快速漏洞检测、Security Health Analytics 和 Web Security Scanner 检测器会生成在 Security Command Center 中提供的漏洞发现结果。在 Security Command Center 中启用这些检测器后,集成服务(例如虚拟机管理器)也会生成漏洞发现结果。
您能否查看和修改发现结果取决于您被分配的 Identity and Access Management (IAM) 角色和权限。如需详细了解 Security Command Center 中的 IAM 角色,请参阅访问权限控制。
检测器与合规性
Security Command Center 使用与各种安全标准的控件相对应的检测器来监控您的合规性。
对于每项受支持的安全标准,Security Command Center 都会检查部分控制措施。对于已检查的控件,Security Command Center 会显示有多少控件已通过。对于未通过的控制措施,Security Command Center 会向您显示一个发现结果列表,其中描述了相应控制措施的失败情况。
CIS 审核并验证 Security Command Center 检测器到 CIS Google Cloud Foundations 基准的每个受支持版本的映射。其他合规性映射仅供参考。
Security Command Center 会定期增加对新的基准版本和标准的支持。旧版本仍受支持,但最终会弃用。 我们建议您使用受支持的最新基准或可用标准。
借助 Security Posture 服务,您可以将组织政策和 Security Health Analytics 检测器映射到适用于您业务的标准和控制措施。创建安全状况后,您可以监控任何可能影响企业合规性的环境更改。
如需详细了解如何管理合规性,请参阅评估和报告安全标准合规性。
Google Cloud 支持的安全标准
Security Command Center 将 Google Cloud 的检测器映射到以下一项或多项合规性标准:
- 信息安全中心 (CIS) 控制措施 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
- CIS Kubernetes 基准 v1.5.1
- Cloud Controls 矩阵 (CCM) 4
- 健康保险流通与责任法案 (HIPAA)
- 国际标准化组织 (ISO) 27001,2022 年和 2013 年
- National Institute of Standards and Technology (NIST) 800-53 R5 和 R4
- NIST CSF 1.0
- 开放式 Web 应用安全项目 (OWASP) 十大热门事件(2021 年和 2017 年)
- 支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
- 系统和组织控制措施 (SOC) 2 2017 年可信服务标准 (TSC)
AWS 支持的安全标准
Security Command Center 将 Amazon Web Services (AWS) 的检测器映射到以下一项或多项合规性标准:
- CIS Amazon Web Services Foundations 2.0.0
- CIS 控件 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 和 3.2.1
- SOC 2 2017 TSC
如需了解如何查看和导出合规性报告,请参阅在 Google Cloud 控制台中使用 Security Command Center 中的合规性部分。
修复后停用发现结果
修复漏洞或配置错误发现结果后,检测到发现结果的 Security Command Center 服务会在下次检测服务扫描发现结果时自动将发现结果的状态设置为 INACTIVE。Security Command Center 将修复后的发现结果设置为 INACTIVE 所需的时间取决于检测发现结果的扫描时间表。
如果扫描检测到受发现结果影响的资源被删除,Security Command Center 服务也会将漏洞或配置错误发现结果的状态设置为 INACTIVE。
如需详细了解扫描间隔时间,请参阅以下主题:
发现的 Security Health Analytics 问题
Security Health Analytics 检测器监控 Cloud Asset Inventory (CAI) 中的部分资源,接收资源和 Identity and Access Management (IAM) 政策更改的通知。某些检测器直接调用 Google Cloud API 来检索数据,如本页面后面的表格中所示。
如需详细了解 Security Health Analytics、扫描时间表以及 Security Health Analytics 对内置和自定义模块检测器的支持,请参阅 Security Health Analytics 概览。
下面的表格介绍了 Security Health Analytics 检测器、支持的资源和合规标准、用于扫描的设置以及生成的发现结果类型。您可以使用 Google Cloud 控制台中的 Security Command Center 漏洞页面按各种属性过滤发现结果。
如需了解如何解决问题和保护资源,请参阅修复 Security Health Analytics 发现结果。
API 密钥漏洞发现结果
API_KEY_SCANNER 检测器可识别与云部署中使用的 API 密钥相关的漏洞。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
API key APIs unrestricted
API 中的类别名称: |
发现结果说明:有过于广泛使用的 API 密钥。如需解决此问题,请限制 API 密钥的使用,仅允许使用应用需要的 API。 价格层级:付费方案
支持的资源 合规性标准:
|
检索项目中所有 API 密钥的
|
API key apps unrestricted
API 中的类别名称: |
发现结果说明:有些 API 密钥可以不受限制地使用,允许任何不受信任的应用使用。 价格层级:付费方案
支持的素材资源 合规性标准:
|
检索项目中所有 API 密钥的
|
API key exists
API 中的类别名称: |
发现结果说明:项目使用 API 密钥,而不是标准身份验证。 价格层级:付费方案
支持的素材资源 合规性标准:
|
检索项目拥有的所有 API 密钥。
|
API key not rotated
API 中的类别名称: |
发现结果说明:该 API 密钥超过 90 天未轮替。 价格层级:付费方案
支持的素材资源 合规性标准:
|
检索所有 API 密钥的
|
Cloud Asset Inventory 漏洞发现结果
此检测器类型的漏洞均与 Cloud Asset Inventory 配置相关,属于 CLOUD_ASSET_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Cloud Asset API disabled
API 中的类别名称: |
发现结果说明:Cloud Asset Inventory 捕获 Google Cloud 资源和 IAM 政策可支持安全分析、资源更改跟踪和合规性审核。 我们建议为所有项目启用 Cloud Asset Inventory 服务。 此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准:
|
检查 Cloud Asset Inventory 服务是否已启用。
|
计算映像漏洞发现结果
COMPUTE_IMAGE_SCANNER 检测器可识别与 Google Cloud 映像配置相关的漏洞。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Public Compute image
API 中的类别名称: |
发现结果说明:Compute Engine 映像可公开访问。 价格层级:付费方案或标准方案
支持的素材资源 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
检查资源元数据中的 IAM 允许政策以找出可授予公开访问权限的主账号
|
计算实例漏洞发现结果
COMPUTE_INSTANCE_SCANNER 检测器可识别与 Compute Engine 实例配置相关的漏洞。
COMPUTE_INSTANCE_SCANNER 检测器不会报告 GKE 创建的 Compute Engine 实例上的发现结果。此类实例的名称以“gke-”开头,用户无法进行修改。要保护这些实例,请参阅“容器漏洞发现结果”部分。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Confidential Computing disabled
API 中的类别名称: |
发现结果说明:Compute Engine 实例上已停用机密计算。 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查实例元数据的
|
Compute project wide SSH keys allowed
API 中的类别名称: |
发现结果说明:使用项目范围的 SSH 密钥,允许登录项目中的所有实例。 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查实例元数据中的
|
Compute Secure Boot disabled
API 中的类别名称: |
发现结果说明:此安全强化型虚拟机未启用安全启动。使用安全启动功能可帮助保护虚拟机实例免受 rootkit 和 bootkit 等高级威胁。 价格层级:付费方案 支持的资源 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
检查 Compute Engine 实例上的
|
Compute serial ports enabled
API 中的类别名称: |
发现结果说明:为实例启用串行端口,允许连接到实例的串行控制台。 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据中的
|
Default service account used
API 中的类别名称: |
发现结果说明:实例配置为使用默认服务账号。 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据中任何前缀为
|
Disk CMEK disabled
API 中的类别名称: |
发现结果说明:此虚拟机上的磁盘未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资源 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
在磁盘元数据中检查
|
Disk CSEK disabled
API 中的类别名称: |
发现结果说明:此虚拟机上的磁盘未使用客户提供的加密密钥 (CSEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅特殊案例检测器。 价格层级:付费方案
支持的资源 合规性标准:
|
检查 CSEK 资源名称的
|
Full API access
API 中的类别名称: |
发现结果说明:实例配置为使用具有所有 Google Cloud API 的完整访问权限的默认服务账号。 价格层级:付费方案
支持的资源 合规性标准:
|
检索
|
HTTP load balancer
API 中的类别名称: |
发现结果说明:实例使用的负载均衡器被配置为使用目标 HTTP 代理,而不是使用目标 HTTPS 代理。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
确定
|
IP forwarding enabled
API 中的类别名称: |
发现结果说明:已在实例上启用 IP 转发。 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例的
|
OS login disabled
API 中的类别名称: |
发现结果说明:此实例已停用 OS Login。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查项目元数据中的
|
Public IP address
API 中的类别名称: |
发现结果说明:实例具有公共 IP 地址。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查
|
Shielded VM disabled
API 中的类别名称: |
发现结果说明:此实例已停用安全强化型虚拟机。 价格层级:付费方案
支持的资源 合规性标准:
|
检查 Compute Engine 实例中的
|
Weak SSL policy
API 中的类别名称: |
发现结果说明:实例具有弱 SSL 政策。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查资产元数据中的
|
容器漏洞发现结果
这些发现结果类型均与 GKE 容器配置相关,并且属于 CONTAINER_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Alpha cluster enabled
API 中的类别名称: |
发现结果说明:GKE 集群启用了 Alpha 版集群功能。 价格层级:付费方案
支持的资源 合规性标准:
|
检查集群的
|
Auto repair disabled
API 中的类别名称: |
发现结果说明:已停用 GKE 集群的自动修复功能,此功能可使节点保持正常运行状态。 价格层级:付费方案
支持的资源 合规性标准:
|
检查节点池的
|
Auto upgrade disabled
API 中的类别名称: |
发现结果说明:GKE 集群的自动升级功能已停用,此功能会保持集群和节点池使用 Kubernetes 的最新稳定版。 价格层级:付费方案
支持的资源 合规性标准:
|
检查节点池的
|
Binary authorization disabled
API 中的类别名称: |
发现结果说明:Binary Authorization 在 GKE 集群上已停用,或者 Binary Authorization 政策配置为允许部署所有映像。 价格层级:付费方案
支持的资源 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
检查以下各项:
|
Cluster logging disabled
API 中的类别名称: |
发现结果说明:GKE 集群未启用 Logging。 价格层级:付费方案
支持的资源 合规性标准:
|
检查集群的
|
Cluster monitoring disabled
API 中的类别名称: |
发现结果说明:GKE 集群上已停用 Monitoring。 价格层级:付费方案
支持的资源 合规性标准:
|
检查集群的
|
Cluster private Google access disabled
API 中的类别名称: |
发现结果说明:集群主机未配置为仅使用专用内部 IP 地址来访问 Google API。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查子网的
|
Cluster secrets encryption disabled
API 中的类别名称: |
发现结果说明:GKE 集群上已停用应用层 Secret 加密。 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
Cluster shielded nodes disabled
API 中的类别名称: |
发现结果说明:集群未启用安全强化型 GKE 节点。 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
COS not used
API 中的类别名称: |
发现结果说明:Compute Engine 虚拟机未使用为在 Google Cloud 上安全运行 Docker 容器而设计的 Container-Optimized OS。 价格层级:付费方案
支持的资源 合规性标准:
|
检查节点池的
|
Integrity monitoring disabled
API 中的类别名称: |
发现结果说明:GKE 集群已停用完整性监控。 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
Intranode visibility disabled
API 中的类别名称: |
发现结果说明:GKE 集群已停用节点内可见性。 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
IP alias disabled
API 中的类别名称: |
发现结果说明:创建的 GKE 集群已停用别名 IP 地址范围。 价格层级:付费方案
支持的资源 合规性标准:
|
检查集群中
|
Legacy authorization enabled
API 中的类别名称: |
发现结果说明:GKE 集群上启用了旧版授权。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查集群的
|
Legacy metadata enabled
API 中的类别名称: |
发现结果说明:GKE 集群上启用了旧版元数据。 价格层级:付费方案
支持的资源 合规性标准:
|
检查节点池的
|
Master authorized networks disabled
API 中的类别名称: |
发现结果说明:GKE 集群上未启用控制平面授权的网络。 价格层级:付费方案
支持的资源 合规性标准:
|
检查集群的
|
Network policy disabled
API 中的类别名称: |
发现结果说明:GKE 集群上停用了网络政策。 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
Nodepool boot CMEK disabled
API 中的类别名称: |
发现结果说明:此节点池中的启动磁盘未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资源 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
检查节点池的
|
Nodepool secure boot disabled
API 中的类别名称: |
发现结果说明:GKE 集群已停用安全启动。 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
Over privileged account
API 中的类别名称: |
发现结果说明:服务账号在集群中的项目访问权限过于广泛。 价格层级:付费方案
支持的资源 合规性标准:
|
评估节点池的
|
Over privileged scopes
API 中的类别名称: |
发现结果说明:节点服务账号具有广泛的访问权限范围。 价格层级:付费方案
支持的资源 合规性标准:
|
检查节点池的 config.oauthScopes 属性中列出的访问权限范围是否为受限服务账号访问权限范围:https://www.googleapis.com/auth/devstorage.read_only、https://www.googleapis.com/auth/logging.write 或 https://www.googleapis.com/auth/monitoring。
|
Pod security policy disabled
API 中的类别名称: |
发现结果说明:GKE 集群上已停用 PodSecurityPolicy。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查集群的
|
Private cluster disabled
API 中的类别名称: |
发现结果说明:GKE 集群已停用专用集群。 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
Release channel disabled
API 中的类别名称: |
发现结果说明:GKE 集群未订阅发布渠道。 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
Web UI enabled
API 中的类别名称: |
发现结果说明:已启用 GKE 网页界面(信息中心)。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查
|
Workload Identity disabled
API 中的类别名称: |
发现结果说明:GKE 集群上已停用 Workload Identity。 价格层级:付费方案
支持的资源 合规性标准:
|
检查是否已设置集群的
|
Dataproc 漏洞发现结果
此检测器类型的漏洞均与 Dataproc 相关,并且属于 DATAPROC_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Dataproc CMEK disabled
API 中的类别名称: |
发现结果说明:创建的 Dataproc 集群未使用加密配置 CMEK。借助 CMEK,您在 Cloud Key Management Service 中创建和管理的密钥会封装 Google Cloud 用于加密数据的密钥,从而使您能够更好地控制对数据的访问。 此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
Dataproc image outdated
API 中的类别名称: |
发现结果说明:创建 Dataproc 集群时使用了受 Apache Log4j 2 实用程序(CVE-2021-44228 和 CVE-2021-45046)中的安全漏洞影响的 Dataproc 映像版本。 价格层级:付费方案或标准方案
支持的资产 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
检查
|
数据集漏洞发现结果
此检测器类型的漏洞均与 BigQuery 数据集配置相关联,并且属于 DATASET_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
BigQuery table CMEK disabled
API 中的类别名称: |
发现结果说明:BigQuery 表未配置为使用客户管理的加密密钥 (CMEK)。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
Dataset CMEK disabled
API 中的类别名称: |
发现结果说明:BigQuery 数据集未配置为使用默认 CMEK。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
Public dataset
API 中的类别名称: |
发现结果说明:数据集已配置为开放给公众访问。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查资源元数据中的 IAM 允许政策以找出可授予公开访问权限的主账号
|
DNS 漏洞发现结果
此检测器类型的漏洞均与 Cloud DNS 配置相关联,并且属于 DNS_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
DNSSEC disabled
API 中的类别名称: |
发现结果说明:停用了 Cloud DNS 区域的 DNSSEC。 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
RSASHA1 for signing
API 中的类别名称: |
发现结果说明:RSASHA1 用于 Cloud DNS 区域中的密钥签名。 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
防火墙漏洞发现结果
此检测器类型的漏洞均与防火墙配置相关,并且属于 FIREWALL_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Egress deny rule not set
API 中的类别名称: |
发现结果说明:防火墙上未设置出站流量拒绝规则。出站流量拒绝规则应设置为阻止不必要的出站流量。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙中的
|
Firewall rule logging disabled
API 中的类别名称: |
发现结果说明:已停用防火墙规则日志记录。应启用防火墙规则日志记录,以便您可以审核网络访问权限。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open Cassandra port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 Cassandra 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open ciscosecure websm port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 CISCOSECURE_WEBSM 端口。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open directory services port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 DIRECTORY_SERVICES 端口。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open DNS port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 DNS 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open elasticsearch port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 ELASTICSEARCH 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open firewall
API 中的类别名称: |
发现结果说明:防火墙已配置为向公共访问开放。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查
|
Open FTP port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 FTP 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open HTTP port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 HTTP 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open LDAP port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 LDAP 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open Memcached port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 MEMCACHED 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open MongoDB port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许公开访问的开放式 MONGODB 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open MySQL port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 MYSQL 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open NetBIOS port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 NETBIOS 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open OracleDB port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许公开访问的开放式 ORACLEDB 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open pop3 port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 POP3 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open PostgreSQL port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 PostgreSQL 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open RDP port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 RDP 端口。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open Redis port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 REDIS 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open SMTP port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 SMTP 端口。 价格层级:付费方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open SSH port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 SSH 端口。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
Open Telnet port
API 中的类别名称: |
发现结果说明:防火墙已配置为具有允许通用访问的开放 TELNET 端口。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查防火墙元数据中的
|
IAM 漏洞发现结果
此检测器类型的漏洞均与 Identity and Access Management (IAM) 配置相关,并属于 IAM_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Access Transparency disabled
API 中的类别名称: |
发现结果说明:您的组织已停用 Google Cloud Access Transparency。Access Transparency 会记录 Google Cloud 员工何时访问您的组织中的项目以提供支持。启用 Access Transparency 以记录 Google Cloud 的哪位员工在什么时候、出于何种原因访问您的信息。 价格层级:付费方案
支持的资产 合规性标准:
|
检查您的组织是否已启用 Access Transparency。
|
Admin service account
API 中的类别名称: |
发现结果说明:服务账号具有 Admin、Owner 或 Editor 特权。这些角色不应分配给用户创建的服务账号。 价格层级:付费方案
支持的资源 合规性标准:
|
检查资源元数据中的 IAM 允许政策以找出任何用户创建的分配有
|
Essential Contacts Not Configured
API 中的类别名称: |
发现结果说明:您的组织尚未指定个人或群组来接收来自 Google Cloud 有关 Google Cloud 组织中重要事件(例如攻击、漏洞和数据突发事件)的通知。我们建议您将公司组织中的一个或多个人或群组指定为重要联系人。 价格层级:付费方案
支持的资源 合规性标准:
|
检查是否已针对以下基本联系人类别指定联系人:
|
KMS role separation
API 中的类别名称: |
发现结果说明:未实施职责分离,并且存在同时具有以下任何 Cloud Key Management Service (Cloud KMS) 角色的用户:CryptoKey Encrypter/Decrypter、Encrypter 或 Decrypter。 此发现结果不适用于项目级激活。 价格层级:付费方案
支持的资源 合规性标准:
|
检查资源元数据中的 IAM 允许政策,并同时检索分配了以下任何角色的主帐号:roles/cloudkms.cryptoKeyEncrypterDecrypter、roles/cloudkms.cryptoKeyEncrypter、roles/cloudkms.cryptoKeyDecrypter、roles/cloudkms.signer、roles/cloudkms.signerVerifier、roles/cloudkms.publicKeyViewer。
|
Non org IAM member
API 中的类别名称: |
发现结果说明:有用户不使用组织凭据。根据 CIS GCP Foundations 1.0,目前只有具有 @gmail.com 电子邮件地址的身份才会触发此检测器。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
将 IAM 允许政策元数据中
|
Open group IAM member
API 中的类别名称: |
发现结果说明:无需批准即可加入的 Google 群组账号将被用作 IAM 允许政策的主账号。 价格层级:付费方案或标准方案
支持的资源 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
检查资源元数据中的 IAM 政策,查找包含以 group 为前缀的成员(主账号)的任何绑定。如果该群组是开放的群组,则 Security Health Analytics 会生成此发现结果。
|
Over privileged service account user
API 中的类别名称: |
发现结果说明:用户在项目级层(而不是特定服务账号)拥有 Service Account User 或 Service Account Token Creator 角色。 价格层级:付费方案
支持的资源 合规性标准:
|
检查资源元数据中的 IAM 允许政策以找出任何在项目级层分配有 roles/iam.serviceAccountUser 或 roles/iam.serviceAccountTokenCreator 的主账号。
|
Primitive roles used
API 中的类别名称: |
发现结果说明:用户具有以下某个基本角色:
这些角色过于宽松,不应使用。 价格层级:优质
支持的资源 合规性标准:
|
针对分配了
|
Redis role used on org
API 中的类别名称: |
发现结果说明:Redis IAM 角色在组织或文件夹级层分配。 此发现结果不适用于项目级激活。 价格层级:付费方案
支持的资源
合规性标准:
|
检查资源元数据中的 IAM 允许政策以找出在组织或文件夹级层分配有
|
Service account role separation
API 中的类别名称: |
发现结果说明:用户被分配了 Service Account Admin 和 Service Account User 角色。这违反了“职责分离”原则。 此发现结果不适用于项目级激活。 价格层级:付费方案
支持的资源 合规性标准:
|
检查资源元数据中的 IAM 允许政策以找出任何同时分配有 roles/iam.serviceAccountUser 和 roles/iam.serviceAccountAdmin 的主账号。
|
Service account key not rotated
API 中的类别名称: |
发现结果说明:服务账号密钥超过 90 天未轮替。 价格层级:付费方案
支持的资源 合规性标准:
|
评估服务账号密钥元数据的
|
User managed service account key
API 中的类别名称: |
发现结果说明:用户管理服务账号密钥。 价格层级:付费方案
支持的资源 合规性标准:
|
检查服务账号密钥元数据中的
|
KMS 漏洞发现结果
此检测器类型的漏洞均与 Cloud KMS 配置相关联,并且属于 KMS_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
KMS key not rotated
API 中的类别名称: |
发现结果说明:Cloud KMS 加密密钥上没有配置轮替。应在 90 天的时段内轮替密钥。 价格层级:付费方案
支持的资源 合规性标准:
|
检查资源元数据中是否存在
|
KMS project has owner
API 中的类别名称: |
发现结果说明:用户对具有加密密钥的项目具有 Owner 权限。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查分配了
|
KMS public key
API 中的类别名称: |
发现结果说明:Cloud KMS 加密密钥可公开访问。 价格层级:付费方案
支持的资源 合规性标准:
|
检查资源元数据中的 IAM 允许政策以找出可授予公开访问权限的主账号
|
Too many KMS users
API 中的类别名称: |
发现结果说明:超过 3 个用户使用加密密钥。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查密钥环、项目和组织的 IAM 允许政策,并检索具有以下角色的主账号:允许其使用 Cloud KMS 密钥加密、解密数据或为数据签名:roles/owner、roles/cloudkms.cryptoKeyEncrypterDecrypter、roles/cloudkms.cryptoKeyEncrypter、roles/cloudkms.cryptoKeyDecrypter、roles/cloudkms.signer 和 roles/cloudkms.signerVerifier。
|
日志记录漏洞发现结果
此检测器类型的漏洞均与日志记录配置相关,并且属于 LOGGING_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Audit logging disabled
API 中的类别名称: |
发现结果说明:已为此资源停用审核日志记录功能。 此发现结果不适用于项目级激活。 价格层级:付费方案
支持的资源 合规性标准:
|
检查资源元数据中的 IAM 允许政策中是否存在
|
Bucket logging disabled
API 中的类别名称: |
发现结果说明:存在未启用日志记录功能的存储桶。 价格层级:付费方案
支持的资源 合规性标准:
|
检查存储桶的
|
Locked retention policy not set
API 中的类别名称: |
发现结果说明:没有为日志设置锁定的保留政策。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查存储桶的
|
Log not exported
API 中的类别名称: |
发现结果说明:有一个资源没有配置适当的日志接收器。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源
合规性标准:
|
检索项目中的
|
Object versioning disabled
API 中的类别名称: |
发现结果说明:未在配置了接收器的存储桶上启用对象版本控制。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查存储桶的
|
监控漏洞发现结果
此检测器类型的漏洞均与监控配置相关,并且属于 MONITORING_SCANNER 类型。所有 Monitoring 检测器发现结果属性包括:
-
用于创建日志指标的
RecommendedLogFilter。 -
满足建议日志过滤条件中列出的条件的
QualifiedLogMetricNames。 -
AlertPolicyFailureReasons指示是否没有为任何合格日志指标创建提醒政策,或者现有提醒政策是否没有建议的设置。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Audit config not monitored
API 中的类别名称: |
发现结果说明:日志指标和提醒未配置为监控审核配置更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:*;如果指定了 resource.type,则值为 global。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
Bucket IAM not monitored
API 中的类别名称: |
发现结果说明:日志指标和提醒未配置为监控 Cloud Storage IAM 权限更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions"。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
Custom role not monitored
API 中的类别名称: |
发现结果说明:日志指标和提醒未配置为监控自定义角色更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole")。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
Firewall not monitored
API 中的类别名称: |
发现结果说明:日志指标和提醒未配置为监控 Virtual Private Cloud (VPC) 网络防火墙规则更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete")。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
Network not monitored
API 中的类别名称: |
发现结果说明:日志指标和提醒未配置为监控 VPC 网络更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering")。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
Owner not monitored
API 中的类别名称: |
发现结果说明:日志指标和提醒未配置为监控项目所有权分配或更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner");如果指定了 resource.type,则值为 global。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
Route not monitored
API 中的类别名称: |
发现结果说明:日志指标和提醒未配置为监控 VPC 网络路由更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert")。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
SQL instance not monitored
|
发现结果说明:日志指标和提醒未配置为监控 Cloud SQL 实例配置更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete";如果指定了 resource.type,则值为 global。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
多重身份验证发现结果
MFA_SCANNER 检测器可标识与用户的多重身份验证相关的漏洞。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
MFA not enforced
API 中的类别名称: |
有些用户没有使用两步验证。 Google Workspace 使您可以为新用户指定注册宽限期,在此期间用户必须注册两步验证。此检测器会在注册宽限期内为用户创建发现结果。 此发现结果不适用于项目级激活。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
针对 Cloud Identity 中的代管账号评估组织和用户设置中的身份管理政策。
|
网络漏洞发现结果
此检测器类型的漏洞均与组织的网络配置相关,属于 NETWORK_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Default network
API 中的类别名称: |
发现结果说明:项目中存在默认网络。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查网络元数据中的
|
DNS logging disabled
API 中的类别名称: |
发现结果说明:在 VPC 网络上未启用 DNS 日志记录。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
通过
|
Legacy network
API 中的类别名称: |
发现结果说明:项目中存在旧版网络。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资源 合规性标准:
|
检查网络元数据是否存在
|
Load balancer logging disabled
API 中的类别名称: |
发现结果说明:已为负载均衡器停用日志记录。 价格层级:付费方案
支持的资源 合规性标准:
|
检查负载均衡器上后端服务的
|
组织政策漏洞发现结果
此检测器类型的漏洞均与组织政策限制条件的配置相关,并且属于 ORG_POLICY 类型。
Pub/Sub 漏洞发现结果
此检测器类型的漏洞均与 Pub/Sub 配置相关,并属于 PUBSUB_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Pubsub CMEK disabled
API 中的类别名称: |
发现结果说明:Pub/Sub 主题未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资源 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
检查
|
SQL 漏洞发现结果
此检测器类型的漏洞均与 Cloud SQL 配置相关,并且属于 SQL_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
AlloyDB auto backup disabled
API 中的类别名称: |
发现结果说明:AlloyDB for PostgreSQL 集群未启用自动备份。 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查 AlloyDB for PostgreSQL 集群元数据中的
|
AlloyDB log min error statement severity
API 中的类别名称: |
发现结果说明:AlloyDB for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
为了确保日志中充分涵盖消息类型,如果
|
AlloyDB log min messages
API 中的类别名称: |
发现结果说明:AlloyDB for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
为确保充分覆盖日志中的消息类型,如果
|
AlloyDB log error verbosity
API 中的类别名称: |
发现结果说明:AlloyDB for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
为了确保日志中充分涵盖消息类型,如果
|
Auto backup disabled
API 中的类别名称: |
发现结果说明:Cloud SQL 数据库未启用自动备份。 价格层级:付费方案
支持的资源 合规性标准:
|
检查 Cloud SQL 数据的
|
Public SQL instance
API 中的类别名称: |
发现结果说明:Cloud SQL 数据库实例接受来自所有 IP 地址的连接。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查 Cloud SQL 实例的
|
SSL not enforced
API 中的类别名称: |
发现结果说明:Cloud SQL 数据库实例不要求所有传入连接使用 SSL。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查 Cloud SQL 实例的
|
SQL CMEK disabled
API 中的类别名称: |
发现结果说明:SQL 数据库实例未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资源 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
在实例元数据中检查
|
SQL contained database authentication
API 中的类别名称: |
发现结果说明:Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL cross DB ownership chaining
API 中的类别名称: |
发现结果说明:Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查实例元数据的
|
SQL external scripts enabled
API 中的类别名称: |
发现结果说明:Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL local infile
API 中的类别名称: |
发现结果说明:Cloud SQL for MySQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL log checkpoints disabled
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL log connections disabled
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL log disconnections disabled
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查实例元数据的
|
SQL log duration disabled
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查实例元数据的
|
SQL log error verbosity
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查实例元数据的
|
SQL log lock waits disabled
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL log min duration statement enabled
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL log min error statement
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
SQL log min error statement severity
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查
|
SQL log min messages
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
为确保充分覆盖日志中的消息类型,如果
|
SQL log executor stats enabled
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL log hostname enabled
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查实例元数据的
|
SQL log parser stats enabled
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL log planner stats enabled
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL log statement
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查实例元数据的
|
SQL log statement stats enabled
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查实例元数据的
|
SQL log temp files
API 中的类别名称: |
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL no root password
API 中的类别名称: |
发现结果说明:具有公共 IP 地址的 Cloud SQL 数据库没有为根账号配置密码。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查根账号的
|
SQL public IP
API 中的类别名称: |
发现结果说明:Cloud SQL 数据库具有公共 IP 地址。 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查 Cloud SQL 数据库的 IP 地址类型是否设置为
|
SQL remote access enabled
API 中的类别名称: |
发现结果说明:Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的素材资源 合规性标准:
|
检查实例元数据的
|
SQL skip show database disabled
API 中的类别名称: |
发现结果说明:Cloud SQL for MySQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL trace flag 3625
API 中的类别名称: |
发现结果说明:Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL user connections configured
API 中的类别名称: |
发现结果说明:已配置 Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL user options configured
API 中的类别名称: |
发现结果说明:已配置 Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
SQL weak root password
API 中的类别名称: |
发现结果说明:具有公共 IP 地址的 Cloud SQL 数据库为根账号配置了安全系数低的密码。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资源 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
将 Cloud SQL 数据库的根账号的密码与常用密码列表进行比较。
|
存储漏洞发现结果
此检测器类型的漏洞均与 Cloud Storage 存储桶配置相关,并且属于 STORAGE_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Bucket CMEK disabled
API 中的类别名称: |
发现结果说明:存储桶未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资源 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
检查存储桶元数据中的
|
Bucket policy only disabled
API 中的类别名称: |
发现结果说明:未配置统一存储桶级访问权限(以前称为“仅限存储桶政策”)。 价格层级:付费方案
支持的资源 合规性标准:
|
检查存储桶中的
|
Public bucket ACL
API 中的类别名称: |
发现结果说明:Cloud Storage 存储桶可公开访问。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查存储桶的 IAM 允许政策以了解是否有公共角色
|
Public log bucket
API 中的类别名称: |
发现结果说明:用作日志接收器的存储桶可公开访问。 此发现结果不适用于项目级激活。 价格层级:付费方案或标准方案
支持的资源 合规性标准:
|
检查存储桶的 IAM 允许政策以找出可授予公开访问权限的主账号
|
子网漏洞发现结果
此检测器类型的漏洞均与组织的子网配置相关,属于 SUBNETWORK_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
Flow logs disabled
API 中的类别名称: |
发现结果说明:有一个 VPC 子网已停用流日志。 价格层级:付费方案
支持的资源 合规性标准:
|
检查 Compute Engine 子网的
|
Flow logs settings not recommended
API 中的类别名称: |
发现结果说明:对于 VPC 子网,VPC 流日志已关闭,或者未根据 CIS 基准 1.3 建议进行配置。 此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资源 合规性标准:
|
检查 VPC 子网的
|
Private Google access disabled
API 中的类别名称: |
发现结果说明:有一些专用子网无权访问 Google 公共 API。 价格层级:付费方案
支持的资源 合规性标准:
|
检查 Compute Engine 子网的
|
AWS 发现结果
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
AWS Cloud Shell Full Access Restricted
API 中的类别名称:
|
查找说明:AWS CloudShell 是一种针对 AWS 服务运行 CLI 命令的便捷方式;托管式 IAM 政策(“AWSCloudShellFullAccess”)提供对 CloudShell 的完整访问权限,并允许用户在用户的本地系统和 CloudShell 环境之间上传和下载文件。在 CloudShell 环境中,用户具有 sudo 权限,并且可以访问互联网。因此,可以安装文件传输软件(举个例子)并将数据从 CloudShell 移动到外部互联网服务器。 价格层级: 企业版 合规性标准:
|
确保对 AWSCloudShellFullAccess 的访问权限受到限制
|
Access Keys Rotated Every 90 Days or Less
API 中的类别名称:
|
发现结果说明:访问密钥由访问密钥 ID 和私有访问密钥组成,它们用于签署您向 AWS 发出的程序化请求。AWS 用户需要自己的访问密钥,才能从 AWS 命令行界面 (AWS CLI)、Tools for Windows PowerShell 或 AWS SDK 以编程方式调用 AWS,或使用适用于个别 AWS 服务的 API 进行直接 HTTP 调用。建议定期轮替所有访问密钥。 价格层级: 企业版 合规性标准:
|
确保访问密钥每 90 天(或更短周期)轮替一次
|
All Expired Ssl Tls Certificates Stored Aws Iam Removed
API 中的类别名称:
|
发现结果说明:如需启用与 AWS 中网站或应用的 HTTPS 连接,您需要一个 SSL/TLS 服务器证书。您可以使用 ACM 或 IAM 来存储和部署服务器证书。仅当您必须在 ACM 不支持的区域支持 HTTPS 连接时,才将 IAM 用作证书管理器。IAM 会对私钥进行安全加密,并将加密版本存储在 IAM SSL 证书存储空间中。IAM 支持在所有区域中部署服务器证书,但您必须从外部提供商获取证书以用于 AWS。您无法将 ACM 证书上传到 IAM。此外,您无法通过 IAM 控制台管理证书。 价格层级: 企业版 合规性标准:
|
确保移除 AWS IAM 中存储的所有过期的 SSL/TLS 证书
|
Autoscaling Group Elb Healthcheck Required
API 中的类别名称:
|
发现结果说明:这将检查与负载均衡器关联的自动扩缩组是否正在使用 Elastic Load Balancing 健康检查。这样可确保实例组能够根据负载均衡器提供的额外测试来确定实例的健康状况。使用 Elastic Load Balancing 健康检查有助于支持使用 EC2 自动扩缩组的应用的可用性。 价格层级: 企业版 合规性标准:
|
检查与负载均衡器关联的所有自动扩缩组是否都使用健康检查
|
Auto Minor Version Upgrade Feature Enabled Rds Instances
API 中的类别名称:
|
发现结果说明:确保 RDS 数据库实例已启用次要版本自动升级标志,以便在指定的维护窗口内自动接收次要引擎升级。因此,RDS 实例可以为其数据库引擎获取新功能、bug 修复和安全补丁程序。 价格层级: 企业版 合规性标准:
|
确保已针对 RDS 实例启用次要版本自动升级功能
|
Aws Config Enabled All Regions
API 中的类别名称:
|
发现结果说明:AWS Config 是一种网络服务,可对您帐号中受支持的 AWS 资源执行配置管理,并向您发送日志文件。记录的信息包括配置项(AWS 资源)、配置项(AWS 资源)之间的关系、资源之间的任何配置更改。建议在所有区域中启用 AWS Config。 价格层级: 企业版 合规性标准:
|
确保在所有区域中启用 AWS Config
|
Aws Security Hub Enabled
API 中的类别名称:
|
发现结果说明:安全中心会收集来自 AWS 帐号、服务和受支持的第三方合作伙伴产品的安全数据,帮助您分析安全趋势并确定优先级最高的安全问题。启用 Security Hub 后,它会开始使用、汇总、整理已启用的 AWS 服务(例如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie)中的发现结果,并设定优先级。您还可以实现与 AWS 合作伙伴安全产品的集成。 价格层级: 企业版 合规性标准:
|
确保已启用 AWS Security Hub
|
Cloudtrail Logs Encrypted Rest Using Kms Cmks
API 中的类别名称:
|
发现结果说明:AWS CloudTrail 是一项网络服务,可记录账号的 AWS API 调用,并根据 IAM 政策将这些日志提供给用户和资源。AWS Key Management Service (KMS) 是一项代管式服务,可帮助创建和控制用于加密帐号数据的加密密钥,并使用硬件安全模块 (HSM) 来保护加密密钥的安全性。CloudTrail 日志可以配置为利用服务器端加密 (SSE) 和 KMS 客户创建的主密钥 (CMK) 进一步保护 CloudTrail 日志。建议将 CloudTrail 配置为使用 SSE-KMS。 价格层级: 企业版 合规性标准:
|
确保使用 KMS CMK 对 CloudTrail 日志进行静态加密
|
Cloudtrail Log File Validation Enabled
API 中的类别名称:
|
发现结果说明:CloudTrail 日志文件验证会创建一个数字签名摘要文件,其中包含 CloudTrail 写入 S3 的每个日志的哈希值。这些摘要文件可用于确定在 CloudTrail 传送日志后,日志文件是被更改、删除还是未更改。建议在所有 CloudTrails 上启用文件验证。 价格层级: 企业版 合规性标准:
|
确保已启用 CloudTrail 日志文件验证
|
Cloudtrail Trails Integrated Cloudwatch Logs
API 中的类别名称:
|
发现结果说明:AWS CloudTrail 是一项网络服务,用于记录在指定 AWS 帐号中进行的 AWS API 调用。记录的信息包括 API 调用方的身份、API 调用时间、API 调用方的来源 IP 地址、请求参数以及 AWS 服务返回的响应元素。CloudTrail 使用 Amazon S3 存储和传送日志文件,因此可持久存储日志文件。除了捕获指定 S3 存储分区内的 CloudTrail 日志以进行长期分析之外,还可以将 CloudTrail 配置为将日志发送到 CloudWatch Logs,以执行实时分析。对于在帐号的所有区域中启用的跟踪记录,CloudTrail 会将所有这些区域的日志文件发送到 CloudWatch Logs 日志组。建议将 CloudTrail 日志发送到 CloudWatch Logs。注意:此建议的目的是确保 AWS 账户活动被捕获、监控并发出适当的警报。CloudWatch Logs 是使用 AWS 服务实现此目的的原生方式,但不建议使用替代解决方案。 价格层级: 企业版 合规性标准:
|
确保 CloudTrail 跟踪记录与 CloudWatch Logs 集成
|
Cloudwatch Alarm Action Check
API 中的类别名称:
|
发现结果说明: 这会检查当警报在“OK”“ALARM”和“INSUFFICIENT_DATA”状态之间转换时,Amazon Cloudwatch 是否定义了操作。 在 Amazon CloudWatch 警报中配置 ALARM 状态的操作,对于在受监控的指标违规阈值时触发立即响应非常重要。它可确保快速解决问题、缩短停机时间并实现自动修复,从而保持系统运行状况并防止服务中断。 闹钟至少有一项操作。 当闹钟从任何其他状态转换为“INSUFFICIENT_DATA”状态时,闹钟至少具有一项操作。 (可选)当闹钟从任何其他状态转换到“OK”状态时,闹钟至少具有一项操作。 价格层级: 企业版 合规性标准:
|
检查 CloudWatch 闹钟是否至少启用了一项闹钟操作、一项 INSUFFICIENT_DATA 操作或一项 OK 操作。
|
Cloudwatch Log Group Encrypted
API 中的类别名称:
|
发现结果说明:此检查可确保使用 KMS 配置 CloudWatch 日志。CloudWatch Logs 中的日志组数据始终经过加密。默认情况下,CloudWatch Logs 对静态日志数据使用服务器端加密。作为替代方案,您可以使用 AWS Key Management Service 执行此加密。如果这样做,则使用 AWS KMS 密钥进行加密。在创建日志组时或创建日志组后,通过将 KMS 密钥与日志组相关联,在日志组级别启用使用 AWS KMS 进行加密。 价格层级: 企业版 合规性标准:
|
检查 Amazon CloudWatch Logs 中的所有日志组是否使用 KMS 加密
|
CloudTrail CloudWatch Logs Enabled
API 中的类别名称:
|
发现结果说明:此控件检查是否已将 CloudTrail 跟踪记录配置为向 CloudWatch Logs 发送日志。如果跟踪记录的 CloudWatchLogsLogGroupArn 属性为空,则控件失败。 CloudTrail 记录指定帐号中执行的 AWS API 调用。记录的信息包括以下内容: - API 调用方的身份 - API 调用的时间 - API 调用方的来源 IP 地址 - 请求参数 - AWS 服务 CloudTrail 返回的响应元素 - 使用 Amazon S3 存储和传送日志文件。您可以在指定的 S3 存储桶中捕获 CloudTrail 日志以进行长期分析。如需执行实时分析,您可以将 CloudTrail 配置为将日志发送到 CloudWatch Logs。对于在帐号中的所有区域启用的跟踪记录,CloudTrail 会将所有这些区域的日志文件发送到 CloudWatch Logs 日志组。 安全中心建议您将 CloudTrail 日志发送到 CloudWatch Logs。请注意,此建议旨在确保捕获、监控帐号活动并发出适当的警报。您可以使用 CloudWatch Logs 来设置您的 AWS 服务。此建议并不禁止使用其他解决方案。 将 CloudTrail 日志发送到 CloudWatch Logs,以便基于用户、API、资源和 IP 地址进行实时和历史活动日志记录。您可以使用此方法针对异常或敏感度帐号活动设置闹钟和通知。 价格层级: 企业版 合规性标准:
|
检查所有 CloudTrail 跟踪记录是否均配置为将日志发送到 AWS CloudWatch
|
No AWS Credentials in CodeBuild Project Environment Variables
API 中的类别名称:
|
发现结果说明:这将检查项目是否包含环境变量“AWS_ACCESS_KEY_ID”和“AWS_SECRET_ACCESS_KEY”。 请勿以明文形式存储身份验证凭据“AWS_ACCESS_KEY_ID”和“AWS_SECRET_ACCESS_KEY”,否则可能会导致意外的数据泄露和未经授权的访问。 价格层级: 企业版 合规性标准:
|
检查包含环境变量 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 的所有项目都不是明文
|
Codebuild Project Source Repo Url Check
API 中的类别名称:
|
发现结果说明: 这会检查 AWS CodeBuild 项目 Bitbucket 源代码库网址是否包含个人访问令牌或用户名和密码。如果 Bitbucket 源代码库网址包含个人访问令牌或用户名和密码,则控制将失败。登录凭据不应以明文形式存储或传输,也不得出现在源代码库网址中。您应该在 CodeBuild 中访问源代码提供程序,而不是个人访问令牌或登录凭据,并将源代码库网址更改为仅包含 Bitbucket 代码库位置的路径。使用个人访问令牌或登录凭据可能会导致数据意外泄露或未经授权的访问。 价格层级: 企业版 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
检查使用 github 或 bitbucket 作为来源的所有项目是否都使用 OAuth
|
Credentials Unused 45 Days Greater Disabled
API 中的类别名称:
|
发现结果说明:AWS IAM 用户可以使用不同类型的凭据(例如密码或访问密钥)访问 AWS 资源。我们建议停用或移除 45 天或更长时间内未使用的所有凭据。 价格层级: 企业版 合规性标准:
|
确保已停用 45 天或更长时间未使用的凭据
|
Default Security Group Vpc Restricts All Traffic
API 中的类别名称:
|
发现结果说明:VPC 附带一个默认安全组,其初始设置拒绝所有入站流量,允许所有出站流量,并允许分配给安全组的实例之间的所有流量。如果您在启动某个实例时未指定安全群组,系统会自动将该实例分配给此默认安全群组。安全组对流向 AWS 资源的入站流量/出站流量进行有状态过滤。建议使用默认安全群组限制所有流量。 应更新每个区域中的默认 VPC 的默认安全组,使其符合相关政策。任何新创建的 VPC 都会自动包含一个默认安全群组,需要对该群组进行修复才能符合此建议。 **注意**:在实施此建议时,VPC 流日志记录对于确定系统正常运行所需的最小权限端口访问至关重要,因为它可以记录当前安全群组下发生的所有数据包接受和拒绝情况。这极大地降低了最小权限工程的主要障碍,即发现环境中系统所需的最小端口。即使此基准中的 VPC 流日志记录建议未用作永久性安全措施,也应该在针对最低权限安全组的任何发现和工程阶段使用。 价格层级: 企业版 合规性标准:
|
确保每个 VPC 的默认安全群组对所有流量进行限制
|
Dms Replication Not Public
API 中的类别名称:
|
发现结果说明:检查 AWS DMS 复制实例是否是公共实例。为此,它会检查“PubliclyAccessible”字段的值。 专用复制实例具有专用 IP 地址,您无法在复制网络之外访问该地址。当源数据库和目标数据库位于同一网络中时,复制实例应具有专用 IP 地址。网络还必须使用 VPN、AWS Direct Connect 或 VPC 对等互连连接到复制实例的 VPC。如需详细了解公共和专用复制实例,请参阅 AWS Database Migration Service 用户指南中的 [公共和专用复制实例](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate)。您还应确保只有获得授权的用户才能访问 AWS DMS 实例配置。为此,请限制用户的 IAM 权限,以便修改 AWS DMS 设置和资源。 价格层级: 企业版 合规性标准:
|
检查 AWS Database Migration Service 复制实例是否为公共实例
|
Do Setup Access Keys During Initial User Setup All Iam Users Console
API 中的类别名称:
|
发现结果说明:创建新的 IAM 用户时,AWS 控制台默认不选中任何复选框。创建 IAM 用户凭据时,您必须确定他们需要的访问权限类型。程序化访问:IAM 用户可能需要进行 API 调用、使用 AWS CLI 或使用 Windows PowerShell 工具。在这种情况下,请为该用户创建访问密钥(访问密钥 ID 和私有访问密钥)。 AWS 管理控制台访问权限:如果用户需要访问 AWS 管理控制台,则为其创建密码。 价格层级: 企业版 合规性标准:
|
请勿在初始用户设置期间为拥有控制台密码的所有 IAM 用户设置访问密钥
|
Dynamodb Autoscaling Enabled
API 中的类别名称:
|
发现结果说明:这会检查 Amazon DynamoDB 表是否可以根据需要扩缩其读写容量。如果表使用按需容量模式或配置了自动伸缩的预配模式,则此控制机制通过。根据需求扩缩容量可以避免限制异常,这有助于保持应用的可用性。采用按需容量模式的 DynamoDB 表仅受到 DynamoDB 吞吐量默认表配额的限制。如需提高这些配额,您可以通过 AWS 支持团队提交支持服务工单。具有自动伸缩功能的预配模式下的 DynamoDB 表会根据流量模式动态调整预配的吞吐量容量。如需详细了解 DynamoDB 请求限制,请参阅 Amazon DynamoDB 开发者指南中的请求限制和爆发容量。 价格层级: 企业版 合规性标准:
|
DynamoDB 表应根据需求自动扩缩容量
|
Dynamodb In Backup Plan
API 中的类别名称:
|
发现结果说明:此控件可评估备份方案是否涵盖 DynamoDB 表。如果备份方案不涵盖 DynamoDB 表,则该控件失败。此控件仅评估处于 ACTIVE 状态的 DynamoDB 表。备份可帮助您更快地从安全事件中恢复。它们还可以增强系统的弹性。在备份方案中添加 DynamoDB 表有助于防止数据意外丢失或删除。 价格层级: 企业版 合规性标准:
|
DynamoDB 表应在备份方案的涵盖范围内
|
Dynamodb Pitr Enabled
API 中的类别名称:
|
发现结果说明:时间点恢复 (PITR) 是可用于备份 DynamoDB 表的机制之一。时间点备份会保留 35 天。如果您需要更长的保留期限,请参阅 AWS 文档中的 [使用 AWS 备份为 Amazon DynamoDB 设置计划备份](https://aws.amazon.com/blogs/database/set-up-scheduled-backups-for-amazon-dynamodb-using-aws-backup/)。 价格层级: 企业版 合规性标准:
|
检查是否已为所有 AWS DynamoDB 表启用时间点恢复 (PITR)
|
Dynamodb Table Encrypted Kms
API 中的类别名称:
|
发现结果说明:检查是否所有 DynamoDB 表都使用客户管理的 KMS 密钥(非默认密钥)进行加密。 价格层级: 企业版 合规性标准:
|
检查所有 DynamoDB 表是否均已使用 AWS Key Management Service (KMS) 加密
|
Ebs Optimized Instance
API 中的类别名称:
|
发现结果说明:检查是否为可进行 EBS 优化的 EC2 实例启用了 EBS 优化 价格层级: 企业版 合规性标准:
|
检查是否已为支持 EBS 优化的所有实例启用 EBS 优化
|
Ebs Snapshot Public Restorable Check
API 中的类别名称:
|
发现结果说明:检查 Amazon Elastic Block Store 快照是否不公开。如果任何人均可恢复 Amazon EBS 快照,则控制将失败。EBS 快照用于在特定时间点将 EBS 卷上的数据备份到 Amazon S3。您可以使用快照来恢复 EBS 卷之前的状态。很少有人愿意与公众共享快照。通常情况下,公开分享快照的决定是错误的,或者没有全面了解此影响。这项检查有助于确保所有此类分享都是经过全面规划且有意为之。 价格层级: 企业版 合规性标准:
|
Amazon EBS 快照不应可公开恢复
|
Ebs Volume Encryption Enabled All Regions
API 中的类别名称:
|
发现结果说明:使用 Elastic Block Store (EBS) 服务时,Elastic Compute Cloud (EC2) 支持静态加密。虽然默认处于停用状态,但支持在创建 EBS 卷时强制加密。 价格层级: 企业版 合规性标准:
|
确保已在所有区域启用 EBS 卷加密
|
Ec2 Instances In Vpc
API 中的类别名称:
|
发现结果说明:Amazon VPC 提供比 EC2 Classic 更多的安全功能。建议所有节点都属于一个 Amazon VPC。 价格层级: 企业版 合规性标准:
|
确保所有实例都属于一个 VPC
|
Ec2 Instance No Public Ip
API 中的类别名称:
|
发现结果说明:具有公共 IP 地址的 EC2 实例更容易遭到入侵。建议不要为 EC2 实例配置公共 IP 地址。 价格层级: 企业版 合规性标准:
|
确保没有任何实例具有公共 IP
|
Ec2 Managedinstance Association Compliance Status Check
API 中的类别名称:
|
发现结果说明:状态管理器关联是分配给代管式实例的配置。配置定义了您要在实例上维护的状态。例如,关联可指定在您的实例上必须安装并运行杀毒软件,或者必须关闭某些端口。与 AWS Systems Manager 关联的 EC2 实例由系统管理器进行管理,这可让您更轻松地应用补丁、修复错误配置以及响应安全事件。 价格层级: 企业版 合规性标准:
|
检查合规性状态 AWS 系统管理器关联
|
Ec2 Managedinstance Patch Compliance Status Check
API 中的类别名称:
|
发现结果说明:在实例上运行关联后,此控件会检查 AWS Systems Manager 关联合规性的状态是 COMPLIANT 还是 NON_COMPLIANT。如果关联合规性状态为 NON_COMPLIANT,则控制会失败。 状态管理器关联是分配给代管式实例的配置。配置定义了您要在实例上维护的状态。例如,通过关联,您可以指定必须在实例上安装并运行杀毒软件,或者必须关闭某些端口。 创建一个或多个状态管理器关联后,您即可立即看到合规性状态信息。您可以在控制台中查看合规性状态,也可以响应 AWS CLI 命令或相应的 Systems Manager API 操作来查看合规性状态。对于关联,“配置合规性”会显示合规性状态(“合规”或“不合规”)。该面板还会显示分配给关联的严重级别,例如“严重”或“中”。 如需详细了解州管理员关联合规性,请参阅《AWS Systems Manager 用户指南》中的 [关于州管理员关联合规性](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association)。 价格层级: 企业版 合规性标准:
|
检查 AWS Systems Manager 的补丁合规性
|
Ec2 Metadata Service Allows Imdsv2
API 中的类别名称:
|
发现结果说明:在 AWS EC2 实例上启用元数据服务时,用户可以选择使用实例元数据服务版本 1(IMDSv1,一种请求/响应方法)或实例元数据服务版本 2(IMDSv2,一种面向会话的方法)。 价格层级: 企业版 合规性标准:
|
确保 EC2 元数据服务仅允许 IMDSv2
|
Ec2 Volume Inuse Check
API 中的类别名称:
|
发现结果说明:识别并移除 AWS 帐号中未挂接(未使用的)的 Elastic Block Store (EBS) 卷,以降低 AWS 月度账单费用。删除未使用的 EBS 卷还可以降低机密/敏感数据离开您的部署的风险。此外,此控件还会检查是否将 EC2 实例配置为在终止时删除卷。默认情况下,EC2 实例配置为删除与该实例关联的所有 EBS 卷中的数据,并删除该实例的根 EBS 卷。但是,默认情况下,在启动或执行期间挂接到实例的任何非根 EBS 卷在终止后会保留下来。 价格层级: 企业版 合规性标准:
|
检查 EBS 卷是否已挂接到 EC2 实例,以及是否配置为在实例终止时删除
|
Efs Encrypted Check
API 中的类别名称:
|
发现结果说明:Amazon EFS 支持两种文件系统加密形式:传输中的数据加密和静态加密。这会检查帐号中所有已启用的区域是否为所有 EFS 文件系统配置了静态加密。 价格层级: 企业版 合规性标准:
|
检查 EFS 是否已配置为使用 KMS 加密文件数据
|
Efs In Backup Plan
API 中的类别名称:
|
发现结果说明:Amazon 最佳实践建议为 Elastic File Systems (EFS) 配置备份。这将检查您的 AWS 帐号中每个已启用区域的所有 EFS 是否已启用备份。 价格层级: 企业版 合规性标准:
|
检查 AWS 备份方案中是否包含 EFS 文件系统
|
Elb Acm Certificate Required
API 中的类别名称:
|
发现结果说明:检查传统负载平衡器是否使用 AWS Certificate Manager (ACM) 提供的 HTTPS/SSL 证书。如果配置了 HTTPS/SSL 监听器的传统负载平衡器未使用 ACM 提供的证书,该控制将会失败。 如需创建证书,您可以使用 ACM 或支持 SSL 和 TLS 协议的工具(如 OpenSSL)。安全中心建议您使用 ACM 为负载均衡器创建或导入证书。ACM 与传统负载均衡器集成,因此您可以在负载均衡器上部署证书。您还应自动续订这些证书。 价格层级: 企业版 合规性标准:
|
检查所有传统负载平衡器是否都使用 AWS Certificate Manager 提供的 SSL 证书
|
Elb Deletion Protection Enabled
API 中的类别名称:
|
发现结果说明:检查应用负载平衡器是否启用了删除保护。如果未配置删除保护,该控件将失败。 启用删除保护,防止应用负载平衡器被删除。 价格层级: 企业版 合规性标准:
|
应启用应用负载平衡器删除保护
|
Elb Logging Enabled
API 中的类别名称:
|
发现结果说明: 这会检查应用负载平衡器和传统负载平衡器是否已启用日志记录功能。如果 access_logs.s3.enabled 为 false,该控件将失败。 Elastic Load Balancing 提供访问日志,用于捕获发送到负载均衡器的请求的详细信息。每个日志都包含收到请求的时间、客户端的 IP 地址、延迟时间、请求路径和服务器响应等信息。您可以使用这些访问日志来分析流量模式并排查问题。 如需了解详情,请参阅传统负载平衡器用户指南中的 [传统负载平衡器的访问日志](https://docs.aws.amazon.com/elasticloadloading/latest/classic/access-log-collection.html)。 价格层级: 企业版 合规性标准:
|
检查传统负载平衡器和应用负载平衡器是否启用了日志记录功能
|
Elb Tls Https Listeners Only
API 中的类别名称:
|
发现结果说明:这项检查可确保所有传统负载平衡器都配置为使用安全通信。监听器是检查连接请求的进程。它配置了用于前端(客户端到负载均衡器)连接的协议和端口,以及用于后端(负载均衡器到实例)连接的协议和端口。如需了解 Elastic Load Balancing 支持的端口、协议和监听器配置,请参阅 [传统负载平衡器的监听器](https://docs.aws.amazon.com/elasticloadBalance/latest/classic/elb-listener-config.html)。 价格层级: 企业版 合规性标准:
|
检查所有传统负载平衡器是否都配置了 SSL 或 HTTPS 监听器
|
Encrypted Volumes
API 中的类别名称:
|
发现结果说明:检查处于挂接状态的 EBS 卷是否已加密。如需通过此检查,EBS 卷必须处于使用中并已加密。如果未挂接 EBS 卷,则不受此检查的约束。为了给 EBS 卷中的敏感数据增加一层安全保障,您应该启用 EBS 静态加密。Amazon EBS 加密为您的 EBS 资源提供了一种简单的加密解决方案,您无需构建、维护和保护您自己的密钥管理基础架构。它会在创建加密卷和快照时使用 KMS 密钥。如需详细了解 Amazon EBS 加密,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的 Amazon EBS 加密。 价格层级: 企业版 合规性标准:
|
附加的 Amazon EBS 卷应进行静态加密
|
Encryption At Rest Enabled Rds Instances
API 中的类别名称:
|
发现结果说明:Amazon RDS 加密数据库实例使用业界标准 AES-256 加密算法对托管 Amazon RDS 数据库实例的服务器上的数据进行加密。加密数据后,Amazon RDS 会以透明的方式处理数据访问和解密的身份验证,且对性能的影响微乎其微。 价格层级: 企业版 合规性标准:
|
确保已针对 RDS 实例启用静态加密
|
Encryption Enabled Efs File Systems
API 中的类别名称:
|
发现结果说明:EFS 数据应使用 AWS KMS(Key Management Service)进行静态加密。 价格层级: 企业版 合规性标准:
|
确保已针对 EFS 文件系统启用加密
|
Iam Password Policy
API 中的类别名称:
|
发现结果说明:AWS 允许对您的 AWS 帐号使用自定义密码政策,从而为 IAM 用户密码指定复杂度要求和强制轮替周期。如果您未设置自定义密码政策,IAM 用户密码必须符合默认 AWS 密码政策。AWS 安全性最佳实践建议采用以下密码复杂度要求: - 要求密码中至少包含一个大写字符。 - 密码中至少需要包含一个小写字符。 - 密码中至少需要包含一个符号。 - 密码中至少需要包含一个数字。 - 要求密码长度至少为 14 个字符。 - 要求重复使用至少 24 个密码。 - 要求至少 90 个密码到期 此控件会检查所有指定的密码政策要求。 价格层级: 企业版 合规性标准:
|
检查 IAM 用户的账号密码政策是否符合指定要求
|
Iam Password Policy Prevents Password Reuse
API 中的类别名称:
|
发现结果说明:IAM 密码政策可以防止同一用户重复使用指定密码。建议密码政策防止重复使用密码。 价格层级: 企业版 合规性标准:
|
确保 IAM 密码政策可防止密码重复使用
|
Iam Password Policy Requires Minimum Length 14 Greater
API 中的类别名称:
|
发现结果说明:密码政策在一定程度上用于强制实施密码复杂度要求。IAM 密码政策可用于确保密码至少为给定长度。建议密码政策要求最小密码长度为 14。 价格层级: 企业版 合规性标准:
|
确保 IAM 密码政策要求最小长度为 14 个字符
|
Iam Policies Allow Full Administrative Privileges Attached
API 中的类别名称:
|
发现结果说明:IAM 政策是向用户、群组或角色授予权限的方式。建议授予 _最低权限_(即仅授予执行任务所需的权限),且这被视为一种标准安全建议。确定用户需要执行的操作,然后为他们制定政策,让用户 _只_ 执行这些任务,而不是授予完整的管理员权限。 价格层级: 企业版 合规性标准:
|
确保未附加允许完整“*:*”管理员权限的 IAM 政策
|
Iam Users Receive Permissions Groups
API 中的类别名称:
|
发现结果说明:通过 IAM 政策向 IAM 用户授予对服务、函数和数据的访问权限。您可以通过四种方式为用户定义政策:1) 直接修改用户政策(也称为内嵌政策或用户政策);2) 直接将政策附加到用户;3) 将用户添加到具有附加政策的 IAM 群组;4) 将用户添加到具有内嵌政策的 IAM 群组。仅建议第三种实现。 价格层级: 企业版 合规性标准:
|
确保 IAM 用户仅通过群组接收权限
|
Iam User Group Membership Check
API 中的类别名称:
|
发现结果说明:为遵守 IAM 安全性最佳实践,IAM 用户应始终是 IAM 群组的一部分。 通过将用户添加到群组,您可在各类用户之间共享政策。 价格层级: 企业版 合规性标准:
|
检查 IAM 用户是否至少是一个 IAM 群组的成员
|
Iam User Mfa Enabled
API 中的类别名称:
|
发现结果说明:多重身份验证 (MFA) 是一种最佳实践,可在用户名和密码的基础上额外添加一层保护。借助 MFA,当用户登录 AWS 管理控制台时,需要提供由已注册的虚拟设备或实体设备提供的具有时效性的身份验证码。 价格层级: 企业版 合规性标准:
|
检查 AWS IAM 用户是否启用了多重身份验证 (MFA)
|
Iam User Unused Credentials Check
API 中的类别名称:
|
发现结果说明: 这会检查过去 90 天内无人使用的任何 IAM 密码或有效访问密钥。 最佳做法是,移除、停用或轮替 90 天或更长时间未使用的凭据。这样可以缩短与被盗用或已放弃的帐号相关联的凭据被使用的机会。 价格层级: 企业版 合规性标准:
|
检查所有 AWS IAM 用户是否都有未在 maxCredentialUsageAge 天(默认值为 90 天)内使用过的密码或有效访问密钥
|
Kms Cmk Not Scheduled For Deletion
API 中的类别名称:
|
发现结果说明:此控件会检查 KMS 密钥是否已安排删除。如果安排删除 KMS 密钥,该控制将失败。KMS 密钥一经删除便无法恢复。如果删除 KMS 密钥,使用 KMS 密钥加密的数据也永远不可恢复。如果有意义的数据已使用计划删除的 KMS 密钥加密,请考虑解密数据,或使用新的 KMS 密钥重新加密数据,除非您有意执行加密清除。 安排删除 KMS 密钥后,系统会强制执行强制等待期,以便留出时间来撤消删除(如果安排有误)。默认等待期为 30 天,但当计划删除 KMS 密钥时,可以缩短为 7 天。在等待期内,您可以取消预定的删除操作,且不会删除 KMS 密钥。如需详细了解如何删除 KMS 密钥,请参阅《AWS Key Management Service 开发者指南》中的 [删除 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/deleted-keys.html)。 价格层级: 企业版 合规性标准:
|
检查是否所有 CMK 都未被安排进行删除
|
Lambda Concurrency Check
API 中的类别名称:
|
发现结果说明:检查 Lambda 函数是否配置了函数级并发执行限制。如果没有为 Lambda 函数配置函数级并发执行限制,则规则为 NON_COMPLIANT。 价格层级: 企业版 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
检查 Lambda 函数是否配置了函数级并发执行限制
|
Lambda Dlq Check
API 中的类别名称:
|
发现结果说明:检查 Lambda 函数是否配置了死信队列。如果 Lambda 函数未配置死信队列,则规则为 NON_COMPLIANT。 价格层级: 企业版 合规性标准:
|
检查 Lambda 函数是否配置了死信队列
|
Lambda Function Public Access Prohibited
API 中的类别名称:
|
发现结果说明:AWS 最佳实践建议不要公开 Lambda 函数。此政策会检查在您账号内所有已启用区域中部署的所有 Lambda 函数;如果将其配置为允许公开访问,则这些函数将会失败。 价格层级: 企业版 合规性标准:
|
检查附加到 Lambda 函数的政策是否禁止公开访问
|
Lambda Inside Vpc
API 中的类别名称:
|
发现结果说明:检查 Lambda 函数是否位于 VPC 中。您可能会看到 Lambda@Edge 资源的失败发现结果。它不会评估 VPC 子网路由配置来确定公共可达性。 价格层级: 企业版 合规性标准:
|
检查 VPC 中是否存在 Lambda 函数
|
Mfa Delete Enabled S3 Buckets
API 中的类别名称:
|
发现结果说明: 为敏感的分类 S3 存储桶启用 MFA 删除功能后,用户需要通过两种形式的身份验证。 价格层级: 企业版 合规性标准:
|
确保已针对 S3 存储分区启用 MFA 删除功能
|
Mfa Enabled Root User Account
API 中的类别名称:
|
发现结果说明:“root”用户帐号是 AWS 帐号中具有最高特权的用户。多重身份验证 (MFA) 可在用户名和密码的基础上增添一道额外的安全屏障。启用 MFA 后,当用户登录 AWS 网站时,系统会提示他们输入用户名和密码,并在其 AWS MFA 设备上输入身份验证码。 **注意:** 将虚拟 MFA 用于“根”账号时,建议使用的设备不是个人设备,而应是专用移动设备(平板电脑或手机),此类设备应单独管理,且不受任何个人个人设备影响而保持充电状态并受到妥善保护。(“非个人虚拟 MFA”)可降低因设备丢失、设备以旧换新或设备所有者从公司离职而无法访问 MFA 的风险。 价格层级: 企业版 合规性标准:
|
确保已针对“根”用户账号启用 MFA
|
Multi Factor Authentication Mfa Enabled All Iam Users Console
API 中的类别名称:
|
发现结果说明:多重身份验证 (MFA) 为传统凭据增添了一层额外的身份验证保证。启用 MFA 后,当用户登录 AWS 控制台时,系统会提示他们输入用户名和密码,以及通过物理或虚拟 MFA 令牌生成的身份验证码。建议为所有拥有控制台密码的帐号启用 MFA。 价格层级: 企业版 合规性标准:
|
确保已针对拥有控制台密码的所有 IAM 用户启用多重身份验证 (MFA)
|
No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration
API 中的类别名称:
|
发现结果说明:网络访问控制列表 (NACL) 函数可对流向 AWS 资源的入站流量和出站流量网络流量进行无状态过滤。建议使用 TDP (6)、UDP (17) 或所有 (-1) 协议,禁止 NACL 对远程服务器管理端口进行不受限制的入站流量访问,例如通过 SSH 连接到端口 `22` 和 RDP 到端口 `3389` 价格层级: 企业版 合规性标准:
|
确保任何网络 ACL 都不允许入站流量从 0.0.0.0/0 传入远程服务器管理端口
|
No Root User Account Access Key Exists
API 中的类别名称:
|
发现结果说明:“root”用户帐号是 AWS 帐号中具有最高特权的用户。AWS 访问密钥提供对指定 AWS 账号的程序化访问。建议删除与“根”用户账号关联的所有访问密钥。 价格层级: 企业版 合规性标准:
|
确保不存在“根”用户账号访问权限密钥
|
No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration
API 中的类别名称:
|
发现结果说明:安全组对流向 AWS 资源的入站流量和出站流量网络流量进行有状态过滤。建议不要使用 TDP (6)、UDP (17) 或所有 (-1) 协议,对远程服务器管理端口进行不受限制的入站流量访问,例如通过 SSH 连接到端口“22”以及通过 RDP 连接到端口“3389” 价格层级: 企业版 合规性标准:
|
确保任何安全群组都不允许从 0.0.0.0/0 到远程服务器管理端口的入站流量
|
No Security Groups Allow Ingress 0 Remote Server Administration
API 中的类别名称:
|
发现结果说明:安全组对流向 AWS 资源的入站流量和出站流量网络流量进行有状态过滤。建议不要允许任何安全群组对远程服务器管理端口进行不受限制的入站流量访问,例如通过 SSH 连接到端口 22,以及通过 RDP 连接到端口 3389。 价格层级: 企业版 合规性标准:
|
确保任何安全群组都不允许从 ::/0 到远程服务器管理端口的入站流量
|
One Active Access Key Available Any Single Iam User
API 中的类别名称:
|
发现结果说明:访问密钥是 IAM 用户或 AWS 账号“根”用户的长期凭据。您可以使用访问密钥对对 AWS CLI 或 AWS API 的程序化请求进行签名(直接或使用 AWS SDK) 价格层级: 企业版 合规性标准:
|
确保任何单个 IAM 用户只有一个有效的访问密钥
|
Public Access Given Rds Instance
API 中的类别名称:
|
发现结果说明:确保并验证 AWS 帐号中预配的 RDS 数据库实例确实限制未经授权的访问,以最大限度地降低安全风险。如需限制对任何可公开访问的 RDS 数据库实例的访问,您必须停用数据库“可公开访问”标志并更新与实例关联的 VPC 安全组。 价格层级: 企业版 合规性标准:
|
确保没有向 RDS 实例提供公开访问权限
|
Rds Enhanced Monitoring Enabled
API 中的类别名称:
|
发现结果说明:增强型监控通过实例中安装的代理提供有关运行 RDS 实例的操作系统的实时指标。如需了解详情,请参阅 [使用增强型监控功能监控操作系统指标](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)。 价格层级: 企业版 合规性标准:
|
检查是否已为所有 RDS 数据库实例启用增强型监控
|
Rds Instance Deletion Protection Enabled
API 中的类别名称:
|
发现结果说明:启用实例删除保护是一道额外的保护措施,可防止未经授权的实体意外删除或删除数据库。启用删除保护后,无法删除 RDS 数据库实例。必须先停用删除保护,删除请求才能成功。 价格层级: 企业版 合规性标准:
|
检查是否所有 RDS 实例都启用了删除保护
|
Rds In Backup Plan
API 中的类别名称:
|
发现结果说明:此检查会评估备份方案是否涵盖 Amazon RDS 数据库实例。如果备份方案不涵盖 RDS 数据库实例,则此控制将失败。 AWS Backup 是一项全代管式备份服务,可以跨 AWS 服务集中管理并自动备份数据。使用 AWS Backup,您可以创建备份政策(称为备份计划)。您可以使用这些计划来定义备份要求,例如备份数据的频率以及将这些备份保留多长时间。将 RDS 数据库实例纳入备份方案有助于保护您的数据免遭意外丢失或删除。 价格层级: 企业版 合规性标准:
|
RDS 数据库实例应在备份方案的涵盖范围内
|
Rds Logging Enabled
API 中的类别名称:
|
发现结果说明: 这将检查 Amazon RDS 的以下日志是否已启用并发送到 CloudWatch。 RDS 数据库应启用相关日志。数据库日志记录提供了向 RDS 发出的请求的详细记录。数据库日志有助于进行安全性和访问审核,并有助于诊断可用性问题。 价格层级: 企业版 合规性标准:
|
检查是否已为所有 RDS 数据库实例启用了导出的日志
|
Rds Multi Az Support
API 中的类别名称:
|
发现结果说明:应为多个可用区 (AZ) 配置 RDS 数据库实例。这样可以确保所存储数据的可用性。如果可用区可用性存在问题以及常规 RDS 维护期间,多可用区部署允许自动故障切换。 价格层级: 企业版 合规性标准:
|
检查是否已为所有 RDS 数据库实例启用高可用性
|
Redshift Cluster Configuration Check
API 中的类别名称:
|
发现结果说明:这会检查 Redshift 集群的基本元素:静态加密、日志记录和节点类型。这些配置项对于维护安全且可观察的 Redshift 集群非常重要。 价格层级: 企业版 合规性标准:
|
检查所有 Redshift 集群是否都具有静态加密、日志记录和节点类型。
|
Redshift Cluster Maintenancesettings Check
API 中的类别名称:
|
发现结果说明:主要版本自动升级会根据维护窗口进行 价格层级: 企业版 合规性标准:
|
检查所有 Redshift 集群是否启用了 allowVersionUpgrade 且设置了 preferred 顶部维护窗口 和 automatedSnapshot 保留 Period
|
Redshift Cluster Public Access Check
API 中的类别名称:
|
发现结果说明:Amazon Redshift 集群配置的 PubliclyAccessible 属性指示集群是否可公开访问。如果集群配置为“PubliclyAccessible”设为 true,则是面向互联网的实例,具有可公开解析的 DNS 名称(解析为公共 IP 地址)。当集群不可公开访问时,它是一个内部实例,具有解析为专用 IP 地址的 DNS 名称。除非您打算将集群设为可公开访问,否则不应将集群配置为“PubliclyAccessible”设为 true。 价格层级: 企业版 合规性标准:
|
检查 Redshift 集群是否可公开访问
|
Restricted Common Ports
API 中的类别名称:
|
发现结果说明: 这会检查指定风险最高的端口是否可以访问安全群组的不受限制传入流量。如果安全群组中的任何规则允许来自“0.0.0.0/0”或“::/0”端口的入站流量,此控件就会失败。 不受限制的访问权限 (0.0.0.0/0) 会增加恶意活动的机会,例如黑客入侵、拒绝服务攻击和数据丢失。 安全组对流向 AWS 资源的入站流量和出站流量进行有状态过滤。任何安全群组都不应允许对以下端口进行不受限制的入站流量访问: - 20, 21 (FTP) - 22 (SSH) - 23 (Telnet) - 25 (SMTP) - 110 (POP3) - 135 (RPC) - 143 (IMAP) - 445 (IMAP-Search8) (CIFS) (CIFS) (CIFS) (CIFS) , MS3.S64) (CIFS) (CIFS) . 价格层级: 企业版 合规性标准:
|
安全群组不应允许不受限制地访问高风险端口
|
Restricted Ssh
API 中的类别名称:
|
发现结果说明:安全组对流向 AWS 资源的入站流量和出站流量网络流量进行有状态过滤。 CIS 建议,任何安全群组都不允许对端口 22 进行不受限制的入站流量访问。移除与远程控制台服务(例如 SSH)的无限制连接可降低服务器面临的风险。 价格层级: 企业版 合规性标准:
|
安全群组不应允许从 0.0.0.0/0 到端口 22 的入站流量
|
Rotation Customer Created Cmks Enabled
API 中的类别名称:
|
发现结果说明:检查是否为每个密钥启用了自动密钥轮替,并且是否与客户创建的 AWS KMS 密钥的密钥 ID 相匹配。如果资源的 AWS Config recorder 角色没有 kms:DescribeKey 权限,则规则为 NON_COMPLIANT。 价格层级: 企业版 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
确保为客户创建的 CMK 启用轮替
|
Rotation Customer Created Symmetric Cmks Enabled
API 中的类别名称:
|
发现结果说明:通过 AWS Key Management Service (KMS),客户可以轮替后备密钥,备用密钥是存储在 KMS 中的密钥材料,与客户创建的客户主密钥 (CMK) 的密钥 ID 相关联。它是用于执行加密操作(例如加密和解密)的后备密钥。目前,自动密钥轮替会保留所有之前的后备密钥,以便透明地解密加密数据。建议为对称密钥启用 CMK 密钥轮替。无法为任何非对称 CMK 启用密钥轮替。 价格层级: 企业版 合规性标准:
|
确保为客户创建的对称 CMK 启用轮替
|
Routing Tables Vpc Peering Are Least Access
API 中的类别名称:
|
发现结果说明:检查 VPC 对等互连的路由表是否配置了权限最低的主账号。 价格层级: 企业版 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
确保 VPC 对等互连的路由表为“访问权限最低”
|
S3 Account Level Public Access Blocks
API 中的类别名称:
|
发现结果说明:Amazon S3 阻止公开访问提供了接入点、存储分区和帐号的设置,可帮助您管理对 Amazon S3 资源的公开访问权限。默认情况下,新的存储分区、接入点和对象不允许公开访问。 价格层级: 企业版 合规性标准: 此发现结果类别未映射到任何合规性标准控制措施。 |
检查必要的 S3 公开访问屏蔽设置是否是从账号级别配置的
|
S3 Bucket Logging Enabled
API 中的类别名称:
|
发现结果说明:AWS S3 Server Access Logging 功能会记录对存储分区的访问请求,这对于安全审核非常有用。默认情况下,不为 S3 存储分区启用服务器访问日志记录。 价格层级: 企业版 合规性标准:
|
检查是否所有 S3 存储分区都启用了日志记录功能
|
S3 Bucket Policy Set Deny Http Requests
API 中的类别名称:
|
发现结果说明:在 Amazon S3 存储桶级别,您可以通过存储桶政策来配置权限,使对象只能通过 HTTPS 访问。 价格层级: 企业版 合规性标准:
|
确保将 S3 存储分区政策设置为拒绝 HTTP 请求
|
S3 Bucket Replication Enabled
API 中的类别名称:
|
发现结果说明:此控件会检查 Amazon S3 存储桶是否启用了跨区域复制。如果存储桶未启用跨区域复制,或者也启用了“同区域复制”,该控制将会失败。 复制是指在相同或不同 AWS 区域中的存储分区之间自动异步复制对象。复制功能会将新创建的对象和对象更新从源存储桶复制到目标存储桶。AWS 最佳实践建议对同一 AWS 帐号拥有的源存储分区和目标存储分区进行复制。除了可用性之外,您还应考虑其他系统强化设置。 价格层级: 企业版 合规性标准:
|
检查 S3 存储分区是否已启用跨区域复制
|
S3 Bucket Server Side Encryption Enabled
API 中的类别名称:
|
发现结果说明: 这会检查您的 S3 存储桶是否启用了 Amazon S3 默认加密,或者 S3 存储桶政策是否明确拒绝在没有服务器端加密的情况下的放置对象请求。 价格层级: 企业版 合规性标准:
|
确保所有 S3 存储分区都采用静态加密
|
S3 Bucket Versioning Enabled
API 中的类别名称:
|
发现结果说明:Amazon S3 是一种将对象的多个变体保留在同一存储桶的方法,可帮助您更轻松地从意外的用户操作和应用故障中恢复。 价格层级: 企业版 合规性标准:
|
检查是否已为所有 S3 存储分区启用版本控制
|
S3 Default Encryption Kms
API 中的类别名称:
|
发现结果说明:检查 Amazon S3 存储分区是否使用 AWS Key Management Service (AWS KMS) 加密 价格层级: 企业版 合规性标准:
|
检查是否所有存储分区都使用 KMS 加密
|
Sagemaker Notebook Instance Kms Key Configured
API 中的类别名称:
|
发现结果说明:检查是否已为 Amazon SageMaker 笔记本实例配置 AWS Key Management Service (AWS KMS) 密钥。如果没有为 SageMaker 笔记本实例指定“KmsKeyId”,则规则为 NON_COMPLIANT。 价格层级: 企业版 合规性标准:
|
检查是否所有 SageMaker 笔记本实例都配置为使用 KMS
|
Sagemaker Notebook No Direct Internet Access
API 中的类别名称:
|
发现结果说明:检查是否针对 SageMaker 笔记本实例停用了互联网直接访问功能。为此,它会检查是否为笔记本实例停用了 DirectInternetAccess 字段。 如果您在没有 VPC 的情况下配置 SageMaker 实例,则实例会默认启用互联网直接访问功能。您应为实例配置 VPC,并将默认设置更改为“停用”,即通过 VPC 访问互联网。如需通过笔记本训练或托管模型,您需要拥有互联网访问权限。如需启用互联网访问权限,请确保您的 VPC 具有 NAT 网关,并且您的安全群组允许出站连接。如需详细了解如何将笔记本实例连接到 VPC 中的资源,请参阅 Amazon SageMaker 开发者指南中的“将笔记本实例连接到 VPC 中的资源”部分。 您还应确保只有已获授权的用户才能访问 SageMaker 配置。限制用户的 IAM 权限以修改 SageMaker 设置和资源。 价格层级: 企业版 合规性标准:
|
检查是否已为所有 Amazon SageMaker 笔记本实例停用直接互联网访问权限
|
Secretsmanager Rotation Enabled Check
API 中的类别名称:
|
发现结果说明:检查存储在 AWS Secrets Manager 中的 Secret 是否已配置为自动轮替。如果 Secret 未配置自动轮替,该控件将失败。如果您为“maximumAllowedRotationFrequency”参数提供自定义值,仅当 Secret 在指定的时间段内自动轮替时,该控件才会通过。 Secrets Manager 可帮助您改善组织的安全状况。Secret 包括数据库凭据、密码和第三方 API 密钥。您可以使用 Secret Manager 集中存储 Secret、自动加密 Secret、控制对 Secret 的访问权限,以及安全自动轮替 Secret。Secret Manager 可以轮替 Secret。您可以使用轮替将长期密钥替换为短期密钥。轮替 Secret 可限制未经授权的用户使用已泄露的 Secret 的时长。因此,您应经常轮替 Secret。如需详细了解轮替,请参阅《AWS Secrets Manager 用户指南》中的“轮替 AWS Secrets Manager 密文”。 价格层级: 企业版 合规性标准:
|
检查是否所有 AWS Secrets Manager Secret 均已启用轮替
|
Sns Encrypted Kms
API 中的类别名称:
|
发现结果说明:检查 SNS 主题是否使用 AWS KMS 进行静态加密。如果 SNS 主题未使用 KMS 密钥进行服务器端加密 (SSE),则控制会失败。 对静态数据进行加密可降低未经 AWS 身份验证的用户访问磁盘上存储的数据的风险。它还添加了另一组访问权限控制,以限制未经授权的用户访问数据的能力。例如,数据需要 API 权限才能解密,然后才能读取数据。SNS 主题应进行静态加密,以增加一道安全防线。 价格层级: 企业版 合规性标准:
|
检查是否所有 SNS 主题都使用 KMS 加密
|
Vpc Default Security Group Closed
API 中的类别名称:
|
发现结果说明:此控件会检查 VPC 的默认安全群组是否允许入站或出站流量。如果安全群组允许传入或传出流量,该控件就会失败。 默认安全群组的规则允许分配给同一安全群组的网络接口(及其关联实例)的所有出站流量和入站流量。我们建议您不要使用默认安全群组。由于默认安全群组无法删除,您应更改默认安全群组规则设置,以限制入站和出站流量。如果意外为 EC2 实例等资源配置了默认安全群组,这可以防止出现意外流量。 价格层级: 企业版 合规性标准:
|
确保每个 VPC 的默认安全群组对所有流量进行限制
|
Vpc Flow Logging Enabled All Vpcs
API 中的类别名称:
|
发现结果说明:VPC 流日志是一项功能,可让您捕获进出 VPC 中网络接口的 IP 流量的相关信息。创建流日志后,您可以在 Amazon CloudWatch Logs 中查看和检索其数据。建议为 VPC 的数据包“拒绝”启用 VPC 流日志。 价格层级: 企业版 合规性标准:
|
确保在所有 VPC 中启用 VPC 流日志记录
|
Vpc Sg Open Only To Authorized Ports
API 中的类别名称:
|
发现结果说明:此控件会检查 Amazon EC2 安全群组是否允许来自未经授权的端口的不受限制传入流量。控制状态如下确定: 如果使用 authorizedTcpPort 的默认值,则如果安全群组允许从端口 80 和 443 以外的任何端口传入不受限制的传入流量,则控制将失败。如果您为 authorizedTcpPort 或 authorizedUdpPort 提供自定义值,则如果安全群组允许从任何不公开端口传入不受限制的传入流量,则控制将失败。 如果未使用任何参数,则对于具有不受限制的入站流量规则的任何安全群组,该控件都会失败。 安全组对流向 AWS 的入站和出站网络流量进行有状态过滤。安全群组规则应遵循最小访问权限主账号。不受限制的访问(带有 /0 后缀的 IP 地址)会增加黑客入侵、拒绝服务攻击和数据丢失等恶意活动的几率。除非明确允许某个端口,否则该端口应拒绝不受限制的访问。 价格层级: 企业版 合规性标准:
|
检查任何 VPC 的 0.0.0.0/0 安全群组是否都仅允许特定的入站 TCP/UDP 流量
|
Both VPC VPN Tunnels Up
API 中的类别名称:
|
发现结果说明:VPN 隧道是一种加密链路,可通过 AWS 站点到站点 VPN 连接将数据从客户网络传入或传出 AWS。每个 VPN 连接都包含两个 VPN 隧道,您可以同时使用这些隧道来实现高可用性。确保两个 VPN 隧道均已开启 VPN 连接,这对于确认 AWS VPC 与您的远程网络之间是否建立安全的高可用性连接非常重要。 此控件会检查 AWS 站点到站点 VPN 提供的两个 VPN 隧道是否都处于 UP 状态。如果一个或两个隧道都处于 DOWN 状态,则控制失败。 价格层级: 企业版 合规性标准:
|
检查 AWS 站点到站点提供的两个 AWS VPN 隧道是否都处于 UP 状态
|
Web Security Scanner 发现结果
Web Security Scanner 自定义和代管式扫描可识别以下发现结果类型。在标准层级中,Web Security Scanner 支持对公共网址和 IP 不受防火墙保护的已部署应用进行自定义扫描。
| 类别 | 发现结果说明 | OWASP 2017 年排名前 10 | OWASP 2021 年排名前 10 |
|---|---|---|---|
Accessible Git repository
API 中的类别名称: |
Git 代码库被公开。如需解决此发现结果,请移除对 Git 代码库的意外公开访问权限。
价格层级:标准 |
A5 | A01 |
Accessible SVN repository
API 中的类别名称: |
SVN 代码库会公开。要解决此发现结果,请移除对 SVN 代码库的意外公开访问权限。
价格层级:标准 |
A5 | A01 |
Cacheable password input
API 中的类别名称: |
在 Web 应用中输入的密码可以缓存在常规浏览器的缓存中,而不是安全的密码存储空间中。 价格层级:付费方案 |
A3 | A04 |
Clear text password
API 中的类别名称: |
密码以明文形式传输,可以被拦截。要解决此发现结果,请对通过网络传输的密码进行加密。
价格层级:标准 |
A3 | A02 |
Insecure allow origin ends with validation
API 中的类别名称: |
跨站 HTTP 或 HTTPS 端点仅验证 Origin 请求标头的后缀,然后将其呈现在 Access-Control-Allow-Origin 响应标头内。如需解决此发现结果,请先验证预期根域名是否是 Origin 标头值的一部分,然后再将其呈现在 Access-Control-Allow-Origin 响应标头内。对于子网域通配符,请在根域名前面附加英文句点,例如 .endsWith(".google.com")。价格层级:付费方案 |
A5 | A01 |
Insecure allow origin starts with validation
API 中的类别名称: |
跨站 HTTP 或 HTTPS 端点仅验证 Origin 请求标头的前缀,然后将其呈现在 Access-Control-Allow-Origin 响应标头内。如需解决此发现结果,请先验证预期域名是否与 Origin 标头值完全匹配,然后再将其呈现在 Access-Control-Allow-Origin 响应标头内,例如 .equals(".google.com")。价格层级:付费方案 |
A5 | A01 |
Invalid content type
API 中的类别名称: |
加载的资源与响应的 Content-Type HTTP 标头不匹配。如需解决此发现结果,请使用正确的值设置 X-Content-Type-Options HTTP 标头。价格层级:标准 |
A6 | A05 |
Invalid header
API 中的类别名称: |
安全标头存在语法错误,因此被浏览器忽略。要解决此发现结果,请正确设置 HTTP 安全标头。
价格层级:标准 |
A6 | A05 |
Mismatching security header values
API 中的类别名称: |
安全标头具有重复的、不匹配的值,这会导致未定义的行为。要解决此发现结果,请正确设置 HTTP 安全标头。
价格层级:标准 |
A6 | A05 |
Misspelled security header name
API 中的类别名称: |
安全标头拼写错误并且被忽略。要解决此发现结果,请正确设置 HTTP 安全标头。
价格层级:标准 |
A6 | A05 |
Mixed content
API 中的类别名称: |
资源是通过 HTTPS 页面上的 HTTP 提供的。要解决此发现结果,请确保所有资源通过 HTTPS 传送。
价格层级:标准 |
A6 | A05 |
Outdated library
API 中的类别名称: |
检测到有已知漏洞的库。要解决此发现结果,请将库升级到新版本。
价格层级:标准 |
A9 | A06 |
Server side request forgery
API 中的类别名称: |
检测到服务器端请求伪造 (SSRF) 漏洞。要解决此发现结果,请使用许可名单限制 Web 应用可以向其发出请求的网域和 IP 地址。 价格层级:标准 |
不适用 | A10 |
Session ID leak
API 中的类别名称: |
在发出跨网域的请求时,Web 应用的 Referer 请求标头中包含用户的会话标识符。此漏洞会向接收网域授予会话标识符的访问权限,可用于假冒或唯一标识用户。价格层级:付费方案 |
A2 | A07 |
SQL injection
API 中的类别名称: |
检测到潜在的 SQL 注入漏洞。如需解决此发现结果,请使用参数化查询以防止用户输入影响 SQL 查询的结构。 价格层级:付费方案 |
A1 | A03 |
Struts insecure deserialization
API 中的类别名称: |
检测到使用易受攻击的 Apache Struts 版本。如需解决此发现结果,请将 Apache Strut 升级到最新版本。 价格层级:付费方案 |
A8 | A08 |
XSS
API 中的类别名称: |
此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。要解决此发现结果,请验证和转义不受信任的用户提供的数据。
价格层级:标准 |
A7 | A03 |
XSS angular callback
API 中的类别名称: |
用户提供的字符串没有转义,并且 AngularJS 可以对其进行插入。要解决此发现结果,请验证和转义 Angular 框架处理的不受信任用户提供的数据。
价格层级:标准 |
A7 | A03 |
XSS error
API 中的类别名称: |
此 Web 应用中的字段容易受到跨站脚本攻击。要解决此发现结果,请验证和转义不受信任的用户提供的数据。
价格层级:标准 |
A7 | A03 |
XXE reflected file leakage
API 中的类别名称: |
检测到 XML 外部实体 (XXE) 漏洞。此漏洞可能会导致 Web 应用泄露主机上的文件。如需解决此发现结果,请配置 XML 解析器以禁止外部实体。 价格层级:付费方案 |
A4 | A05 |
Prototype pollution
API 中的类别名称: |
应用容易受到原型污染的影响。如果可为 Object.prototype 对象的属性分配攻击者可控制的值,就会出现此漏洞。通常认为这些原型上的值会转化为跨站脚本攻击、类似的客户端漏洞和逻辑错误。
价格层级:标准 |
A1 | A03 |
快速漏洞检测发现结果和补救措施
快速漏洞检测可以检测安全系数低的凭据、不完整的软件安装以及其他极有可能被利用的严重漏洞。该服务会自动发现网络端点、协议、开放的端口、网络服务和已安装的软件包。
快速漏洞检测发现结果是漏洞的早期警告,建议您立即进行修复。
如需了解如何查看发现结果,请参阅在 Security Command Center 中审核发现结果。
快速漏洞检测可识别以下发现结果类型。
| 发现结果类型 | 发现结果说明 | OWASP 十大代码 |
|---|---|---|
| 凭据安全系数低发现结果 | ||
WEAK_CREDENTIALS
|
此检测器使用 ncacker 暴力破解方法检查弱凭据。 支持的服务:SSH、RDP、FTP、WordPress、TELNET、POP3、IMAP、VCS、SMB、SMB2、VNC、SIP、REDIS、PSQL、MYSQL、MSSQL、MQTT、MONGODB、WINRM、DICOM 补救措施:强制执行安全系数高的密码政策。为您的服务创建唯一凭据,并避免在密码中使用字典字词。 |
2021 A07 2017 A2 |
| 界面被公开发现结果 | ||
ELASTICSEARCH_API_EXPOSED
|
借助 Elasticsearch API,调用者可以执行任意查询、编写和执行脚本,以及向服务添加其他文档。
补救措施:通过应用路由请求来移除对 Elasticsearch API 的直接访问权限,或仅限制经过身份验证的用户的访问权限。如需了解详情,请参阅 Elasticsearch 中的安全设置。 |
2021 A01、A05 2017 A5、A6 |
EXPOSED_GRAFANA_ENDPOINT
|
在 Grafana 8.0.0 到 8.3.0 中,用户不进行身份验证即可访问存在目录遍历漏洞的端点,该漏洞允许任何用户不进行身份验证即可读取服务器上的任何文件。如需了解详情,请参阅 CVE-2021-43798。 补救措施:修补 Grafana 或将 Grafana 升级到更高版本。如需了解详情,请参阅 Grafana 路径遍历。 |
2021 A06、A07 2017 A2、A9 |
EXPOSED_METABASE
|
x.40.0 到 x.40.4 版本的 Metabase 是一个开源数据分析平台,自定义 GeoJSON 映射支持和潜在本地文件包含(包括环境变量)中存在漏洞。网址在加载之前未进行验证。如需了解详情,请参阅 CVE-2021-41277。 补救措施:升级到维护版本 0.40.5 或更高版本或者 1.40.5 或更高版本。如需了解详情,请参阅 GeoJSON 网址验证可以向未经授权的用户公开服务器文件和环境变量。 |
2021 A06 2017 A3、A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
此检测器会检查 Spring Boot 应用的敏感执行器端点是否公开。某些默认端点(如 /heapdump)可能会泄露敏感信息。其他端点(如 /env)可能会导致远程代码执行。目前仅检查了 /heapdump。补救措施:停用对敏感执行器端点的访问权限。如需了解详情,请参阅确保 HTTP 端点安全。 |
2021 A01、A05 2017 A5、A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
此检测器会检查 Hadoop Yarn ResourceManager API(用于控制 Hadoop 集群的计算和存储资源)是否已公开,并允许未经身份验证的代码执行。 补救措施:将访问控制列表与此 API 结合使用。 |
2021 A01、A05 2017 A5、A6 |
JAVA_JMX_RMI_EXPOSED
|
Java Management Extension (JMX) 允许对 Java 应用进行远程监控和诊断。通过不受保护的远程方法调用端点运行 JMX,这样任何远程用户都可以创建 javax.management.loading.MLet MBean,并使用它从任意网址创建新的 MBean。
补救措施:如需正确配置远程监控,请参阅使用 JMX 技术进行监控和管理。 |
2021 A01、A05 2017 A5、A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
此检测器会检查未经身份验证的 Jupyter 笔记本是否已公开。Jupyter 允许在宿主机上按设计执行远程代码执行。
未经身份验证的 Jupyter 笔记本会导致托管虚拟机面临远程代码执行风险。 补救措施:向 Jupyter 笔记本服务器添加令牌身份验证,或者使用默认使用令牌身份验证的较新版 Jupyter 笔记本。 |
2021 A01、A05 2017 A5、A6 |
KUBERNETES_API_EXPOSED
|
Kubernetes API 已公开,未经身份验证的调用者可以访问。这将允许在 Kubernetes 集群上执行任意代码。
补救措施:所有 API 请求都需要进行身份验证。如需了解详情,请参阅 Kubernetes API 身份验证指南。 |
2021 A01、A05 2017 A5、A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
此检测器会检查 WordPress 安装是否尚未完成。WordPress 安装未完成会公开 /wp-admin/install.php 页面,此页面让攻击者可设置管理员密码,并可能入侵系统。补救措施:完成 WordPress 安装。 |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
此检测器会通过以匿名访问者身份向 /view/all/newJob 端点发送探测 ping 来检查是否有未经身份验证的 Jenkins 实例。经过身份验证的 Jenkins 实例会显示 createItem 表单,该表单允许创建可能导致远程代码执行的任意作业。补救措施:按照 Jenkins 有关管理安全性的指南阻止未经身份验证的访问。 |
2021 A01、A05 2017 A5、A6 |
| 软件易受攻击发现结果 | ||
APACHE_HTTPD_RCE
|
Apache HTTP Server 2.4.49 中发现了一个缺陷,该缺陷允许攻击者使用路径遍历攻击将网址映射到预期文档根目录之外的文件,并查看已解读文件的来源,如 CGI 脚本。此问题已知在自然情况下被利用。此问题会影响 Apache 2.4.49 和 2.4.50,但不会影响更早版本。如需详细了解此漏洞,请参阅以下内容: 补救措施:通过在 Apache HTTP Server 中配置“require all denied”指令来保护文档根目录之外的文件。 |
2021 A01、A06 2017 A5、A9 |
APACHE_HTTPD_SSRF
|
攻击者可以编写 Apache Web 服务器的 URI,导致 补救措施:将 Apache HTTP Server 升级到更高版本。 |
2021 A06、A10 2017 A9 |
CONSUL_RCE
|
由于 Consul 实例在
检查后,快速漏洞检测会使用 补救措施:在控制台实例配置中将 enable-script-checks 设置为 |
2021 A05、A06 2017 A6、A9 |
DRUID_RCE
|
Apache Druid 能够执行嵌入在各类请求中的用户提供的 JavaScript 代码。此功能适用于信任度较高的环境,默认处于停用状态。但是,在 Druid 0.20.0 及更早版本中,经过身份验证的用户可能会发送特别编写的请求,无论服务器配置如何,都强制 Druid 针对该请求运行用户提供的 JavaScript 代码。这可以被利用在具有 Druid 服务器进程权限的目标机器上执行代码。如需了解详情,请参阅 CVE-2021-25646 详细信息。 补救措施:将 Apache Druid 升级到更高版本。 |
2021 A05、A06 2017 A6、A9 |
DRUPAL_RCE
此类别包括 Drupal 中的两个漏洞。此类型的多个发现结果可以表示多个漏洞。 |
Drupal 7.58 之前的版本、8.3.9 之前的 8.x 版本、8.4.6 之前的 8.4.x 版本以及 8.5.1 之前的 8.5.x 版本容易在 Form API AJAX 请求上发生远程代码执行。 补救措施:升级到其他 Drupal 版本。 |
2021 A06 2017 A9 |
| Drupal 8.5.11 之前的 8.5.x 版本和 8.6.10 之前的 8.6.x 版本在 RESTful Web 服务模块或 JSON:API 处于启用状态时容易发生远程代码执行。未经过身份验证的攻击者可通过自定义 POST 请求来利用此漏洞。 补救措施:升级到其他 Drupal 版本。 |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Apache Flink 1.11.0、1.11.1 和 1.11.2 版本中的漏洞允许攻击者通过 REST 接口读取 JobManager 的本地文件系统中的任何文件。访问权限仅限于 JobManager 进程可访问的文件。
补救措施:如果 Flink 实例已公开,请升级到 Flink 1.11.3 或 1.12.0。 |
2021 A01、A05、A06 2017 A5、A6、A9 |
GITLAB_RCE
|
在 GitLab 社区版 (CE) 和企业版 (EE) 11.9 及更高版本中,GitLab 无法正确验证传递给文件解析器的图片文件。攻击者可以利用此漏洞执行远程命令。 补救措施:升级到 GitLab CE 或 EE 13.10.3、13.9.6 和 13.8.8 版或更高版本。如需了解详情,请参阅自行管理的客户针对 CVE-2021-22205 需要采取的行动。 |
2021 A06 2017 A9 |
GoCD_RCE
|
GoCD 21.2.0 及更早版本具有不进行身份验证即可访问的端点。此端点存在一个目录遍历漏洞,允许用户不进行身份验证即可读取服务器上的任何文件。 补救措施:升级到 21.3.0 版或更高版本。如需了解详情,请参阅 GoCD 21.3.0 的版本说明。 |
2021 A06、A07 2017 A2、A9 |
JENKINS_RCE
|
Jenkins 2.56 版及更早版本和 2.46.1 LTS 及更早版本容易发生远程代码执行。未经身份验证的攻击者可使用恶意序列化 Java 对象触发此漏洞。 补救措施:安装其他 Jenkins 版本。 |
2021 A06、A08 2017 A8、A9 |
JOOMLA_RCE
此类别包含 Joomla 中的两个漏洞。此类型的多个发现结果可以表示多个漏洞。 |
Joomla 3.4.6 之前的 1.5.x、2.x 和 3.x 版本容易发生远程代码执行。可通过专门编写的包含序列化 PHP 对象的标头触发此漏洞。 补救措施:安装其他 Joomla 版本。 |
2021 A06、A08 2017 A8、A9 |
| Joomla 版本 3.0.0 到 3.4.6 很容易受到远程代码执行的影响。可通过发送包含专门编写的序列化 PHP 对象的 POST 请求触发此漏洞。 补救措施:安装其他 Joomla 版本。 |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
在 Apache Log4j2 2.14.1 及更早版本中,配置、日志消息和参数中使用的 JNDI 功能无法防范攻击者控制的 LDAP 和其他 JNDI 相关端点。如需了解详情,请参阅 CVE-2021-44228。 补救措施:如需了解补救信息,请参阅 Apache Log4j 安全漏洞。 |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
从 2.3.0 到 MantisBT,可以通过向 verify.php 提供空的 confirm_hash 值,实现任意密码重置和未经身份验证的管理员访问。
补救措施:将 MantisBT 更新到更高版本,或按照 Mantis 说明应用关键安全修复。 |
2021 A06 2017 A9 |
OGNL_RCE
|
Confluence Server 和 Confluence Data Center 实例存在 OGNL 注入漏洞,该漏洞允许未经身份验证的攻击者执行任意代码。如需了解详情,请参阅 CVE-2021-26084。 补救措施:如需了解补救信息,请参阅 Confluence Server Webwork OGNL 注入 - CVE-2021-26084。 |
2021 A03 2017 A1 |
OPENAM_RCE
|
OpenAM Server 14.6.2 及更早版本和 ForgeRock AM Server 6.5.3 及更早版本的 补救措施:升级到较新版本。如需了解 ForgeRock 补救措施,请参阅 AM 安全公告 #202104。 |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Oracle 融合中间件(组件:控制台)的特定版本的 Oracle WebLogic Server 产品存在漏洞,其中包括 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0 版本。这是一个容易被利用的漏洞,允许具有网络访问权限的未经身份验证的攻击者通过 HTTP 入侵 Oracle WebLogic Server。成功攻击此漏洞的可能导致 Oracle WebLogic Server 接管。如需了解详情,请参阅 CVE-2020-14882。 补救措施:如需了解补丁信息,请参阅 Oracle 关键补丁更新公告 - 2020 年 10 月。 |
2021 A06、A07 2017 A2、A9 |
PHPUNIT_RCE
|
5.6.3 之前的
PHPUnit 版本允许通过单个未经身份验证的 POST 请求远程执行代码。
补救措施:升级到更高 PHPUnit 版本。 |
2021:A05 2017:A6 |
PHP_CGI_RCE
|
PHP 5.3.12 之前的版本和 5.4.2 之前的 5.4.x 版本在配置为 CGI 脚本时允许远程代码执行。易受攻击的代码无法正确处理缺少 =(等号)字符的查询字符串。这可让攻击者添加在服务器上执行的命令行选项。补救措施:安装其他 PHP 版本。 |
2021 A05、A06 2017 A6、A9 |
PORTAL_RCE
|
7.2.1 CE GA2 之前Liferay 门户版本中,不受信任的数据的反序列化允许远程攻击者通过 JSON Web 服务执行任意代码。
补救措施:升级到更高 Liferay Portal 版本。 |
2021 A06、A08 2017 A8、A9 |
REDIS_RCE
|
如果 Redis 实例无需身份验证即可执行管理员命令,攻击者或许能够执行任意代码。 补救措施:将 Redis 配置为需要身份验证。 |
2021 A01、A05 2017 A5、A6 |
SOLR_FILE_EXPOSED
|
Apache Solr 是一个开源搜索服务器,未启用身份验证。当 Apache Solr 不需要身份验证时,攻击者可以直接编写请求来启用特定配置,并最终实现服务器端请求伪造 (SSRF) 或读取任意文件。 补救措施:升级到其他 Apache Solr 版本。 |
2021 A07、A10 2017 A2 |
SOLR_RCE
|
Apache Solr 5.0.0 版本到 Apache Solr 8.3.1 版本在 params.resource.loader.enabled 设置为 true 时由于 VelocityResponseWriter 容易发生远程代码执行。这样一来,攻击者就可以创建包含恶意 Velocity 模板的参数。
补救措施:升级到其他 Apache Solr 版本。 |
2021 A06 2017 A9 |
STRUTS_RCE
此类别包含 Apache Strut 中的三个漏洞。此类型的多个发现结果可以表示多个漏洞。 |
Apache Struts 2.3.32 之前的版本和 2.5.10.1 之前的 2.5.x 版本容易发生远程代码执行。未经身份验证的攻击者可通过提供专门编写的 Content-Type 标头触发此漏洞。 补救措施:安装其他 Apache Struts 版本。 |
2021 A06 2017 A9 |
| Apache Struts 2.1.1 版本到 2.3.34 之前的 2.3.x 版本和 2.5.13 之前的 2.5.x 版本中的 REST 插件在反序列化专门编写的 XML 载荷时容易发生远程代码执行。 补救措施:安装其他 Apache Struts 版本。 |
2021 A06、A08 2017 A8、A9 |
|
Apache Struts 2.3 至 2.3.34 及 2.5 至 2.5.16 版容易在 alwaysSelectFullNamespace 设为 true 及某些其他操作配置。
补救措施:安装 2.3.35 或 2.5.17 版。 |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Apache Tomcat 9.0.31 之前的版本、8.5.51 之前的 8.x、7.0.100 之前的 7.x 以及所有 6.x 都容易受到源代码的影响并通过公开的 Apache JServ 协议连接器进行披露。在某些情况下,如果允许上传文件,则使用此方法可执行远程代码执行。
补救措施:升级到其他 Apache Tomcat 版本。 |
2021 A06 2017 A3、A9 |
VBULLETIN_RCE
|
运行 5.0.0 至 5.5.4 版本的
vBulletin 服务器容易受到远程代码执行。未经过身份验证的攻击者可通过 routestring 请求中的查询参数来利用此漏洞。补救措施:升级到其他 VMware vCenter Server 版本。 |
2021 A03、A06 2017 A1、A9 |
VCENTER_RCE
|
VMware vCenter Server 7.0 U1c 之前的 7.x 版本、6.7 U3l 之前的 6.7 版本和 6.5 U3n 之前的 6.5 版本容易发生远程代码执行。攻击者可能会将此漏洞的恶意服务器服务器页面上传到可通过网络访问的目录,然后触发该文件的执行,从而触发此漏洞。
补救措施:升级到其他 VMware vCenter Server 版本。 |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Oracle 融合中间件(组件:控制台)的特定版本的 Oracle WebLogic Server 产品存在远程代码执行漏洞,其中包括 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0 版本。此漏洞与 CVE-2020-14750、CVE-2020-14882、CVE-2020-14883 相关。如需了解详情,请参阅 CVE-2020-14883。 补救措施:如需了解补丁信息,请参阅 Oracle 关键补丁更新公告 - 2020 年 10 月。 |
2021 A06、A07 2017 A2、A9 |
IAM Recommender 发现结果
下表列出了 IAM Recommender 生成的 Security Command Center 发现结果。
每个 IAM Recommender 发现结果都包含特定的建议,用于在 Google Cloud 环境中移除或替换主账号中包含过多权限的角色。
IAM Recommender 生成的发现结果与 Google Cloud 控制台中受影响项目、文件夹或组织的 IAM 页面上显示的建议相对应。
如需详细了解如何将 IAM Recommender 与 Security Command Center 集成,请参阅安全来源。
| 检测器 | 摘要 |
|---|---|
IAM role has excessive permissions
API 中的类别名称: |
发现结果说明:IAM Recommender 检测到一个服务账号,其包含会向用户账号授予过多权限的一个或多个 IAM 角色。 价格层级:付费方案 支持的素材资源:
修正此发现结果 : 使用 IAM Recommender 按照以下步骤应用此发现结果的推荐修正:
问题解决后,IAM Recommender 会在 24 小时内将发现结果状态更新为 |
Service agent role replaced with basic role
API 中的类别名称: |
发现结果说明:IAM Recommender 检测到授予服务代理的原始默认 IAM 角色被替换为基本 IAM 角色之一:Owner、Editor 或 Viewer。基本角色是权限过多的旧角色,不应授予服务代理。 价格层级:付费方案 支持的素材资源:
修正此发现结果 : 使用 IAM Recommender 按照以下步骤应用此发现结果的推荐修正:
问题解决后,IAM Recommender 会在 24 小时内将发现结果状态更新为 |
Service agent granted basic role
API 中的类别名称: |
发现结果说明:IAM Recommender 检测到为服务代理授予下列基本 IAM 角色之一的 IAM:Owner、Editor或 Viewer。基本角色是权限过多的旧角色,不应授予服务代理。 价格层级:付费方案 支持的素材资源:
修正此发现结果 : 使用 IAM Recommender 按照以下步骤应用此发现结果的推荐修正:
问题解决后,IAM Recommender 会在 24 小时内将发现结果状态更新为 |
Unused IAM role
API 中的类别名称: |
发现结果说明:IAM Recommender 检测到一个用户账号,其具有在过去 90 天内未使用过的 IAM 角色。 价格层级:付费方案 支持的素材资源:
修正此发现结果 : 使用 IAM Recommender 按照以下步骤应用此发现结果的推荐修正:
问题解决后,IAM Recommender 会在 24 小时内将发现结果状态更新为 |
Security Posture 服务发现结果
下表列出了 Security Posture 服务生成的 Security Command Center 发现结果。
每个安全状况服务发现结果都会识别与所定义安全状况的偏差实例。
| 发现结果 | 摘要 |
|---|---|
SHA Canned Module Drifted
API 中的类别名称: |
发现结果说明:安全状况服务检测到 Security Health Analytics 检测器在状态更新之外发生的更改。 价格层级:付费方案
修正此发现结果 : 此发现结果要求您接受更改或还原更改,以便您的折叠状态和环境中的检测器设置保持一致。您可以通过以下两种方式解决此发现结果:更新 Security Health Analytics 检测器,或更新安全状况部署。 如需还原更改,请在 Google Cloud 控制台中更新 Security Health Analytics 检测器。有关说明,请参阅启用和停用检测器。 如需接受更改,请完成以下步骤: |
SHA Custom Module Drifted
API 中的类别名称: |
发现结果说明:安全状况服务检测到 Security Health Analytics 自定义模块在安全状况更新之外发生的更改。 价格层级:付费方案 修正此发现结果 : 此发现结果要求您接受更改或还原更改,以使您的折叠状态和环境中的自定义模块设置保持一致。您可以通过以下两种方式解决此发现结果:更新 Security Health Analytics 自定义模块,也可以更新安全状况和安全状况部署。 如需还原更改,请在 Google Cloud 控制台中更新 Security Health Analytics 自定义模块。如需了解相关说明,请参阅更新自定义模块。 如需接受更改,请完成以下步骤: |
SHA Custom Module Deleted
API 中的类别名称: |
发现结果说明:安全状况服务检测到 Security Health Analytics 自定义模块已被删除。此删除发生在安全状况更新之外。 价格层级:付费方案 修正此发现结果 : 此发现结果要求您接受更改或还原更改,以使您的折叠状态和环境中的自定义模块设置保持一致。您可以通过以下两种方式解决此发现结果:更新 Security Health Analytics 自定义模块,也可以更新安全状况和安全状况部署。 如需还原更改,请在 Google Cloud 控制台中更新 Security Health Analytics 自定义模块。如需了解相关说明,请参阅更新自定义模块。 如需接受更改,请完成以下步骤: |
Org Policy Canned Constraint Drifted
API 中的类别名称: |
发现结果说明: 安全状况服务检测到组织政策在状态更新之外发生的更改。 价格层级:付费方案 修正此发现结果 : 此发现结果要求您接受更改或还原更改,以使您的安全状况和环境中的组织政策定义保持一致。您可以通过两种方式解决此发现结果:更新组织政策或更新安全状况部署。 如需还原更改,请在 Google Cloud 控制台中更新组织政策。有关说明,请参阅创建和修改政策。 如需接受更改,请完成以下步骤: |
Org Policy Canned Constraint Deleted
API 中的类别名称: |
发现结果说明:安全状况服务检测到一项组织政策已被删除。此删除发生在安全状况更新之外。 价格层级:付费方案 修正此发现结果 : 此发现结果要求您接受更改或还原更改,以使您的安全状况和环境中的组织政策定义保持一致。您可以通过两种方式解决此发现结果:更新组织政策或更新安全状况部署。 如需还原更改,请在 Google Cloud 控制台中更新组织政策。有关说明,请参阅创建和修改政策。 如需接受更改,请完成以下步骤: |
Org Policy Custom Constraint Drifted
API 中的类别名称: |
发现结果说明:安全状况服务检测到在安全状况更新之外发生的自定义组织政策更改。 价格层级:付费方案 修正此发现结果 : 此发现结果要求您接受更改或还原更改,以使您的安全状况和环境中的自定义组织政策定义保持一致。您可以通过以下两种方式解决此发现结果:更新自定义组织政策,或者更新安全状况和状况部署。 如需还原更改,请在 Google Cloud 控制台中更新自定义组织政策。如需了解相关说明,请参阅更新自定义限制条件。 如需接受更改,请完成以下步骤: |
Org Policy Custom Constraint Deleted
API 中的类别名称: |
发现结果说明:安全状况服务检测到自定义组织政策已被删除。此删除发生在安全状况更新之外。 价格层级:付费方案 修正此发现结果 : 此发现结果要求您接受更改或还原更改,以使您的安全状况和环境中的自定义组织政策定义保持一致。您可以通过以下两种方式解决此发现结果:更新自定义组织政策,或者更新安全状况和状况部署。 如需还原更改,请在 Google Cloud 控制台中更新自定义组织政策。如需了解相关说明,请参阅更新自定义限制条件。 如需接受更改,请完成以下步骤: |
虚拟机管理器
虚拟机管理器是一套工具,可用于管理在 Compute Engine 上运行 Windows 和 Linux 的大型虚拟机舰队的操作系统。
如果您在组织级层中使用 Security Command Center 付费方案启用虚拟机管理器,则虚拟机管理器会将其漏洞报告(预览版)的发现结果写入 Security Command Center。这些报告可识别虚拟机上安装的操作系统中的漏洞,包括常见漏洞和披露 (CVE)。
如需将虚拟机管理器与 Security Command Center 付费方案的项目级激活搭配使用,请在父级组织中激活 Security Command Center 标准方案。
Security Command Center 标准方案不提供漏洞报告。
发现结果可以简化使用虚拟机管理器的补丁程序合规性功能(预览版)的过程。借助此功能,您可以在组织级别对所有项目进行补丁管理。
从虚拟机管理器收到的漏洞发现结果严重级别始终为 CRITICAL 或 HIGH。
虚拟机管理器发现结果
此类漏洞均与受支持的 Compute Engine 虚拟机中已安装的操作系统软件包相关。
| 检测器 | 摘要 | 资源扫描设置 | 合规性标准 |
|---|---|---|---|
OS vulnerability
API 中的类别名称: |
发现说明:VM 管理器在 Compute Engine 虚拟机的安装操作系统 (OS) 软件包中检测到漏洞。 价格层级:付费方案 |
虚拟机管理器漏洞报告详细介绍 Compute Engine 虚拟机已安装的操作系统软件包中的漏洞,包括常见漏洞和披露 (CVE)。 如需查看受支持操作系统的完整列表,请参阅操作系统详细信息。发现漏洞后,系统会立即在 Security Command Center 中显示发现结果。系统会按以下方式在虚拟机管理器中生成漏洞报告:
|
修复虚拟机管理器发现结果
OS_VULNERABILITY 发现结果表示 VM 管理器在 Compute Engine 虚拟机中安装的操作系统软件包中发现了漏洞。
如需修复此发现结果,请执行以下操作:
转至 Security Command Center 中的发现结果页面。
如有必要,请选择您的 Google Cloud 项目或组织。
在快速过滤条件的类别子部分中,选择操作系统漏洞。发现结果的查询结果会经过过滤,以仅显示操作系统漏洞发现结果。
在发现结果的查询结果列表的类别列中,点击要修复的发现结果的类别名称。操作系统漏洞的详情页面随即打开。
点击 JSON 标签页。系统会显示此发现结果的 JSON。
复制
externalUri字段的值。此值是安装了有漏洞的操作系统的 Compute Engine 虚拟机实例的操作系统信息页面的 URI。应用基本信息部分中显示的操作系统的所有相应补丁程序。如需了解如何部署补丁,请参阅创建修补作业。
了解此发现结果类型支持的资产和扫描设置。
在 Google Cloud 控制台中查看发现结果
请按照以下过程在 Google Cloud 控制台中查看发现结果:
转到 Google Cloud 控制台中的 Security Command Center 发现结果页面。
如有必要,请选择您的 Google Cloud 项目或组织。
在快速过滤条件部分的来源显示名称子部分中,选择 虚拟机管理器。
该表会填充虚拟机管理器发现结果。
如需查看特定发现结果的详细信息,请点击
Category下的发现结果名称。系统会打开发现结果的详细信息面板,并显示摘要标签页。在摘要标签页上,查看有关发现结果的信息,包括有关检测到的内容、受影响的资源等的信息。
如需了解如何修复虚拟机管理器发现结果,请参阅修复虚拟机管理器发现结果。
忽略虚拟机管理器发现结果
如果发现 Security Command Center 中的部分或全部虚拟机管理器发现结果与您的安全要求无关,您可能希望隐藏这些发现结果。
您可以隐藏虚拟机管理器发现结果,方法是创建忽略规则并添加特定于要隐藏的虚拟机管理器发现结果的查询属性。
如需使用 Google Cloud 控制台为虚拟机管理器创建忽略规则,请执行以下操作:
在 Google Cloud 控制台中,转到 Security Command Center 发现结果页面。
如有必要,请选择您的 Google Cloud 项目或组织。
点击忽略选项,然后选择创建忽略规则。
输入忽略规则 ID。必须提供此值。
输入忽略规则说明,其提供为何忽略发现结果的上下文。该值是可选的,但我们建议您使用。
通过检查父级资源值确认忽略规则的范围。
在发现结果查询字段中,点击添加过滤条件以构建查询语句。或者,您也可以手动输入查询语句。
- 在选择过滤条件对话框中,依次选择查找 > 来源显示名称 > 虚拟机管理器。
- 点击应用。
重复上述步骤,直到忽略查询包含您要隐藏的所有属性。
例如,如果您要隐藏虚拟机管理器漏洞发现结果中的特定 CVE ID,请依次选择漏洞 > CVE ID,然后选择要隐藏的 CVE ID。
发现结果查询与以下内容类似:
点击预览匹配的发现结果。
表会显示与您的查询匹配的发现结果。
点击保存。
Sensitive Data Protection
本部分介绍敏感数据保护生成的漏洞发现结果、它们支持的合规性标准以及如何修复发现结果。
敏感数据保护还会将观察结果发送到 Security Command Center。如需详细了解观察结果和敏感数据保护,请参阅敏感数据保护。
如需了解如何查看发现结果,请参阅在 Google Cloud 控制台中查看敏感数据保护发现结果。
敏感数据保护发现服务可帮助您确定 Cloud Functions 函数环境变量是否包含 Secret,例如密码、身份验证令牌和 Google Cloud 凭据。如需查看敏感数据在此功能中检测到的 Secret 类型的完整列表,请参阅凭据和 Secret。
| 发现结果类型 | 发现结果说明 | 合规性标准 |
|---|---|---|
Secrets in environment variablesAPI 中的类别名称: SECRETS_IN_ENVIRONMENT_VARIABLES
|
此检测器会检查 Cloud Functions 环境变量中的 Secret。 修复 :从环境变量中移除 Secret 并将其存储在 Secret Manager 中。 |
CIS GCP Foundation 1.3:1.18 CIS GCP Foundation 2.0:1.18 |
如需启用此检测器,请参阅敏感数据保护文档中的向 Security Command Center 报告环境变量中的 Secret。
Policy Controller
Policy Controller 支持为注册为舰队成员的 Kubernetes 集群应用并强制执行可编程政策。这些政策充当安全措施,有助于实现集群和舰队的最佳实践、安全性和合规性管理。
本页面不会列出所有 Policy Controller 发现结果,但 Policy Controller 写入 Security Command Center 的 Misconfiguration 类发现结果的相关信息与针对每个 Policy Controller 软件包记录的集群违规行为的信息相同。各个 Policy Controller 发现结果类型的文档位于以下政策控制器包中:
- CIS Kubernetes 基准 v1.5.1:一组用于配置 Kubernetes 以支持可靠的安全状况的建议。您还可以在
cis-k8s-v1.5.1的 GitHub 代码库中查看有关此包的信息。 - PCI-DSS v3.2.1:根据支付卡行业数据安全标准 (PCI-DSS) v3.2.1 的某些方面评估集群资源合规性的一个包。您还可以在
pci-dss-v3的 GitHub 代码库中查看有关此包的信息。
此功能与 Stackdriver API 周围的 VPC Service Controls 服务边界不兼容。
查找并修复 Policy Controller 发现结果
Policy Controller 类别对应于 Policy Controller 包文档中列出的限制条件名称。例如,require-namespace-network-policies 发现结果表明命名空间违反了集群中的每个命名空间都具有 NetworkPolicy 的政策。
如需修复发现结果,请执行以下操作:
转至 Security Command Center 中的发现结果页面。
如有必要,请选择您的 Google Cloud 项目或组织。
在快速过滤条件的类别子部分中,选择要修复的 Policy Controller 发现结果的名称。过滤后的发现结果的查询结果仅显示该类别的发现结果。
在发现结果的查询结果列表的类别列中,点击要修复的发现结果的类别名称。此时会打开发现结果详情页面。
在摘要标签页上,查看有关发现结果的信息,包括有关检测到的内容、受影响的资源等的信息。
在后续步骤标题中,查看有关如何修复发现结果的信息,包括关于该问题的 Kubernetes 文档的链接。
后续步骤
- 了解如何使用 Security Health Analytics。
- 了解如何使用 Web Security Scanner。
- 了解如何使用快速漏洞检测。
- 阅读有关修复 Security Health Analytics 发现结果和修复 Web Security Scanner 发现结果的建议。