor remoto, como SSH al puerto “22” y RDP al puerto “3389”. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que ningún grupo de seguridad permita la entrada de ::/0 a los puertos de administración del servidor remoto
|
One Active Access Key Available Any Single Iam User
Nombre de categoría en la API: |
Descripción del resultado: Las claves de acceso son credenciales a largo plazo para un usuario de IAM o el usuario "raíz" de la cuenta de AWS. Puede usar las claves de acceso para firmar solicitudes programáticas en la CLI o la API de AWS (directamente o mediante el SDK de AWS). Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que solo haya disponible una clave de acceso activa para cada usuario de IAM
|
Public Access Given Rds Instance
Nombre de categoría en la API: |
Descripción del resultado: Asegúrate y verifica que las instancias de base de datos de RDS aprovisionadas en la cuenta de AWS restrinjan el acceso no autorizado para minimizar los riesgos de seguridad. Para restringir el acceso a cualquier instancia de base de datos de RDS de acceso público, debes inhabilitar la marca de acceso público de la base de datos y actualizar el grupo de seguridad de VPC asociado a la instancia. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Garantiza que no se otorgue acceso público a la Instancia de RDS
|
Rds Enhanced Monitoring Enabled
Nombre de categoría en la API: |
Descripción del resultado: La supervisión mejorada proporciona métricas en tiempo real en el sistema operativo en el que se ejecuta la instancia de RDS a través de un agente instalado en la instancia. Para obtener más información, consulta [Supervisa las métricas del SO con la supervisión mejorada](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html). Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si la supervisión mejorada está habilitada para todas las instancias de base de datos de RDS
|
Rds Instance Deletion Protection Enabled
Nombre de categoría en la API: |
Descripción del resultado: Habilitar la protección contra la eliminación de instancias es una capa adicional de protección contra la eliminación accidental de la base de datos por parte de una entidad no autorizada. Una instancia de RDS DB no se puede borrar mientras está habilitada la protección contra la eliminación. Para que una solicitud de eliminación se realice de forma correcta, se debe inhabilitar la protección contra la eliminación. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si todas las instancias de RDS tienen la protección contra la eliminación habilitada
|
Rds In Backup Plan
Nombre de categoría en la API: |
Descripción del resultado: Esta verificación evalúa si las instancias de base de datos de Amazon RDS están cubiertas por un plan de copia de seguridad. Este control falla si una instancia de base de datos de RDS no está cubierta por un plan de copia de seguridad. AWS Backup es un servicio de copia de seguridad completamente administrado que centraliza y automatiza la copia de seguridad de datos en los servicios de AWS. Con AWS Backup, puedes crear políticas de copia de seguridad denominadas planes de copias de seguridad. Puedes usar estos planes para definir tus requisitos de copia de seguridad, como la frecuencia con la que se realiza la copia de seguridad de los datos y por cuánto tiempo se deben retener. Incluir instancias de RDS DB en un plan de copia de seguridad te ayuda a proteger tus datos contra pérdidas o eliminaciones involuntarias. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Las instancias de base de datos de RDS deben estar protegidas por un plan de copias de seguridad
|
Rds Logging Enabled
Nombre de categoría en la API: |
Descripción del resultado: Esta función verifica si los siguientes registros de Amazon RDS están habilitados y enviados a CloudWatch. Las bases de datos de RDS deben tener habilitados los registros relevantes. El registro de la base de datos proporciona registros detallados de las solicitudes que se realizan al RDS. Los registros de la base de datos pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si los registros exportados están habilitados para todas las instancias de base de datos de RDS
|
Rds Multi Az Support
Nombre de categoría en la API: |
Descripción del resultado: Las instancias de BD de RDS se deben configurar para varias zonas de disponibilidad (AZ). Esto garantiza la disponibilidad de los datos almacenados. Las implementaciones en Multi-AZ permiten la conmutación por error automatizada si hay un problema con la disponibilidad de la zona de disponibilidad y durante el mantenimiento habitual de RDS. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si la alta disponibilidad está habilitada para todas las instancias de base de datos de RDS
|
Redshift Cluster Configuration Check
Nombre de categoría en la API: |
Descripción del resultado: Esta función verifica los elementos esenciales de un clúster de Redshift: la encriptación en reposo, el registro y el tipo de nodo. Estos elementos de configuración son importantes para el mantenimiento de un clúster de Redshift seguro y observable. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todos los clústeres Redshift tengan encriptación en reposo, registro y tipo de nodo.
|
Redshift Cluster Maintenancesettings Check
Nombre de categoría en la API: |
Descripción del resultado: Las actualizaciones automáticas de la versión principal se realizan según el período de mantenimiento Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todos los clústeres de Redshift tengan configurados allowVersionUpgrade y el conjunto de keywordRetainWindow y automaticSnapshotRetainPeriod.
|
Redshift Cluster Public Access Check
Nombre de categoría en la API: |
Descripción del resultado: El atributo PubliclyAccessible de la configuración del clúster de Amazon Redshift indica si el clúster es de acceso público. Cuando el clúster se configura con PubliclyAccessible como verdadero, es una instancia orientada a Internet que tiene un nombre de DNS que se puede resolver públicamente, lo que se resuelve en una dirección IP pública. Cuando no se puede acceder de forma pública al clúster, se trata de una instancia interna con un nombre de DNS que se resuelve en una dirección IP privada. A menos que desees que tu clúster sea de acceso público, este no se debe configurar con PubliclyAccessible como verdadero. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si los clústeres Redshift son de acceso público
|
Restricted Common Ports
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si se puede acceder al tráfico entrante sin restricciones de los grupos de seguridad desde los puertos especificados que tienen el riesgo más alto. Este control falla si alguna de las reglas de un grupo de seguridad permite el tráfico de entrada de “0.0.0.0/0” o “::/0” para esos puertos. El acceso sin restricciones (0.0.0.0/0) aumenta las oportunidades de actividad maliciosa, como el hackeo, los ataques de denegación del servicio y la pérdida de datos. Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Los grupos de seguridad no deben permitir el acceso sin restricciones a los puertos con alto riesgo
|
Restricted Ssh
Nombre de categoría en la API: |
Descripción del resultado: Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. CIS recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones al puerto 22. Quitar la conectividad ilimitada a los servicios de consola remota, como SSH, reduce la exposición del servidor a riesgos. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Los grupos de seguridad no deben permitir la entrada de 0.0.0.0/0 al puerto 22
|
Rotation Customer Created Cmks Enabled
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si la rotación automática de claves está habilitada para cada clave y coincide con el ID de la clave de AWS KMS que creó el cliente. La regla es NON_COMPLIANT si la función de grabador de configuración de AWS para un recurso no tiene el permiso kms:DescribeKey. Nivel de precios: Enterprise Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Asegúrate de que esté habilitada la rotación de los CMK creados por el cliente
|
Rotation Customer Created Symmetric Cmks Enabled
Nombre de categoría en la API: |
Descripción del resultado: AWS Key Management Service (KMS) permite a los clientes rotar la clave de copia de seguridad, que es el material de clave almacenado en el KMS que está vinculado al ID de la clave maestra de cliente (CMK) creada por el cliente. Es la clave de respaldo que se usa para realizar operaciones criptográficas como encriptación y desencriptación. Actualmente, la rotación automática de claves retiene todas las claves de copia de seguridad anteriores para que la desencriptación de los datos encriptados pueda realizarse con transparencia. Se recomienda habilitar la rotación de claves de CMK para las claves simétricas. No se puede habilitar la rotación de claves para ningún CMK asimétrico. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que esté habilitada la rotación de los CMK simétricos creados por el cliente
|
Routing Tables Vpc Peering Are Least Access
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si las tablas de rutas para el intercambio de tráfico de VPC se configuraron con la principal de menos privilegios. Nivel de precios: Enterprise Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Asegúrate de que las tablas de enrutamiento para el intercambio de tráfico de VPC tengan el “acceso mínimo”
|
S3 Account Level Public Access Blocks
Nombre de categoría en la API: |
Descripción del resultado: El acceso público al bloque de Amazon S3 proporciona parámetros de configuración para los puntos de acceso, los buckets y las cuentas a fin de ayudarte a administrar el acceso público a los recursos de Amazon S3. De forma predeterminada, los buckets, los puntos de acceso y los objetos nuevos no permiten el acceso público. Nivel de precios: Enterprise Estándares de cumplimiento: Esta categoría de resultado no se asigna a ningún control estándar de cumplimiento. |
Verifica si están configurados los parámetros requeridos del bloqueo de acceso público de S3 a nivel de la cuenta
|
S3 Bucket Logging Enabled
Nombre de categoría en la API: |
Descripción del resultado: La función del registro de acceso al servidor de S3 de AWS registra las solicitudes de acceso a los buckets de almacenamiento, lo que es útil para las auditorías de seguridad. De forma predeterminada, el registro de acceso al servidor no está habilitado para los buckets de S3. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica si el registro está habilitado en todos los buckets de S3
|
S3 Bucket Policy Set Deny Http Requests
Nombre de categoría en la API: |
Descripción del resultado: A nivel del bucket de Amazon S3, puedes configurar permisos a través de una política del bucket que haga que los objetos solo sean accesibles a través de HTTPS. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que la política de buckets de S3 esté configurada para rechazar solicitudes HTTP
|
S3 Bucket Replication Enabled
Nombre de categoría en la API: |
Descripción del resultado: Este control verifica si un bucket de Amazon S3 tiene habilitada la replicación entre regiones. El control falla si el bucket no tiene habilitada la replicación entre regiones o si también está habilitada la replicación en la misma región. La replicación es la copia automática y asíncrona de objetos entre buckets en la misma región de AWS o en regiones diferentes. La replicación copia los objetos recién creados y las actualizaciones de los objetos de un bucket de origen a uno o varios buckets de destino. Las prácticas recomendadas de AWS recomiendan la replicación de los buckets de origen y destino que pertenecen a la misma cuenta de AWS. Además de la disponibilidad, debes considerar otros parámetros de configuración de endurecimiento de sistemas. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica si los buckets de S3 tienen habilitada la replicación entre regiones
|
S3 Bucket Server Side Encryption Enabled
Nombre de categoría en la API: |
Descripción del resultado: Esta función verifica si tu bucket de S3 tiene habilitada la encriptación predeterminada de Amazon S3 o que la política de bucket de S3 rechace de forma explícita las solicitudes de objeto put sin encriptación del servidor. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que todos los buckets de S3 utilicen la encriptación en reposo
|
S3 Bucket Versioning Enabled
Nombre de categoría en la API: |
Descripción del resultado: Amazon S3 es un medio para mantener múltiples variantes de un objeto en el mismo bucket y puede ayudarte a recuperarte más fácilmente de las acciones no deseadas de los usuarios y los errores de la aplicación. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica que el control de versiones esté habilitado en todos los buckets de S3
|
S3 Default Encryption Kms
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si los buckets de Amazon S3 están encriptados con AWS Key Management Service (AWS KMS) Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica que todos los buckets estén encriptados con KMS
|
Sagemaker Notebook Instance Kms Key Configured
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si se configuró una clave de AWS Key Management Service (AWS KMS) para una instancia de notebook de Amazon SageMaker. Si no se especifica “KmsKeyId” para la instancia de notebook de SageMaker, la regla es NON_COMPLIANT. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todas las instancias de notebook de SageMaker estén configuradas para usar KMS.
|
Sagemaker Notebook No Direct Internet Access
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si el acceso directo a Internet está inhabilitado para una instancia de notebook de SageMaker. Para ello, verifica si el campo DirectInternetAccess está inhabilitado para la instancia de notebook. Si configuras tu instancia de SageMaker sin una VPC, el acceso directo a Internet estará habilitado de forma predeterminada en la instancia. Debes configurar tu instancia con una VPC y cambiar la configuración predeterminada a Inhabilitar: Acceder a Internet a través de una VPC. Para entrenar o alojar modelos desde un notebook, necesitas acceso a Internet. Para habilitar el acceso a Internet, asegúrate de que tu VPC tenga una puerta de enlace NAT y de que el grupo de seguridad permita conexiones salientes. Si quieres obtener más información para conectar una instancia de notebook a los recursos de una VPC, consulta la sección sobre cómo conectar una instancia de notebook a los recursos de una VPC en la Guía para desarrolladores de Amazon SageMaker. También debes asegurarte de que el acceso a tu configuración de SageMaker esté limitado solo a los usuarios autorizados. Restringe los permisos de IAM de los usuarios para modificar la configuración y los recursos de SageMaker. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si el acceso directo a Internet está inhabilitado para todas las instancias de notebook de Amazon SageMaker.
|
Secretsmanager Rotation Enabled Check
Nombre de categoría en la API: |
Finding description: Comprueba si un secreto almacenado en AWS Secret Manager está configurado con rotación automática. El control falla si el secreto no está configurado con rotación automática. Si proporcionas un valor personalizado para el parámetro `maximumAllowedRotationFrequency`, el control solo se pasa si el secreto se rota automáticamente dentro del período especificado. Secret Manager te ayuda a mejorar la postura de seguridad de tu organización. Los Secrets incluyen credenciales de bases de datos, contraseñas y claves de API de terceros. Puedes usar Secret Manager para almacenar secretos de manera centralizada, encriptarlos automáticamente, controlar el acceso a ellos y rotarlos de forma segura y automática. Secret Manager puede rotar los secretos. Puedes usar la rotación para reemplazar los secretos a largo plazo con otros de corto plazo. La rotación de tus secretos limita el tiempo que un usuario no autorizado puede usar un secreto comprometido. Por este motivo, debes rotar tus secretos con frecuencia. Para obtener más información sobre la rotación, consulta la sección sobre cómo rotar tus secretos de AWS Secret Manager en la Guía del usuario de AWS Secret Manager. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todos los Secrets de AWS Secret Manager tengan habilitada la rotación
|
Sns Encrypted Kms
Nombre de categoría en la API: |
Descripción del resultado: Comprueba si un tema de SNS se encripta en reposo mediante el KMS de AWS. Los controles fallan si un tema de SNS no usa una clave KMS para la encriptación del servidor (SSE). La encriptación de los datos en reposo reduce el riesgo de que un usuario no autenticado en AWS acceda a los datos almacenados en el disco. También se agrega otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para desencriptar los datos antes de que se puedan leer. Los temas de SNS deben estar encriptados en reposo para agregar una capa de seguridad adicional. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que todos los temas de SNS estén encriptados con KMS
|
Vpc Default Security Group Closed
Nombre de categoría en la API: |
Descripción del resultado: Este control verifica si el grupo de seguridad predeterminado de una VPC permite el tráfico entrante o saliente. El control falla si el grupo de seguridad permite el tráfico entrante o saliente. Las reglas del grupo de seguridad predeterminado permiten todo el tráfico entrante y saliente de las interfaces de red (y sus instancias asociadas) que se asignan al mismo grupo de seguridad. Te recomendamos que no uses el grupo de seguridad predeterminado. Dado que el grupo de seguridad predeterminado no se puede borrar, debes cambiar el parámetro de configuración de las reglas predeterminadas del grupo para restringir el tráfico entrante y saliente. Esto evita el tráfico no deseado si el grupo de seguridad predeterminado se configura accidentalmente para recursos como las instancias de EC2. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que el grupo de seguridad predeterminado de cada VPC restrinja todo el tráfico
|
Vpc Flow Logging Enabled All Vpcs
Nombre de categoría en la API: |
Descripción del resultado: Los registros de flujo de VPC son una función que te permite capturar información sobre el tráfico IP desde y hacia las interfaces de red de tu VPC. Después de crear un registro de flujo, puedes ver y recuperar sus datos en los registros de Amazon CloudWatch. Se recomienda habilitar los registros de flujo de VPC para los paquetes "rechazos" en las VPC. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que el registro de flujo de VPC esté habilitado en todas las VPC
|
Vpc Sg Open Only To Authorized Ports
Nombre de categoría en la API: |
Descripción del resultado: Este control verifica si un grupo de seguridad de Amazon EC2 permite tráfico entrante sin restricción desde puertos no autorizados. El estado del control se determina de la siguiente manera: Si utilizas el valor predeterminado para AuthorizedTcpPorts, el control falla si el grupo de seguridad permite el tráfico entrante sin restricciones desde cualquier puerto que no sea los puertos 80 y 443. Si proporcionas valores personalizados para AuthorizedTcpPorts oauthorizedUdpPorts, el control falla si el grupo de seguridad permite el tráfico entrante sin restricciones desde cualquier puerto no listado. Si no se usa ningún parámetro, el control falla para cualquier grupo de seguridad que tenga una regla de tráfico entrante sin restricciones. Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a AWS. Las reglas del grupo de seguridad deben seguir la principal del acceso con menos privilegios. El acceso sin restricciones (la dirección IP con el sufijo /0) aumenta las posibilidades de actividades maliciosas, como hackeos, ataques de denegación del servicio y pérdida de datos. A menos que se permita un puerto específicamente, el puerto debe denegar el acceso sin restricciones. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba que cualquier grupo de seguridad con 0.0.0.0/0 de cualquier VPC solo permita tráfico TCP/UDP entrante específico.
|
Both VPC VPN Tunnels Up
Nombre de categoría en la API: |
Descripción del resultado: Un túnel VPN es un vínculo encriptado en el que los datos pueden pasar de la red del cliente hacia o desde AWS dentro de una conexión de VPN de sitio a sitio de AWS. Cada conexión de VPN incluye dos túneles VPN que puedes usar simultáneamente para tener alta disponibilidad. Asegurarse de que ambos túneles VPN estén activos para una conexión de VPN es importante para confirmar una conexión segura y con alta disponibilidad entre una VPC de AWS y su red remota. Este control comprueba que los dos túneles VPN que proporciona la VPN de sitio a sitio de AWS tengan el estado UP. El control falla si uno o ambos túneles tienen el estado ABAJO. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica que estén configurados los túneles VPN de AWS proporcionados por AWS entre sitios
|
Resultados de Web Security Scanner
Los análisis personalizados y administrados de Web Security Scanner identifican los siguientes tipos de resultados. En el nivel Estándar, Web Security Scanner admite los análisis personalizados de aplicaciones implementadas con URL e IP públicas que no están detrás de un firewall.
| Categoría | Descripción del resultado | Los 10 mejores de OWASP de 2017 | Los 10 mejores de OWASP de 2021 |
|---|---|---|---|
Accessible Git repository
Nombre de categoría en la API: |
Un repositorio de Git se expone públicamente. Para resolver este problema, quita el acceso público no intencional al repositorio de GIT.
Nivel de precios: Estándar |
A5 | A01 |
Accessible SVN repository
Nombre de categoría en la API: |
Un repositorio de SVN se expone públicamente. Para solucionar este problema, quita el acceso no intencional al público en el repositorio de SVN.
Nivel de precios: Estándar |
A5 | A01 |
Cacheable password input
Nombre de categoría en la API: |
Las contraseñas ingresadas en la aplicación web se pueden almacenar en la caché de un navegador normal, en lugar de un almacenamiento de contraseña seguro.
Nivel de precios: Premium |
A3 | A04 |
Clear text password
Nombre de categoría en la API: |
Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver esto, encripta la contraseña que se transmite a través de la red.
Nivel de precios: Estándar |
A3 | A02 |
Insecure allow origin ends with validation
Nombre de categoría en la API: |
Un extremo HTTP o HTTPS entre sitios valida solo un sufijo del encabezado de solicitud Origin antes de reflejarlo dentro del encabezado de respuesta Access-Control-Allow-Origin. Para resolver este resultado, valida que el dominio raíz esperado sea parte del valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. Para los comodines de subdominio, antepón el punto al dominio raíz, por ejemplo, .endsWith(".google.com").
Nivel de precios: Premium |
A5 | A01 |
Insecure allow origin starts with validation
Nombre de categoría en la API: |
Un extremo HTTP o HTTPS entre sitios valida solo un prefijo del encabezado de solicitud Origin antes de reflejarlo dentro del encabezado de respuesta Access-Control-Allow-Origin. Para resolver este resultado, verifica que el dominio esperado coincida por completo con el valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta de Access-Control-Allow-Origin, por ejemplo, .equals(".google.com").
Nivel de precios: Premium |
A5 | A01 |
Invalid content type
Nombre de categoría en la API: |
Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta. Para resolver este resultado, configura el encabezado HTTP X-Content-Type-Options con el valor correcto.
Nivel de precios: Estándar |
A6 | A05 |
Invalid header
Nombre de categoría en la API: |
Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta.
Nivel de precios: Estándar |
A6 | A05 |
Mismatching security header values
Nombre de categoría en la API: |
Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta.
Nivel de precios: Estándar |
A6 | A05 |
Misspelled security header name
Nombre de categoría en la API: |
Un encabezado de seguridad está mal escrito y se ignora. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta.
Nivel de precios: Estándar |
A6 | A05 |
Mixed content
Nombre de categoría en la API: |
Los recursos se envían a través de HTTP en una página HTTPS. Para resolver esto, asegúrate de que todos los recursos se entreguen a través de HTTPS.
Nivel de precios: Estándar |
A6 | A05 |
Outdated library
Nombre de categoría en la API: |
Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver esto, actualiza las bibliotecas a una versión más reciente.
Nivel de precios: Estándar |
A9 | A06 |
Server side request forgery
Nombre de categoría en la API: |
Se detectó una vulnerabilidad de falsificación de solicitudes del servidor (SSRF). Para resolver este resultado, usa una lista de entidades permitidas a fin de limitar los dominios y las direcciones IP a las que la aplicación web puede realizar solicitudes.
Nivel de precios: Estándar |
No aplicable | A10 |
Session ID leak
Nombre de categoría en la API: |
Cuando se realiza una solicitud de dominio cruzado, la aplicación web incluye el identificador de sesión del usuario en el encabezado de su solicitud Referer. Esta vulnerabilidad le otorga al dominio receptor acceso al identificador de sesión, que se puede usar para actuar como el usuario o identificarlo de forma única.
Nivel de precios: Premium |
A2 | A07 |
SQL injection
Nombre de categoría en la API: |
Se detectó una posible vulnerabilidad de inyección de SQL. Para resolver este resultado, usa consultas con parámetros a fin de evitar que las entradas del usuario influyan en la estructura de la consulta de SQL.
Nivel de precios: Premium |
A1 | A03 |
Struts insecure deserialization
Nombre de categoría en la API: |
Se detectó el uso de una versión vulnerable de Apache Stuts. Para resolver este resultado, actualiza Apache Stuuts a la versión más reciente.
Nivel de precios: Premium |
A8 | A08 |
XSS
Nombre de categoría en la API: |
Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y omite los datos no confiables del usuario.
Nivel de precios: Estándar |
A7 | A03 |
XSS angular callback
Nombre de categoría en la API: |
La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para resolver resultado, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla.
Nivel de precios: Estándar |
A7 | A03 |
XSS error
Nombre de categoría en la API: |
Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver esto, valida y omite los datos no confiables del usuario.
Nivel de precios: Estándar |
A7 | A03 |
XXE reflected file leakage
Nombre de categoría en la API: |
Se detectó una vulnerabilidad XML External Entity (XXE). Esto puede hacer que la aplicación web filtre un archivo en el host. Para resolver este resultado, configura tus analizadores de XML a fin de inhabilitar las entidades externas.
Nivel de precios: Premium |
A4 | A05 |
Prototype pollution
Nombre de categoría en la API: |
La aplicación es vulnerable a la contaminación de prototipos. Esta vulnerabilidad surge cuando se pueden asignar valores que el atacante puede controlar a las propiedades del objeto Object.prototype. Se supone universalmente que los valores plantados en estos prototipos se traducen en secuencia de comandos entre sitios o en vulnerabilidades similares del cliente, además de errores lógicos.
Nivel de precios: Estándar |
A1 | A03 |
Hallazgos y soluciones de la Detección rápida de vulnerabilidades
La Detección rápida de vulnerabilidades detecta credenciales débiles, instalaciones de software incompletas y otras vulnerabilidades críticas que tienen una alta probabilidad de explotar. El servicio descubre automáticamente extremos de red, protocolos, puertos abiertos, servicios de red y paquetes de software instalados.
Los resultados de la Detección rápida de vulnerabilidades son advertencias tempranas de vulnerabilidades que recomendamos que corrijas de inmediato.
Para obtener información sobre cómo ver los resultados, consulta Revisa los resultados en Security Command Center.
Los análisis de Detección rápida de vulnerabilidades identifican los siguientes tipos de resultados.
| Tipo de resultado | Descripción del resultado | Los 10 códigos principales de OWASP |
|---|---|---|
| Hallazgos de credenciales poco seguras | ||
WEAK_CREDENTIALS
|
Este detector busca credenciales débiles con métodos de fuerza bruta ncra. Servicios compatibles: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Solución: Aplica una política de contraseñas segura. Crea credenciales únicas para tus servicios y evita el uso de palabras del diccionario en las contraseñas. |
2021 A07 2017 A2 |
| Hallazgos de interfaces expuestas | ||
ELASTICSEARCH_API_EXPOSED
|
La
API de Elasticsearch permite que los emisores realicen consultas arbitrarias, escriban y ejecuten secuencias de comandos, y agreguen documentos adicionales al servicio.
Solución: Quita el acceso directo a la API de Elasticsearch mediante el enrutamiento de solicitudes a través de una aplicación o limita el acceso solo a los usuarios autenticados. Para obtener más información, consulta Configuración de seguridad en Elasticsearch. |
2021 A01 y A05 2017 A5, A6 |
EXPOSED_GRAFANA_ENDPOINT
|
En Grafana 8.0.0 a 8.3.0, los usuarios pueden acceder sin autenticación a un extremo con una vulnerabilidad de recorrido del directorio que permite a cualquier usuario leer cualquier archivo del servidor sin autenticación. Para obtener más información, consulta CVE-2021-43798. Solución: Aplica un parche en Grafana o actualiza a una versión posterior. Para obtener más información, consulta Recorrido de la ruta de acceso de Grafana. |
2021 A06 y A07 2017 A2 y A9 |
EXPOSED_METABASE
|
Las versiones x.40.0 a x.40.4 de Metabase, una plataforma de análisis de datos de código abierto, contienen una vulnerabilidad en la compatibilidad con mapas GeoJSON personalizados y la posible inclusión de archivos locales, incluidas las variables de entorno. No se validaron las URLs antes de cargarse. Para obtener más información, consulta CVE-2021-41277. Solución: Actualiza a las versiones de mantenimiento 0.40.5 o posteriores, o 1.40.5 o posteriores. Para obtener más información, consulta La validación de URLs de GeoJSON puede exponer los archivos del servidor y las variables de entorno a usuarios no autorizados. |
2021 A06 2017 A3 y A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
Este detector verifica si los extremos sensibles del accionador de las aplicaciones de
Spring Boot están expuestos. Algunos de los extremos predeterminados, como /heapdump, pueden exponer información sensible. Otros extremos, como /env, pueden provocar la ejecución remota de código.
Por el momento, solo se marcó /heapdump.
Solución: Inhabilita el acceso a los extremos sensibles de Actuator. Para obtener más información, consulta Cómo proteger extremos HTTP. |
2021 A01 y A05 2017 A5, A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
Este detector verifica si la
API de Hadoop Yarn ResourceManager, que controla los recursos de procesamiento y almacenamiento de un clúster de Hadoop, está expuesta y permite la ejecución de código no autenticada.
Solución: Usa las listas de control de acceso con la API. |
2021 A01 y A05 2017 A5, A6 |
JAVA_JMX_RMI_EXPOSED
|
Java Management Extension (JMX) permite la supervisión y el diagnóstico remotos para las aplicaciones de Java. Ejecutar JMX con el extremo de invocación de método remoto desprotegido permite que cualquier usuario remoto cree un javax.management.loading.MLet MBean y lo use para crear MBeans nuevos a partir de URLs arbitrarias.
Solución: Para configurar la supervisión remota de forma correcta, consulta Supervisión y administración con la tecnología JMX. |
2021 A01 y A05 2017 A5, A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
Este detector verifica si un notebook de Jupyter no autenticado está expuesto. Jupyter permite la ejecución remota de código por diseño en la máquina anfitrión.
Un notebook de Jupyter no autenticado pone a la VM de hosting en riesgo de ejecución de código
remoto.
Solución: Agrega autenticación con token a tu servidor de notebook de Jupyter o usa versiones más recientes del notebook de Jupyter que usen la autenticación con token de forma predeterminada. |
2021 A01 y A05 2017 A5, A6 |
KUBERNETES_API_EXPOSED
|
La
API de Kubernetes está expuesta y pueden acceder a ella emisores no autenticados. Esto permite la ejecución de código arbitrario en el clúster de Kubernetes.
Solución: Se requiere autenticación para todas las solicitudes a la API. Para obtener más información, consulta la guía de autenticación de la API de Kubernetes. |
2021 A01 y A05 2017 A5, A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
Este detector verifica si una instalación de WordPress no finalizó. Una
instalación de WordPress sin terminar expone la
página /wp-admin/install.php, lo que permite que el atacante establezca la
contraseña de administrador y, posiblemente, ponga en riesgo el sistema.
Solución: Completa la instalación de WordPress. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
Este detector busca una instancia de Jenkins no autenticada mediante el envío de un ping de sondeo al extremo /view/all/newJob como visitante anónimo. Una instancia autenticada de Jenkins muestra el formulario createItem, que permite la creación de trabajos arbitrarios que podrían conducir a la ejecución de código remoto.
Solución: Sigue la guía de Jenkins sobre la administración de la seguridad para bloquear el acceso no autenticado. |
2021 A01 y A05 2017 A5 y A6 |
| Resultados de software vulnerables | ||
APACHE_HTTPD_RCE
|
Se encontró una falla en el servidor HTTP Apache 2.4.49 que permite a un atacante usar un ataque de salto de directorio para asignar URLs a archivos fuera de la raíz esperada del documento y ver la fuente de los archivos interpretados, como las secuencias de comandos de CGI. Se sabe que este problema se aprovecha de forma explícita. Este problema afecta a Apache 2.4.49 y 2.4.50, pero no a versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta: Solución: Protege los archivos fuera de la raíz del documento mediante la configuración de la directiva “requerir todo denegado” en el servidor HTTP de Apache. |
2021 A01 y A06 2017 A5 y A9 |
APACHE_HTTPD_SSRF
|
Los atacantes pueden crear un URI para el servidor web Apache que haga que Solución: Actualiza el servidor HTTP de Apache a una versión posterior. |
2021 A06 y A10 2017 A9 |
CONSUL_RCE
|
Los atacantes pueden ejecutar un código arbitrario en un servidor de Consul porque la instancia de Consul está configurada con
Después de la verificación, la Detección rápida de vulnerabilidades limpia y cancela el registro del servicio mediante el extremo de REST Solución: Establece enable-script-checks en |
2021 A05 y A06 2017 A6 y A9 |
DRUID_RCE
|
Apache Druid incluye la capacidad de ejecutar código JavaScript proporcionado por el usuario incorporado en varios tipos de solicitudes. Esta función está diseñada para usarse en entornos de alta confianza y está inhabilitada de forma predeterminada. Sin embargo, en Druid 0.20.0 y versiones anteriores, es posible que un usuario autenticado envíe una solicitud especialmente diseñada que obligue a Druid a ejecutar código JavaScript proporcionado por el usuario para esa solicitud, independientemente de la configuración del servidor. Esto se puede aprovechar para ejecutar código en la máquina de destino con los privilegios del proceso del servidor de Druid. Para obtener más información, consulta los Detalles de CVE-2021-25646. Solución: Actualiza Apache Druid a una versión posterior. |
2021 A05 y A06 2017 A6 y A9 |
DRUPAL_RCE
Esta categoría incluye dos vulnerabilidades en Drupal. Varios hallazgos de este tipo pueden indicar más de una vulnerabilidad. |
Las versiones de
Dupal anteriores a la 7.58, 8.x antes de 8.3.9, 8.4.x antes de 8.4.6 y 8.5.x anteriores a 8.5.1 son vulnerables a la ejecución remota de código en solicitudes AJAX de la API de Form.
Solución: Actualiza a versiones alternativas de Drupal. |
2021 A06 2017 A9 |
| Las versiones 8.5.x de
Drupal anteriores a 8.5.11 y 8.6.x anteriores a 8.6.10 son vulnerables a la ejecución de código remoto cuando el módulo del servicio web RESTful o la API de JSON están habilitados. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante una solicitud POST personalizada.
Solución: Actualiza a versiones alternativas de Drupal. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Una vulnerabilidad en las versiones 1.11.0, 1.11.1 y 1.11.2 de
Apache Flink permite que los atacantes lean cualquier archivo en el sistema de archivos local del JobManager a través de la interfaz REST del proceso de JobManager. El acceso está restringido a los archivos a los que puede acceder el proceso de JobManager.
Solución: Si las instancias de Flink se exponen, actualiza a Flink 1.11.3 o 1.12.0. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
En las versiones 11.9 y posteriores de GitLab Community Edition (CE) y Enterprise Edition (EE), GitLab no valida de forma adecuada los archivos de imagen que se pasan a un analizador de archivos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar comandos remotos. Solución: Actualiza a GitLab CE o EE a la versión 13.10.3, 13.9.6, 13.8.8 o una posterior. Para obtener más información, consulta Acción necesaria por parte de los clientes autoadministrados en respuesta a CVE-2021-22205. |
2021 A06 2017 A9 |
GoCD_RCE
|
En GoCD 21.2.0 y versiones anteriores, hay un extremo al que se puede acceder sin autenticación. Este extremo tiene una vulnerabilidad de salto de directorio que permite que un usuario lea cualquier archivo del servidor sin autenticación. Solución: Actualiza a la versión 21.3.0 o una posterior. Para obtener más información, consulta Notas de la versión de GoCD 21.3.0. |
2021 A06 y A07 2017 A2 y A9 |
JENKINS_RCE
|
Las versiones 2.56 y anteriores de
Jenkins, y 2.46.1 LTS y anteriores son vulnerables a la ejecución de código remoto. Un atacante no autenticado puede activar esta vulnerabilidad con un objeto Java serializado malicioso.
Solución: Instala una versión alternativa de Jenkins. |
2021 A06 y A08 2017 A8, A9 |
JOOMLA_RCE
Esta categoría incluye dos vulnerabilidades en Joomla. Varios hallazgos de este tipo pueden indicar más de una vulnerabilidad. |
Las versiones 1.5.x, 2.x y 3.x de
Joomla anteriores a la 3.4.6 son vulnerables a la ejecución de código remoto. Esta vulnerabilidad se puede activar con un encabezado elaborado que contenga objetos PHP serializados.
Solución: Instala una versión alternativa de Joomla. |
2021 A06 y A08 2017 A8, A9 |
| Las versiones 3.0.0 a 3.4.6 de
Joomla son vulnerables a la ejecución de código remoto. Esta vulnerabilidad se puede activar mediante el envío de una solicitud POST que contenga un objeto PHP serializado elaborado.
Solución: Instala una versión alternativa de Joomla. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
En Apache Log4j2 2.14.1 y versiones anteriores, las funciones de JNDI que se usan en configuraciones, mensajes de registro y parámetros no protegen contra LDAP controlado por atacantes y otros extremos relacionados con JNDI. Para obtener más información, consulta CVE-2021-44228. Solución: Para obtener información sobre la solución, consulta Vulnerabilidades de seguridad de Apache Log4j. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
MantisBT hasta la versión 2.3.0 permite el restablecimiento de contraseñas arbitrario y el acceso de administrador no autenticado al proporcionar un valor confirm_hash vacío a verify.php.
Solución: Actualiza MantisBT a una versión más reciente o sigue las instrucciones de Mantis para aplicar una corrección de seguridad crítica. |
2021 A06 2017 A9 |
OGNL_RCE
|
Las instancias del servidor de Confluence y del centro de datos contienen una vulnerabilidad de inyección de OGNL que permite que un atacante no autenticado ejecute código arbitrario. Para obtener más información, consulta CVE-2021-26084. Solución: Para obtener información sobre la solución, consulta Inyección de OGNL de Confluence Server Webwork: CVE-2021-26084. |
2021 A03 2017 A1 |
OPENAM_RCE
|
OpenAM Server 14.6.2 y versiones anteriores, y ForgeRock AM Server 6.5.3 y versiones anteriores tienen una vulnerabilidad de deserialización de Java en el parámetro Solución: Actualiza a una versión más reciente. Para obtener más información sobre la solución de ForgeRock, consulta el Aviso de seguridad de AM n° 202104. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Algunas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad que se puede aprovechar fácilmente permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa un servidor Oracle WebLogic. Los ataques exitosos de esta vulnerabilidad pueden provocar la apropiación de Oracle WebLogic Server. Para obtener más información, consulta CVE-2020-14882. Solución: Para obtener información sobre los parches, consulta el Aviso de actualización de parches críticos de Oracle, octubre de 2020. |
2021 A06 y A07 2017 A2 y A9 |
PHPUNIT_RCE
|
Las versiones de
PHUnit anteriores a la 5.6.3 permiten la ejecución de código remoto con una sola solicitud POST sin autenticar.
Solución: Actualiza a versiones más recientes de PHPUnit. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
Las versiones de
PHP anteriores a la 5.3.12 y las versiones 5.4.x anteriores a 5.4.2, cuando se configuran como una secuencia de comandos de CGI, permiten la ejecución remota de código. El código vulnerable no controla correctamente las cadenas de consulta que no tienen un carácter = (signo igual). Esto permite a los atacantes agregar opciones de línea de comandos que se ejecutan en el servidor.
Solución: Instala una versión alternativa de PHP. |
2021 A05 y A06 2017 A6 y A9 |
PORTAL_RCE
|
La deserialización de datos no confiables en las versiones del
Portal Liferay anteriores a 7.2.1 CE GA2 permite a los atacantes remotos ejecutar código arbitrario a través de servicios web JSON.
Solución: Actualiza a las versiones más recientes del portal de Liferay. |
2021 A06 y A08 2017 A8, A9 |
REDIS_RCE
|
Si una instancia de Redis no requiere autenticación para ejecutar comandos de administrador, es posible que los atacantes puedan ejecutar código arbitrario. Solución: Configura Redis para que requiera autenticación. |
2021 A01 y A05 2017 A5, A6 |
SOLR_FILE_EXPOSED
|
La autenticación no está habilitada en Apache Solr, un servidor de búsqueda de código abierto. Cuando Apache Solr no requiere autenticación, un atacante puede elaborar directamente una solicitud para habilitar una configuración específica y, en última instancia, implementar una falsificación de solicitudes del servidor (SSRF) o leer archivos arbitrarios. Solución: Actualiza a versiones alternativas de Apache Solr. |
2021 A07 y A10 2017 A2 |
SOLR_RCE
|
Las versiones 5.0.0 de
Apache Solr a Apache Solr 8.3.1 son vulnerables a la ejecución de código remoto mediante VelocityResponseWriter si params.resource.loader.enabled se establece en true. Esto permite que los atacantes creen un parámetro que contenga una plantilla de velocidad maliciosa.
Solución: Actualiza a versiones alternativas de Apache Solr. |
2021 A06 2017 A9 |
STRUTS_RCE
Esta categoría incluye tres vulnerabilidades en Apache Struts. Varios hallazgos de este tipo pueden indicar más de una vulnerabilidad. |
Las versiones de
Apache Struts anteriores a la 2.3.32 y la 2.5.x anteriores a la 2.5.10.1 son vulnerables a la ejecución de código remoto. Un atacante no autenticado que proporciona un encabezado Content-Type elaborado puede activar la vulnerabilidad.
Solución: Instala una versión alternativa de Apache Struts. |
2021 A06 2017 A9 |
| El
complemento de REST en las versiones 2.1.1 a 2.3.x de Apache Struts antes de la 2.3.34 y 2.5.x antes de la 2.5.13 son vulnerables a la ejecución de código remoto durante la deserialización de cargas útiles XML creadas.
Solución: Instala una versión alternativa de Apache Struts. |
2021 A06 y A08 2017 A8, A9 |
|
Apache Struts Las versiones 2.3 a 2.3.34 y 2.5 a 2.5.16 son vulnerables a la ejecución remota de código cuandoalwaysSelectFullNamespace se configura comotrue y ciertas configuraciones de acción existen.
Solución: Instala la versión 2.3.35 o 2.5.17. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Las versiones 9.x de
Apache Tomcat 9.x anteriores a 9.0.31, 8.x antes de 8.5.51, 7.x antes de 7.0.100 y todas 6.x son vulnerables al código fuente y a la divulgación de la configuración a través de un conector de protocolo de Apache JServ expuesto. En algunos casos, se aprovecha esta opción para ejecutar código remoto si se permite la carga de archivos.
Solución: Actualiza a versiones alternativas de Apache Tomcat. |
2021 A06 2017 A3 y A9 |
VBULLETIN_RCE
|
Los servidores
vBulletin que ejecutan versiones 5.0.0 hasta 5.5.4 son vulnerables a la ejecución de código remoto. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante un parámetro de consulta en una solicitud routestring.
Solución: Actualiza a versiones alternativas de VMware vCenter Server. |
2021 A03 y A06 2017 A1 y A9 |
VCENTER_RCE
|
Las versiones 7.x de
VMware vCenter Server anteriores a 7.0 U1c, 6.7 antes de 6.7 U3l y 6.5 antes de U3n 6.5 son vulnerables a la ejecución de código remoto. Esta vulnerabilidad se puede activar si un atacante sube un archivo creado de Java Server Pages a un directorio al que se puede acceder desde la Web y, luego, activa la ejecución de ese archivo.
Solución: Actualiza a versiones alternativas de VMware vCenter Server. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Algunas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad de ejecución de código remoto, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad está relacionada con CVE-2020-14750, CVE-2020-14882 y CVE-2020-14883. Para obtener más información, consulta CVE-2020-14883. Solución: Para obtener información sobre los parches, consulta el Aviso de actualización de parches críticos de Oracle, octubre de 2020. |
2021 A06 y A07 2017 A2 y A9 |
Resultados del recomendador de IAM
En la siguiente tabla, se enumeran los resultados de Security Command Center que genera el recomendador de IAM.
Cada resultado del recomendador de IAM contiene recomendaciones específicas para quitar o reemplazar una función que incluya permisos excesivos de una principal en tu entorno de Google Cloud.
Los resultados que genera el recomendador de IAM corresponden a las recomendaciones que aparecen en la consola de Google Cloud en la página de IAM del proyecto, la carpeta o la organización afectados.
Para obtener más información sobre la integración del recomendador de IAM con Security Command Center, consulta Fuentes de seguridad.
| Detector | Resumen |
|---|---|
IAM role has excessive permissions
Nombre de categoría en la API: |
Descripción del resultado: El recomendador de IAM detectó una cuenta de servicio que tiene uno o más roles de IAM que otorgan permisos excesivos a la cuenta de usuario. Nivel de precios: Premium Recursos admitidos:
Corrige este hallazgo : Usa el recomendador de IAM a fin de aplicar la solución recomendada para este resultado mediante los siguientes pasos:
Una vez que se soluciona el problema, el recomendador de IAM actualiza el estado del resultado a |
Service agent role replaced with basic role
Nombre de categoría en la API: |
Descripción del resultado: El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio se reemplazó por uno de los roles de IAM básicos: propietario, editor o visualizador. Los roles básicos son roles heredados demasiado permisivos y no se deben otorgar a los agentes de servicio. Nivel de precios: Premium Recursos admitidos:
Corrige este hallazgo : Usa el recomendador de IAM a fin de aplicar la solución recomendada para este resultado mediante los siguientes pasos:
Una vez que se soluciona el problema, el recomendador de IAM actualiza el estado del resultado a |
Service agent granted basic role
Nombre de categoría en la API: |
Descripción del resultado: El recomendador de IAM detectó IAM que a un agente de servicio se le otorgó uno de los roles de IAM básicos: propietario, editor o visualizador. Los roles básicos son roles heredados demasiado permisivos y no se deben otorgar a los agentes de servicio. Nivel de precios: Premium Recursos admitidos:
Corrige este hallazgo : Usa el recomendador de IAM a fin de aplicar la solución recomendada para este resultado mediante los siguientes pasos:
Una vez que se soluciona el problema, el recomendador de IAM actualiza el estado del resultado a |
Unused IAM role
Nombre de categoría en la API: |
Descripción del resultado: El recomendador de IAM detectó una cuenta de usuario que tiene un rol de IAM que no se usó en los últimos 90 días. Nivel de precios: Premium Recursos admitidos:
Corrige este hallazgo : Usa el recomendador de IAM a fin de aplicar la solución recomendada para este resultado mediante los siguientes pasos:
Una vez que se soluciona el problema, el recomendador de IAM actualiza el estado del resultado a |
Hallazgos del servicio de postura de seguridad
En la siguiente tabla, se enumeran los resultados de Security Command Center que genera el servicio de postura de seguridad.
Cada hallazgo del servicio de postura de seguridad identifica una instancia de desvío de tu postura de seguridad definida.
| Buscando | Resumen |
|---|---|
SHA Canned Module Drifted
Nombre de categoría en la API: |
Descripción del resultado: El servicio de postura de seguridad detectó un cambio en un detector de Security Health Analytics que se produjo fuera de una actualización de postura. Nivel de precios: Premium
Corrige este hallazgo : Este resultado requiere que aceptes o reviertas el cambio para que la configuración del detector en tu posición y el entorno coincidan. Tienes dos opciones para resolver este resultado: puedes actualizar el detector de Security Health Analytics o puedes actualizar la posición y su implementación. Para revertir el cambio, actualiza el detector de Security Health Analytics en la consola de Google Cloud. Para obtener instrucciones, consulta Habilita e inhabilita detectores. Para aceptar el cambio, completa lo siguiente:
|
SHA Custom Module Drifted
Nombre de categoría en la API: |
Descripción del resultado: El servicio de postura de seguridad detectó un cambio en un módulo personalizado de Estadísticas del estado de seguridad que se produjo fuera de una actualización de postura. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que aceptes el cambio o lo reviertas para que la configuración del módulo personalizado en tu posición y el entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar el módulo personalizado de Security Health Analytics o puedes actualizar la postura y la implementación de la postura. Para revertir el cambio, actualiza el módulo personalizado de Security Health Analytics en la consola de Google Cloud. Para obtener instrucciones, consulta Cómo actualizar un módulo personalizado. Para aceptar el cambio, completa lo siguiente:
|
SHA Custom Module Deleted
Nombre de categoría en la API: |
Descripción del resultado: El servicio de postura de seguridad detectó que se borraba un módulo personalizado de estadísticas del estado de seguridad. Esta eliminación se produjo fuera de una actualización de postura. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que aceptes el cambio o lo reviertas para que la configuración del módulo personalizado en tu posición y el entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar el módulo personalizado de Security Health Analytics o puedes actualizar la postura y la implementación de la postura. Para revertir el cambio, actualiza el módulo personalizado de Security Health Analytics en la consola de Google Cloud. Para obtener instrucciones, consulta Cómo actualizar un módulo personalizado. Para aceptar el cambio, completa lo siguiente:
|
Org Policy Canned Constraint Drifted
Nombre de categoría en la API: |
Descripción del resultado: El servicio de postura de seguridad detectó un cambio en una política de la organización que ocurrió fuera de una actualización de postura. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones de la política de la organización en tu postura coincidan con las de tu entorno. Tienes dos opciones para resolver este hallazgo: puedes actualizar la política de la organización o puedes actualizar la postura y su implementación. Para revertir el cambio, actualiza la política de la organización en la consola de Google Cloud. Para obtener instrucciones, consulta Crea y edita políticas. Para aceptar el cambio, completa lo siguiente:
|
Org Policy Canned Constraint Deleted
Nombre de categoría en la API: |
Descripción del resultado: El servicio de postura de seguridad detectó que se borró una política de la organización. Esta eliminación se produjo fuera de una actualización de postura. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones de la política de la organización en tu postura coincidan con las de tu entorno. Tienes dos opciones para resolver este hallazgo: puedes actualizar la política de la organización o puedes actualizar la postura y su implementación. Para revertir el cambio, actualiza la política de la organización en la consola de Google Cloud. Para obtener instrucciones, consulta Crea y edita políticas. Para aceptar el cambio, completa lo siguiente:
|
Org Policy Custom Constraint Drifted
Nombre de categoría en la API: |
Descripción del resultado: El servicio de postura de seguridad detectó un cambio en una política de la organización personalizada que ocurrió fuera de una actualización de postura. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones de la política de la organización personalizadas en tu posición y el entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar la política de la organización personalizada o puedes actualizar la postura y su implementación. Para revertir el cambio, actualiza la política de la organización personalizada en la consola de Google Cloud. Para obtener instrucciones, consulta Actualiza una restricción personalizada. Para aceptar el cambio, completa lo siguiente:
|
Org Policy Custom Constraint Deleted
Nombre de categoría en la API: |
Descripción del resultado: El servicio de postura de seguridad detectó que se borró una política de la organización personalizada. Esta eliminación se produjo fuera de una actualización de postura. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones de la política de la organización personalizadas en tu posición y el entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar la política de la organización personalizada o puedes actualizar la postura y su implementación. Para revertir el cambio, actualiza la política de la organización personalizada en la consola de Google Cloud. Para obtener instrucciones, consulta Actualiza una restricción personalizada. Para aceptar el cambio, completa lo siguiente:
|
VM Manager
VM Manager es un conjunto de herramientas que se pueden usar en la administración de sistemas operativos para flotas de máquinas virtuales (VM) grandes que ejecutan Windows y Linux en Compute Engine.
Si habilitas VM Manager con Security Command Center Premium al nivel de la organización, VM Manager escribe los resultados de sus informes de vulnerabilidad, que están en vista previa, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos instalados en VM, incluidas las vulnerabilidades y exposiciones comunes (CVE).
Para usar VM Manager con activaciones a nivel de proyecto de la versión Premium de Security Command Center, activa la versión estándar de Security Command Center en la organización superior.
Los informes de vulnerabilidad no están disponibles para la versión estándar de Security Command Center.
Los resultados simplifican el proceso de usar la función de cumplimiento de parches de VM Manager, que está en vista previa. Esta función te permite realizar la administración de parches a nivel de organización en todos los proyectos.
La gravedad de los resultados de vulnerabilidades que se reciben de VM Manager siempre es CRITICAL o HIGH.
Resultados de VM Manager
Las vulnerabilidades de este tipo se relacionan con paquetes instalados de sistema operativo en las VM de Compute Engine compatibles.
| Detector | Resumen | Configuración de análisis de elementos | Estándares de cumplimiento |
|---|---|---|---|
OS vulnerability
Nombre de categoría en la API: |
Resultado de la descripción: VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado de una VM de Compute Engine. Nivel de precios: Premium
Elementos admitidos |
Los informes de vulnerabilidad de VM Manager detallan vulnerabilidades en los paquetes del sistema operativo instalados para las VM de Compute Engine, incluidos Vulnerabilidades y exposiciones comunes (CVE). Para obtener una lista completa de los sistemas operativos compatibles, consulta Detalles de los sistemas operativos.Los hallazgos aparecen en Security Command Center poco después de que se detectan vulnerabilidades. Los informes de vulnerabilidad en VM Manager se generan de la siguiente manera:
|
Solución de los resultados de VM Manager
Un hallazgo de OS_VULNERABILITY indica que VM Manager encontró una vulnerabilidad en los paquetes del sistema operativo instalados en una VM de Compute Engine.
Para solucionar el problema, haz lo siguiente:
Ve a la página Configuración en Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
En la subsección Categoría de Filtros rápidos, selecciona Vulnerabilidad del SO. Los Resultados de la consulta de resultados se filtran para mostrar solo los resultados de vulnerabilidades del SO.
En la columna Categoría de la lista Resultados de la consulta de resultados, haz clic en el nombre de la categoría del resultado que estás corrigiendo. Se abrirá la página de detalles de la vulnerabilidad del SO.
Haz clic en la pestaña JSON. Se muestra el JSON de este resultado.
Copia el valor del campo
externalUri. Este valor es el URI de la página Información del SO de la instancia de VM de Compute Engine en la que está instalado el sistema operativo vulnerable.Aplica todos los parches adecuados para el SO que se muestra en la sección Información básica. Para obtener instrucciones sobre la implementación de parches, consulta Cómo crear trabajos de aplicación de parches.
Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.
Revisa los resultados en la consola de Google Cloud
Usa el siguiente procedimiento para revisar los resultados en la consola de Google Cloud:
Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
En la sección Filtros rápidos, en la subsección Nombre visible de origen, selecciona VM Manager.
La tabla se propaga con los resultados de VM Manager.
Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en
Category. Se abrirá el panel de detalles del resultado y se mostrará la pestaña Resumen.En la pestaña Resumen, revisa la información sobre el resultado, incluida la información sobre lo que se detectó, el recurso afectado y mucho más.
Para obtener más información sobre cómo solucionar los resultados de VM Manager, consulta Soluciona los problemas de los resultados de VM Manager.
Silencia los resultados de VM Manager
Es posible que desees ocultar algunos o todos los resultados de VM Manager en Security Command Center si no son relevantes para tus requisitos de seguridad.
Puedes ocultar los resultados de VM Manager; para ello, crea una regla de silencio y agrega atributos de consulta específicos de los resultados de VM Manager que deseas ocultar.
Si deseas crear una regla de silencio para VM Manager con la consola de Google Cloud, haz lo siguiente:
En la consola de Google Cloud, ve a la página Resultados de Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
Haz clic en Opciones de silencio y, luego, selecciona Crear regla de silencio.
Ingresa un ID de regla de silenciamiento. Es obligatorio ingresar este valor.
Ingresa una descripción de la regla de silenciamiento que proporcione contexto de los motivos por los que se silencian los resultados. Este valor es opcional, pero se recomienda.
Confirma el alcance de la regla de silencio revisando el valor del recurso superior.
En el campo Consulta de resultados, haz clic en Agregar filtro para crear las instrucciones de consulta. También puedes escribir las instrucciones de consulta de forma manual.
- En el cuadro de diálogo Seleccionar filtro, selecciona Resultados > Nombre visible de origen > VM Manager.
- Haz clic en Aplicar.
Repite el procedimiento hasta que la consulta de elementos silenciados contenga todos los atributos que deseas ocultar.
Por ejemplo, si deseas ocultar IDs de CVE específicos en los resultados de vulnerabilidades de VM Manager, selecciona Vulnerability > CVE ID y, luego, elige los IDs de CVE que deseas ocultar.
La consulta de resultados es similar a la siguiente:
Haz clic en Obtener vista previa de resultados coincidentes.
En una tabla, se muestran los resultados que coinciden con tu consulta.
Haz clic en Guardar.
Sensitive Data Protection
En esta sección, se describen los hallazgos de vulnerabilidades que genera la protección de datos sensibles, los estándares de cumplimiento que admiten y la forma de solucionar los resultados.
La protección de datos sensibles también envía los resultados de observación a Security Command Center. Para obtener más información sobre los resultados de la observación y la protección de datos sensibles, consulta Protección de datos sensibles.
Si quieres obtener información para ver los resultados, consulta Revisa los resultados de la protección de datos sensibles en la consola de Google Cloud.
El servicio de descubrimiento de protección de datos sensibles te ayuda a determinar si tus variables de entorno de Cloud Functions contienen secretos, como contraseñas, tokens de autenticación y credenciales de Google Cloud. Para obtener una lista completa de los tipos de secretos que la protección de datos sensibles detecta en esta función, consulta Credenciales y secretos.
| Tipo de resultado | Descripción del resultado | Estándares de cumplimiento |
|---|---|---|
Secrets in environment variablesNombre de la categoría en la API: SECRETS_IN_ENVIRONMENT_VARIABLES
|
Este detector busca secretos en variables de entorno de Cloud Functions.
Solución: Quita el secreto de la variable de entorno y guárdalo en Secret Manager. |
CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18 |
Para habilitar este detector, consulta Informar secretos de variables de entorno a Security Command Center en la documentación de Protección de datos sensibles.
Policy Controller
El controlador de políticas permite la aplicación de políticas programables para tus clústeres de Kubernetes registrados como membresías de flota. Estas políticas actúan como protecciones y pueden ayudarte con las prácticas recomendadas, la seguridad y la administración del cumplimiento de los clústeres y la flota.
En esta página, no se enumeran todos los resultados individuales de Policy Controller, pero la información sobre los resultados de la clase Misconfiguration que el controlador de políticas escribe en Security Command Center es la misma que los incumplimientos de clústeres documentados para cada paquete de Policy Controller. La documentación para los tipos de búsqueda de Policy Controller individuales se encuentra en los siguientes paquetes de Policy Controller:
- CIS Kubernetes Benchmark v1.5.1, un conjunto de recomendaciones para configurar Kubernetes de modo que sea compatible con una postura de seguridad sólida. También puedes ver información sobre este paquete en el repositorio de GitHub para
cis-k8s-v1.5.1. - PCI-DSS v3.2.1, un paquete que evalúa el cumplimiento de los recursos del clúster con respecto a algunos aspectos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) v3.2.1.
También puedes ver información sobre este paquete en el repositorio de GitHub para
pci-dss-v3.
Esta función no es compatible con los perímetros de servicio de los Controles del servicio de VPC alrededor de la API de Stackdriver.
Encontrar y solucionar los resultados de Policy Controller
Las categorías del controlador de políticas corresponden a los nombres de restricciones enumerados en la documentación de los paquetes de controladores de políticas. Por ejemplo, un hallazgo require-namespace-network-policies indica que un espacio de nombres infringe la política de que cada espacio de nombres en un clúster tiene un NetworkPolicy.
Para corregir un hallazgo, haz lo siguiente:
Ve a la página Configuración en Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
En la subsección Categoría de Filtros rápidos, selecciona el nombre del resultado del Controlador de políticas que deseas corregir. Los Resultados de la consulta de resultados se filtran a fin de mostrar solo los resultados de esa categoría.
En la columna Categoría de la lista Resultados de la consulta de resultados, haz clic en el nombre de la categoría del resultado que estás corrigiendo. Se abrirá la página de detalles del resultado.
En la pestaña Resumen, revisa la información sobre el resultado, incluida la información sobre lo que se detectó, el recurso afectado y mucho más.
En el encabezado Próximos pasos, revisa la información sobre cómo solucionar el resultado, incluidos los vínculos a la documentación de Kubernetes sobre el problema.
¿Qué sigue?
- Obtén información para usar Security Health Analytics.
- Aprende a usar Web Security Scanner.
- Obtén más información para usar la Detección rápida de vulnerabilidades.
- Lee sugerencias para solucionar los resultados de estadísticas del estado de seguridad y solucionar los resultados de Web Security Scanner.