Diese Seite wurde von der Cloud Translation API übersetzt.

Sicherheitsquellen

Diese Seite enthält eine Liste der Sicherheitsquellen von Google Cloud, die in Security Command Center verfügbar sind. Wenn Sie eine Sicherheitsquelle aktivieren, werden Daten zu Sicherheitslücken und Bedrohungen im Security Command Center-Dashboard bereitgestellt.

Mit Security Command Center können Sie Sicherheitslücken und Bedrohungsergebnisse auf viele verschiedene Arten einsehen und filtern, z. B. nach einem bestimmten Ergebnistyp, Ressourcentyp oder Asset. Jede Sicherheitsquelle kann weitere Filter enthalten, mit denen Sie die Ergebnisse Ihrer Organisation organisieren können.

Security Command Center-Rollen werden auf Organisations-, Ordner- oder Projektebene zugewiesen. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Sie Zugriff haben. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Sicherheitslücken

Die Sicherheitslücken-Detektoren können Ihnen dabei helfen, mögliche Schwachstellen in Ihren Google Cloud-Ressourcen zu finden.

Rapid Vulnerability Detection

Bei der schnellen Sicherheitslückenerkennung werden verwaltete Scans ausgeführt, die sogenannte N-Day-Sicherheitslücken, bekannt als Exploits, die einen willkürlichen Datenzugriff und die Remote-Codeausführung ermöglichen, wie schwache Anmeldedaten, unvollständige Softwareinstallationen und preisgegebene Administrator-Benutzeroberflächen, erkennen.

Eine vollständige Liste der Sicherheitslücken, die von der Rapid Vulnerability Detection erkannt werden, finden Sie unter Ergebnisse der schnellen Sicherheitslückenerkennung und Abhilfemaßnahmen.

Security Health Analytics – Sicherheitslücken

Das von Security Health Analytics verwaltete Scannen der Sicherheitslückenbewertung für Google Cloud kann häufige Sicherheitslücken und Fehlkonfigurationen automatisch erkennen:

Cloud Monitoring und Cloud Logging
Compute Engine
Google Kubernetes Engine-Container und -Netzwerke
Cloud Storage
Cloud SQL
Identitäts- und Zugriffsverwaltung
Cloud Key Management Service (Cloud KMS)
Cloud DNS

Security Health Analytics wird automatisch aktiviert, wenn Sie die Standard- oder Premium-Stufe von Security Command Center auswählen. Detektoren von Security Health Analytics überwachen einen Teil der Ressourcen aus Cloud Asset Inventory (CAI) und verwenden dabei die folgenden drei Scanmodi, um zu Sicherheitslücken erkennen:

Batch-Scan: Die Ausführung aller Detektoren wird für alle registrierten Organisationen zweimal oder häufiger geplant. Detektoren werden nach unterschiedlichen Zeitplänen ausgeführt, um bestimmte Service Level Objectives (SLO) zu erreichen. Zur Einhaltung von 12- und 24-Stunden-SLOs führen Detektoren alle sechs Stunden oder zwölf Stunden Batch-Scans aus. Änderungen an Ressourcen und Richtlinien, die zwischen Batch-Scans auftreten, werden nicht sofort erfasst und werden beim nächsten Batch-Scan angewendet. Hinweis: Batch-Scan-Zeitpläne sind Leistungsziele und keine Dienstgarantien.
Echtzeit-Scan: Unterstützte Detektoren starten Scans, wenn CAI eine Änderung in der Konfiguration eines Assets meldet. Die Ergebnisse werden sofort in Security Command Center geschrieben.
Gemischter Modus: Einige Detektoren, die Echtzeit-Scans unterstützen, erkennen möglicherweise Änderungen nicht in allen unterstützten Assets in Echtzeit. In diesen Fällen werden die Konfigurationsänderungen für einige Assets sofort und andere in Batch-Scans erfasst.

Eine vollständige Liste der Detektoren und Ergebnisse der Security Health Analytics finden Sie auf der Seite Ergebnisse der Security Health Analytics oder maximieren Sie den folgenden Abschnitt.

Security Health Analytics – Detektoren

In diesem Abschnitt werden die Detektortypen, unterstützten Assets, Compliance-Standards und spezifischen Typen von Sicherheitslückenergebnissen beschrieben, die Security Health Analytics generieren kann. Sie können Ergebnisse in der Google Cloud Console auf dem Tab Sicherheitslücken des Security Command Centers nach Detektornamen und Ergebnistyp filtern. Folgende Kategorien sind verfügbar:

Ergebnisse zu Sicherheitslücken bei API-Schlüsseln
Ergebnisse zu Sicherheitslücken bei Compute Image
Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
Ergebnisse zu Container-Sicherheitslücken
Ergebnisse zu Dataproc-Sicherheitslücken
Ergebnisse zu Dataset-Sicherheitslücken
Ergebnisse zu DNS-Sicherheitslücken
Ergebnisse zu Firewall-Sicherheitslücken
Ergebnisse zu IAM-Sicherheitslücken
Ergebnisse zu KMS-Sicherheitslücken
Ergebnisse zu Logging-Sicherheitslücken
Ergebnisse zu Monitoring-Sicherheitslücken
Ergebnisse zu Sicherheitslücken bei der Multi-Faktor-Authentifizierung
Ergebnisse zu Netzwerksicherheitslücken
Ergebnisse zu Sicherheitslücken bei Organisationsrichtlinien
Ergebnisse zu Pub/Sub-Sicherheitslücken
Ergebnisse zu SQL-Sicherheitslücken
Ergebnisse zu Speichersicherheitslücken
Ergebnisse zu Subnetzwerk-Sicherheitslücken

Detektoren und Compliance

In diesem Abschnitt werden die Zuordnung zwischen unterstützten Detektoren und die Best-Effort-Zuordnung zu relevanten Compliance-Standards beschrieben.

CIS-Benchmarks

Security Command Center unterstützt folgende Versionen der CIS-Benchmarks für die Google Cloud Platform Foundation:

CIS Google Cloud Computing Foundations Benchmark v1.2.0 (CIS Google Cloud Foundation 1.2)
CIS Google Cloud Computing Foundations Benchmark v1.1.0 (CIS Google Cloud Foundation 1.1)
CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0)

Die CIS Google Cloud Foundation 1.2, 1.1 und 1.0-Zuordnungen wurden vom Center for Internet Security auf die Übereinstimmung mit den CIS Google Cloud Computing Foundations Benchmarks v1.2.0, v1.1.0 und v1.0.0 geprüft und zertifiziert.

Obwohl CIS 1.0 und CIS 1.1 weiterhin unterstützt werden, werden diese Versionen irgendwann verworfen werden. Wir empfehlen, die neueste Benchmark, CIS 1.2, zu verwenden oder zu auf diese zu aktualisieren.

Einige Detektoren werden der CIS Google Kubernetes Engine-Benchmark (GKE) v1.0.0 (CIS GKE 1.0) zugeordnet. Die Unterstützung für diese Benchmark ist begrenzt und sollte nicht als Grundlage für Audits oder die Berichterstellung zur Compliance verwendet werden.

Zusätzliche Standards

Zusätzliche Compliance-Zuordnungen sind zu Referenzzwecken enthalten und werden nicht vom Payment Card Industry Data Security Standard oder der OWASP Foundation bereitgestellt oder geprüft. Siehe Payment Card Industry Data Security Standard 3.2.1 (PCI-DSS v3.2.1), OWASP-Top-Ten, National Institute of Standards and Technology 800-53 (NIST 800-53) und Internationale Organisation for Standardisierung 27001 (ISO 27001) zur manuellen Prüfung auf diese Verstöße.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienstleistungen gemäß allen regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Ergebnisse zu Sicherheitslücken beim API-Schlüssel

Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.

**Tabelle 1.** API-Schlüssel-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`API key APIs unrestricted` Kategoriename in der API: `API_KEY_APIS_UNRESTRICTED`	Ergebnisbeschreibung: API-Schlüssel werden zu häufig verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Ruft das Attribut `restrictions` aller API-Schlüssel in einem Projekt ab und prüft, ob einer auf `cloudapis.googleapis.com` festgelegt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 1.12 CIS GCP Foundation 1.1: 1.14 CIS GCP Foundation 1.2: 1.14
`API key apps unrestricted` Kategoriename in der API: `API_KEY_APPS_UNRESTRICTED`	Ergebnisbeschreibung: API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Ruft des Attribut `restrictions` aller API-Schlüssel in einem Projekt ab und prüft, ob `browserKeyRestrictions`, `serverKeyRestrictions`, `androidKeyRestrictions` oder `iosKeyRestrictions` festgelegt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 1.11 CIS GCP Foundation 1.1: 1.13 CIS GCP Foundation 1.2: 1.13
`API key exists` Kategoriename in der API: `API_KEY_EXISTS`	Ergebnisbeschreibung: Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Ruft alle API-Schlüssel ab, die zu einem Projekt gehören. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 1.10 CIS GCP Foundation 1.1: 1.12 CIS GCP Foundation 1.2: 1.12
`API key not rotated` Kategoriename in der API: `API_KEY_NOT_ROTATED`	Ergebnisbeschreibung: Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Ruft den im Attribut `createTime` aller API-Schlüssel enthaltenen Zeitstempel ab und prüft, ob 90 Tage vergangen sind. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 1.13 CIS GCP Foundation 1.1: 1.15 CIS GCP Foundation 1.2: 1.15

Ergebnisse zu Sicherheitslücken bei Compute-Images

Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.

**Tabelle 2.** Compute-Image-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Public Compute image` Kategoriename in der API: `PUBLIC_COMPUTE_IMAGE`	Ergebnisbeschreibung: Ein Compute Engine-Image ist öffentlich zugänglich. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Image Dieses Ergebnis korrigieren	Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten `allUsers` oder `allAuthenticatedUsers`, die öffentlichen Zugang gewähren. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja

Ergebnisse zu Sicherheitslücken bei Compute-Instanzen

Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.

COMPUTE_INSTANCE_SCANNER-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Der Name solcher Instanzen beginnt mit "gke-" und kann von Nutzern nicht bearbeitet werden. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.

**Tabelle 3.** Compute-Instanz-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Confidential Computing disabled` Kategoriename in der API: `CONFIDENTIAL_COMPUTING_DISABLED`	Ergebnisbeschreibung: Confidential Computing ist auf Compute Engine-Instanzen deaktiviert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `confidentialInstanceConfig` der Instanzmetadaten für das Schlüssel/Wert-Paar `"enableConfidentialCompute":true`. Von Scans ausgeschlossene Assets: GKE-Instanzen, serverloser VPC-Zugriff, Compute Engine-Instanzen, die nicht vom Typ N2D sind. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 4.11
`Compute project wide SSH keys allowed` Kategoriename in der API: `COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Ergebnisbeschreibung: Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Objekt `metadata.items[]` in den Instanzmetadaten auf das Schlüssel/Wert-Paar `"key": "block-project-ssh-keys", "value": TRUE`. Von Scans ausgeschlossene Assets: GKE-Instanzen, Dataflow-Job, Windows-Instanz Zusätzliche IAM-Berechtigungen: `roles/compute.Viewer` Zusätzliche Eingaben: Liest Metadaten aus Compute Engine Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Nein	CIS GCP Foundation 1.0: 4.2 CIS GCP Foundation 1.1: 4.3 CIS GCP Foundation 1.2: 4.3
`Compute Secure Boot disabled` Kategoriename in der API: `COMPUTE_SECURE_BOOT_DISABLED`	Ergebnisbeschreibung: Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `shieldedInstanceConfig` auf Compute Engine-Instanzen, um festzustellen, ob `enableIntegrityMonitoring`, `enableSecureBoot` und `enableVtpm` auf `true` gesetzt sind. Die Felder geben an, ob angehängte Laufwerke mit Secure Boot kompatibel sind und ob Shielded VM aktiviert ist. Von Scans ausgeschlossene Assets: GKE-Instanzen, Compute Engine-Laufwerke mit GPU-Beschleunigern und ohne Container-Optimized OS, serverloser VPC-Zugriff Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja
`Compute serial ports enabled` Kategoriename in der API: `COMPUTE_SERIAL_PORTS_ENABLED`	Ergebnisbeschreibung: Serielle Ports sind für eine Instanz aktiviert und ermöglichen Verbindungen zur seriellen Konsole der Instanz. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Objekt `metadata.items[]` in den Instanzmetadaten auf das Schlüssel/Wert-Paar `"key": "serial-port-enable", "value": TRUE`. Von Scans ausgeschlossene Assets: GKE-Instanzen Zusätzliche IAM-Berechtigungen: `roles/compute.Viewer` Zusätzliche Eingaben: Liest Metadaten aus Compute Engine Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Nein	CIS GCP Foundation 1.0: 4.4 CIS GCP Foundation 1.1: 4.5 CIS GCP Foundation 1.2: 4.5
`Default service account used` Kategoriename in der API: `DEFAULT_SERVICE_ACCOUNT_USED`	Ergebnisbeschreibung: Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `serviceAccounts` in den Instanzmetadaten auf E-Mail-Adressen von Dienstkonten mit dem Präfix `PROJECT_NUMBER-compute@developer.gserviceaccount.com`, die auf das von Google erstellte Standarddienstkonto hinweisen. Von Scans ausgeschlossene Assets: GKE-Instanzen, Dataflow-Jobs Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 4.1 CIS GCP Foundation 1.2: 4.1
`Disk CMEK disabled` Kategoriename in der API: `DISK_CMEK_DISABLED`	Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Disk Dieses Ergebnis korrigieren	Prüft das Feld `kmsKeyName` im Objekt `diskEncryptionKey` in den Metadaten des Laufwerks für den Ressourcennamen Ihres CMEK. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja
`Disk CSEK disabled` Kategoriename in der API: `DISK_CSEK_DISABLED`	Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Sonderfalldetektor. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Disk Dieses Ergebnis korrigieren	Prüft das Feld `kmsKeyName` im Objekt `diskEncryptionKey` auf den Ressourcennamen Ihres CSEK. Von Scans ausgeschlossene Assets: Compute Engine-Laufwerke, deren Sicherheitsmarkierung enforce_customer_supplied_disk_encryption_keys nicht auf `true` gesetzt ist. Zusätzliche IAM-Berechtigungen: `roles/compute.Viewer` Zusätzliche Eingaben: Liest Metadaten aus Compute Engine Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 4.6 CIS GCP Foundation 1.1: 4.7 CIS GCP Foundation 1.2: 4.7
`Full API access` Kategoriename in der API: `FULL_API_ACCESS`	Ergebnisbeschreibung: Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Dieses Ergebnis korrigieren	Ruft das Feld `scopes` im Attribut `serviceAccounts` ab, um zu prüfen, ob ein Standarddienstkonto verwendet wird und ob ihm der Bereich `cloud-platform` zugewiesen ist. Von Scans ausgeschlossene Assets: GKE-Instanzen, Dataflow-Jobs Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 4.1 CIS GCP Foundation 1.1: 4.2 CIS GCP Foundation 1.2: 4.2 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`HTTP load balancer` Kategoriename in der API: `HTTP_LOAD_BALANCER`	Ergebnisbeschreibung: Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/TargetHttpProxy Dieses Ergebnis korrigieren	Bestimmt, ob das Attribut `selfLink` der Ressource `targetHttpProxy` mit dem Attribut `target` in der Weiterleitungsregel übereinstimmt und ob die Weiterleitungsregel ein Feld `loadBalancingScheme` enthält, das auf `External` festgelegt ist. Zusätzliche IAM-Berechtigungen: `roles/compute.Viewer` Zusätzliche Eingaben: Liest Weiterleitungsregeln für einen HTTP-Ziel-Proxy aus Compute Engine und prüft auf externe Regeln Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 2.3
`IP forwarding enabled` Kategoriename in der API: `IP_FORWARDING_ENABLED`	Ergebnisbeschreibung: Die IP-Weiterleitung ist für Instanzen aktiviert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das Attribut `canIpForward` der Instanz auf `true` gesetzt ist. Von Scans ausgeschlossene Assets: GKE-Instanzen, serverloser VPC-Zugriff Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 4.5 CIS GCP Foundation 1.1: 4.6 CIS GCP Foundation 1.2: 4.6
`OS login disabled` Kategoriename in der API: `OS_LOGIN_DISABLED`	Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft das Objekt `commonInstanceMetadata.items[]` in den Projektmetadaten auf das Schlüssel/Wert-Paar `"key"`: `"enable-oslogin"`, `"value"`: `TRUE`. Der Detektor prüft außerdem alle Instanzen in einem Compute Engine-Projekt, um festzustellen, ob OS Login für einzelne Instanzen deaktiviert ist. Von Scans ausgeschlossene Assets: GKE-Instanzen Zusätzliche IAM-Berechtigungen: `roles/compute.Viewer` Zusätzliche Eingaben: Liest Metadaten aus Compute Engine. Außerdem prüft der Detektor die Compute Engine-Instanzen im Projekt. Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Nein	CIS GCP Foundation 1.0: 4.3 CIS GCP Foundation 1.1: 4.4 CIS GCP Foundation 1.2: 4.4
`Public IP address` Kategoriename in der API: `PUBLIC_IP_ADDRESS`	Ergebnisbeschreibung: Eine Instanz hat eine öffentliche IP-Adresse. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das Attribut `networkInterfaces` ein Feld `accessConfigs` enthält, das für die Verwendung einer öffentlichen IP-Adresse konfiguriert ist. Von Scans ausgeschlossene Assets: GKE-Instanzen Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 4.9 CIS GCP Foundation 1.2: 4.9 PCI-DSS v3.2.1: 1.2.1, 1.3.5 NIST 800-53: CA-3, SC-7
`Shielded VM disabled` Kategoriename in der API: `SHIELDED_VM_DISABLED`	Ergebnisbeschreibung: Auf dieser Instanz ist Shielded VM deaktiviert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `shieldedInstanceConfig` in Compute Engine-Instanzen, um festzustellen, ob die Felder `enableIntegrityMonitoring`, `enableSecureBoot` und `enableVtpm` auf `true` gesetzt sind. Die Felder geben an, ob angehängte Laufwerke mit Secure Boot kompatibel sind und ob Shielded VM aktiviert ist. Von Scans ausgeschlossene Assets: GKE-Instanzen, Compute Engine-Laufwerke mit GPU-Beschleunigern und ohne Container-Optimized OS, serverloser VPC-Zugriff Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 4.8 CIS GCP Foundation 1.2: 4.8
`Weak SSL policy` Kategoriename in der API: `WEAK_SSL_POLICY`	Ergebnisbeschreibung: Eine Instanz hat eine schwache SSL-Richtlinie. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/TargetHttpsProxy compute.googleapis.com/TargetSslProxy Dieses Ergebnis korrigieren	Prüft, ob `sslPolicy` in den Asset-Metadaten leer ist und ob für die angehängte Ressource `sslPolicies` der Wert `profile` auf `Restricted` oder `Modern` gesetzt ist, `minTlsVersion` auf `TLS 1.2` gesetzt ist und `customFeatures` leer ist oder nicht die folgenden Chiffren enthält: `TLS_RSA_WITH_AES_128_GCM_SHA256`, `TLS_RSA_WITH_AES_256_GCM_SHA384`, `TLS_RSA_WITH_AES_128_CBC_SHA`, `TLS_RSA_WITH_AES_256_CBC_SHA`, `TLS_RSA_WITH_3DES_EDE_CBC_SHA`. Zusätzliche IAM-Berechtigungen: `roles/compute.Viewer` Zusätzliche Eingaben: Liest SSL-Richtlinien für den Speicher von Zielproxys und prüft auf schwache Richtlinien Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja, aber nur wenn der TargetHttpsProxy des TargetSslProxy aktualisiert wird, nicht wenn die SSL-Richtlinie aktualisiert wird	CIS GCP Foundation 1.1: 3.9 CIS GCP Foundation 1.2: 3.9 PCI-DSS v3.2.1: 4.1 NIST 800-53: SC-7 ISO-27001: A.14.1.3

Ergebnisse zu Container-Sicherheitslücken

Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.

**Tabelle 4.** Container-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Alpha cluster enabled` Kategoriename in der API: `ALPHA_CLUSTER_ENABLED`	Ergebnisbeschreibung: Alphacluster-Features sind für einen GKE-Cluster aktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Überprüft, ob das Attribut `enableKubernetesAlpha` eines Clusters auf `true` festgelegt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GKE 1.0: 6.10.2
`Auto repair disabled` Kategoriename in der API: `AUTO_REPAIR_DISABLED`	Ergebnisbeschreibung: Das automatische Reparaturfeature eines GKE-Clusters, das Knoten in einem fehlerfreien, laufenden Zustand hält, ist deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `management` eines Knotenpools auf das Schlüssel/Wert-Paar `"key":`, `"autoRepair"`, `"value":` `true`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.7 CIS GKE 1.0: 6.5.2 PCI-DSS v3.2.1: 2.2
`Auto upgrade disabled` Kategoriename in der API: `AUTO_UPGRADE_DISABLED`	Ergebnisbeschreibung: Das Feature für automatische Upgrades eines GKE-Clusters, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `management` eines Knotenpools auf das Schlüssel/Wert-Paar `"key":`, `"autoUpgrade"`, `"value":` `true`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.8 CIS GKE 1.0: 6.5.3 PCI-DSS v3.2.1: 2.2
`Binary authorization disabled` Kategoriename in der API: `BINARY_AUTHORIZATION_DISABLED`	Ergebnisbeschreibung: Binärautorisierung ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft, ob das Attribut `binaryAuthorization` das Schlüssel/Wert-Paar `"enabled": true` und `defaultAdmissionRule` das Schlüssel/Wert-Paar `evaluationMode: ALWAYS_ALLOW` enthält. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GKE 1.0: 6.10.5
`Cluster logging disabled` Kategoriename in der API: `CLUSTER_LOGGING_DISABLED`	Ergebnisbeschreibung: Logging ist für einen GKE-Cluster nicht aktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft, ob das Attribut `loggingService` eines Clusters den Speicherort enthält, den Cloud Logging zum Schreiben von Logs verwenden soll. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.2.2, 10.2.7
`Cluster monitoring disabled` Kategoriename in der API: `CLUSTER_MONITORING_DISABLED`	Ergebnisbeschreibung: Monitoring ist in GKE-Clustern deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft, ob das Attribut `monitoringService` eines Clusters den Speicherort enthält, den Cloud Monitoring zum Schreiben von Messwerten verwenden soll. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.2 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.1, 10.2
`Cluster private Google access disabled` Kategoriename in der API: `CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Ergebnisbeschreibung: Clusterhosts sind nicht so konfiguriert, dass nur private interne IP-Adressen für den Zugriff auf Google APIs verwendet werden. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft, ob das Attribut `privateIpGoogleAccess` eines Subnetzwerks auf `false` gesetzt ist. Zusätzliche Eingaben: Liest Subnetzwerke aus dem Speicher und sendet Ergebnisse nur für Cluster mit Subnetzwerken Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja, aber nur wenn der Cluster aktualisiert wird; nicht für Updates des Subnetzwerks.	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3
`Cluster secrets encryption disabled` Kategoriename in der API: `CLUSTER_SECRETS_ENCRYPTION_DISABLED`	Ergebnisbeschreibung: Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `keyName` des Objekts `databaseEncryption` auf das Schlüssel/Wert-Paar `"state": ENCRYPTED`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GKE 1.0: 6.3.1
`Cluster shielded nodes disabled` Kategoriename in der API: `CLUSTER_SHIELDED_NODES_DISABLED`	Ergebnisbeschreibung: Shielded GKE-Knoten sind für einen Cluster nicht aktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `shieldedNodes` auf das Schlüssel/Wert-Paar `"enabled": true`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GKE 1.0: 6.5.5
`COS not used` Kategoriename in der API: `COS_NOT_USED`	Ergebnisbeschreibung: Compute Engine-VMs nutzen nicht Container-Optimzed OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `config` eines Knotenpools auf das Schlüssel/Wert-Paar `"imageType":` `"COS"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.9 CIS GKE 1.0: 6.5.1 PCI-DSS v3.2.1: 2.2
`Integrity monitoring disabled` Kategoriename in der API: `INTEGRITY_MONITORING_DISABLED`	Ergebnisbeschreibung: Integritätsmonitoring ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `shieldedInstanceConfig` des Objekts `nodeConfig` auf das Schlüssel/Wert-Paar `"enableIntegrityMonitoring": true`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GKE 1.0: 6.5.6
`Intranode visibility disabled` Kategoriename in der API: `INTRANODE_VISIBILITY_DISABLED`	Ergebnisbeschreibung: Die knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `networkConfig` auf das Schlüssel/Wert-Paar `"enableIntraNodeVisibility": true`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GKE 1.0: 6.6.1
`IP alias disabled` Kategoriename in der API: `IP_ALIAS_DISABLED`	Ergebnisbeschreibung: Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft, ob das Feld `useIPAliases` von `ipAllocationPolicy` in einem Cluster auf `false` gesetzt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.2 PCI-DSS v3.2.1: 1.3.4, 1.3.7
`Legacy authorization enabled` Kategoriename in der API: `LEGACY_AUTHORIZATION_ENABLED`	Ergebnisbeschreibung: Die Legacy-Autorisierung ist in GKE-Clustern aktiviert. Preisstufe: Premium oder Standard Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `legacyAbac` eines Clusters auf das Schlüssel/Wert-Paar `"enabled"`: `true`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.3 CIS GKE 1.0: 6.8.3 PCI-DSS v3.2.1: 4.1
`Legacy metadata enabled` Kategoriename in der API: `LEGACY_METADATA_ENABLED`	Ergebnisbeschreibung: Legacy-Metadaten sind für GKE-Cluster aktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `config` eines Knotenpools auf das Schlüssel/Wert-Paar `"disable-legacy-endpoints"`: `"false"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GKE 1.0: 6.4.1
`Master authorized networks disabled` Kategoriename in der API: `MASTER_AUTHORIZED_NETWORKS_DISABLED`	Ergebnisbeschreibung: Autorisierte Control Plane Authorized Networks ist in GKE-Clustern nicht aktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `masterAuthorizedNetworksConfig` eines Clusters für das Schlüssel/Wert-Paar `"enabled"`: `false`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.4 CIS GKE 1.0: 6.6.3 PCI-DSS v3.2.1: 1.2.1, 1.3.2
`Network policy disabled` Kategoriename in der API: `NETWORK_POLICY_DISABLED`	Ergebnisbeschreibung: Die Netzwerkrichtlinie ist in GKE-Clustern deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Feld `networkPolicy` des Attributs `addonsConfig` auf das Schlüssel/Wert-Paar `"disabled"`: `true`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.7 PCI-DSS v3.2.1: 1.3 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Nodepool boot CMEK disabled` Kategoriename in der API: `NODEPOOL_BOOT_CMEK_DISABLED`	Beschreibung: Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `bootDiskKmsKey` von Knotenpools auf den Ressourcennamen Ihres CMEK. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja
`Nodepool secure boot disabled` Kategoriename in der API: `NODEPOOL_SECURE_BOOT_DISABLED`	Ergebnisbeschreibung: Secure Boot ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `shieldedInstanceConfig` des Objekts `nodeConfig` auf das Schlüssel/Wert-Paar `"enableSecureBoot": true`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GKE 1.0: 6.5.7
`Over privileged account` Kategoriename in der API: `OVER_PRIVILEGED_ACCOUNT`	Ergebnisbeschreibung: Ein Dienstkonto hat in einem Cluster übermäßig Zugriff auf das Projekt. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Wertet das Attribut `config` eines Knotenpools aus, um zu prüfen, ob kein Dienstkonto angegeben wurde oder ob das Standarddienstkonto verwendet wird. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.2.1 PCI-DSS v3.2.1: 2.1, 7.1.2 NIST 800-53: AC-6, SC-7 ISO-27001: A.9.2.3
`Over privileged scopes` Kategoriename in der API: `OVER_PRIVILEGED_SCOPES`	Ergebnisbeschreibung: Ein Knotendienstkonto hat große Zugriffsbereiche. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft, ob der im Attribut `config.oauthScopes` eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich des Dienstkontos ist: `https://www.googleapis.com/auth/devstorage.read_only`, `https://www.googleapis.com/auth/logging.write` oder `https://www.googleapis.com/auth/monitoring`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.2.1
`Pod security policy disabled` Kategoriename in der API: `POD_SECURITY_POLICY_DISABLED`	Ergebnisbeschreibung: PodSecurityPolicy ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `podSecurityPolicyConfig` eines Clusters für das Schlüssel/Wert-Paar `"enabled"`: `false`. Zusätzliche IAM-Berechtigungen: `roles/container.clusterViewer` Zusätzliche Eingaben: Liest Clusterinformationen aus GKE, da Pod-Sicherheitsrichtlinien ein Betafeature sind. Kubernetes hat die PodSecurityPolicy in Version 1.21 offiziell verworfen. Die PodSecurityPolicy wird in Version 1.25 eingestellt. Informationen zu Alternativen finden Sie unter Einstellung der PodSecurityPolicy. Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Nein	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.10.3
`Private cluster disabled` Kategoriename in der API: `PRIVATE_CLUSTER_DISABLED`	Ergebnisbeschreibung: Für einen GKE-Cluster ist ein privater Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft, ob das Feld `enablePrivateNodes` des Attributs `privateClusterConfig` auf `false` gesetzt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.5 PCI-DSS v3.2.1: 1.3.2
`Release channel disabled` Kategoriename in der API: `RELEASE_CHANNEL_DISABLED`	Ergebnisbeschreibung: Ein GKE-Cluster ist nicht auf eine Release-Version abonniert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Attribut `releaseChannel` auf das Schlüssel/Wert-Paar `"channel": UNSPECIFIED`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GKE 1.0: 6.5.4
`Web UI enabled` Kategoriename in der API: `WEB_UI_ENABLED`	Ergebnisbeschreibung: Die GKE-Web-UI (Dashboard) ist aktiviert. Preisstufe: Premium oder Standard Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft das Feld `kubernetesDashboard` des Attributs `addonsConfig` auf das Schlüssel/Wert-Paar `"disabled": false`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 7.6 CIS GKE 1.0: 6.10.1 PCI-DSS v3.2.1: 6.6
`Workload Identity disabled` Kategoriename in der API: `WORKLOAD_IDENTITY_DISABLED`	Ergebnisbeschreibung: Workload Identity ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft, ob das Attribut `workloadIdentityConfig` eines Clusters festgelegt ist. Der Detektor prüft auch, ob das Attribut `workloadMetadataConfig` eines Knotenpools auf `GKE_METADATA` gesetzt ist. Zusätzliche IAM-Berechtigungen: `roles/container.clusterViewer` Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GKE 1.0: 6.2.2

Ergebnisse zu Dataproc-Sicherheitslücken

Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Dataproc und gehören zum Detektortyp DATAPROC_SCANNER.

**Tabelle 5.** Dataproc-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Dataproc image outdated` Kategoriename in der API: `DATAPROC_IMAGE_OUTDATED`	Ergebnis-Beschreibung: Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228) und CVE-2021-45046). Preisstufe: Premium oder Standard Unterstützte Assets dataproc.googleapis.com/Cluster Dieses Ergebnis korrigieren	Prüft, ob das Feld `softwareConfig.imageVersion` im Attribut `config` einer `Cluster` vor 1.3.95 liegt oder ob es eine Sub-Minor-Image-Version vor 1.4.77, 1.5.53 oder 2.0.27 ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja

Ergebnisse zu Dataset-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.

**Tabelle 6.** Dataset-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`BigQuery table CMEK disabled` Kategoriename in der API: `BIGQUERY_TABLE_CMEK_DISABLED`	Ergebnisbeschreibung: Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium Unterstützte Assets bigquery.googleapis.com/Table Dieses Ergebnis korrigieren	Prüft, ob das Feld `kmsKeyName` im Attribut `encryptionConfiguration` leer ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 7.2
`Dataset CMEK disabled` Kategoriename in der API: `DATASET_CMEK_DISABLED`	Ergebnisbeschreibung: Ein BigQuery-Dataset ist nicht für die Verwendung eines standardmäßigen CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium Unterstützte Assets bigquery.googleapis.com/Dataset Dieses Ergebnis korrigieren	Prüft, ob das Feld `kmsKeyName` im Attribut `defaultEncryptionConfiguration` leer ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Nein
`Public dataset` Kategoriename in der API: `PUBLIC_DATASET`	Ergebnisbeschreibung: Ein Dataset ist für den öffentlichen Zugriff konfiguriert. Preisstufe: Premium oder Standard Unterstützte Assets bigquery.googleapis.com/Dataset Dieses Ergebnis korrigieren	Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten `allUsers` oder `allAuthenticatedUsers`, die öffentlichen Zugang gewähren. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 7.1 CIS GCP Foundation 1.2: 7.1 PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3, A.14.1.3

Ergebnisse zu DNS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.

**Tabelle 7.** DNS-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`DNSSEC disabled` Kategoriename in der API: `DNSSEC_DISABLED`	Ergebnisbeschreibung: DNSSEC ist für Cloud DNS-Zonen deaktiviert. Preisstufe: Premium Unterstützte Assets dns.googleapis.com/ManagedZone Dieses Ergebnis korrigieren	Prüft, ob das Feld `state` des Attributs `dnssecConfig` auf `off` gesetzt ist. Von Scans ausgeschlossene Assets: Cloud DNS-Zonen, die nicht öffentlich sind Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 3.3 CIS GCP Foundation 1.1: 3.3 CIS GCP Foundation 1.2: 3.3 ISO-27001: A.8.2.3
`RSASHA1 for signing` Kategoriename in der API: `RSASHA1_FOR_SIGNING`	Ergebnisbeschreibung: RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet. Preisstufe: Premium Unterstützte Assets dns.googleapis.com/ManagedZone Dieses Ergebnis korrigieren	Prüft, ob das Objekt `defaultKeySpecs.algorithm` des Attributs `dnssecConfig` auf `rsasha1` gesetzt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 3.4, 3.5 CIS GCP Foundation 1.1: 3.4, 3.5 CIS GCP Foundation 1.2: 3.4, 3.5

Ergebnisse zu Firewall-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.

**Tabelle 8.** Firewall-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Egress deny rule not set` Kategoriename in der API: `EGRESS_DENY_RULE_NOT_SET`	Ergebnisbeschreibung: Für eine Firewall wurde keine Regel für ausgehenden Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft, ob das Attribut `destinationRanges` in der Firewall auf `0.0.0.0/0` gesetzt ist und das Attribut `denied` das Schlüssel/Wert-Paar `"IPProtocol"`: `"all"` enthält. Zusätzliche Eingaben: Liest ausgehende Firewalls für ein Projekt aus dem Speicher. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht bei Änderungen an Firewallregeln	PCI-DSS v3.2.1: 7.2
`Firewall rule logging disabled` Kategoriename in der API: `FIREWALL_RULE_LOGGING_DISABLED`	Ergebnisbeschreibung: Das Logging von Firewallregeln ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `logConfig` in den Firewallmetadaten, um zu ermitteln, ob es leer ist oder das Schlüssel/Wert-Paar `"enable"`: `false` enthält. Aus Scans ausgeschlossene Assets: GKE-Instanzen, von GKE erstellte Firewallregeln, serverloser VPC-Zugriff Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: SI-4 ISO-27001: A.13.1.1
`Open Cassandra port` Kategoriename in der API: `OPEN_CASSANDRA_PORT`	Ergebnisbeschreibung: Eine Firewall ist für einen offenen CASSANDRA-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten für die folgenden Protokolle und Ports: `TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open ciscosecure websm port` Kategoriename in der API: `OPEN_CISCOSECURE_WEBSM_PORT`	Ergebnisbeschreibung: Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten für das folgende Protokoll und den folgenden Port: `TCP:9090`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open directory services port` Kategoriename in der API: `OPEN_DIRECTORY_SERVICES_PORT`	Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DIRECTORY_SERVICE-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten für die folgenden Protokolle und Ports: `TCP:445` und `UDP:445`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open DNS port` Kategoriename in der API: `OPEN_DNS_PORT`	Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DNS-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten für die folgenden Protokolle und Ports: `TCP:53` und `UDP:53`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open elasticsearch port` Kategoriename in der API: `OPEN_ELASTICSEARCH_PORT`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ELASTICSEARCH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten für die folgenden Protokolle und Ports: `TCP:9200, 9300`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open firewall` Kategoriename in der API: `OPEN_FIREWALL`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie öffentlich zugänglich ist. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft die Attribute `sourceRanges` und `allowed` auf eine von zwei Konfigurationen: Das Attribut `sourceRanges` enthält `0.0.0.0/0` und das Attribut `allowed` enthält eine Kombination aus Regeln mit einem beliebigen `protocol` oder `protocol:port`, mit Ausnahme von: icmp tcp:22 tcp:443 tcp:3389 udp:3389 sctp:22 Das Attribut `sourceRanges` enthält eine Kombination aus IP-Bereichen, die alle nicht privaten IP-Adressen umfassen, und das Attribut `allowed` enthält eine Kombination aus Regeln, die entweder alle TCP-Ports oder alle UDB-Ports zulassen. Aus Scans ausgeschlossene Assets: Von GKE erstellte Firewallregeln Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1
`Open FTP port` Kategoriename in der API: `OPEN_FTP_PORT`	Ergebnisbeschreibung: Eine Firewall ist mit einem offenen FTP-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten für das folgende Protokoll und den folgenden Port: `TCP:21`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open HTTP port` Kategoriename in der API: `OPEN_HTTP_PORT`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten für die folgenden Protokolle und Ports: `TCP:80`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open LDAP port` Kategoriename in der API: `OPEN_LDAP_PORT`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten auf die folgenden Protokolle und Ports: `TCP:389, 636` und `UDP:389`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open Memcached port` Kategoriename in der API: `OPEN_MEMCACHED_PORT`	Ergebnisbeschreibung: Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten auf die folgenden Protokolle und Ports: `TCP:11211, 11214-11215` und `UDP:11211, 11214-11215`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open MongoDB port` Kategoriename in der API: `OPEN_MONGODB_PORT`	Ergebnisbeschreibung: Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten für die folgenden Protokolle und Ports: `TCP:27017-27019`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open MySQL port` Kategoriename in der API: `OPEN_MYSQL_PORT`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen MySQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten für das folgende Protokoll und den folgenden Port: `TCP:3306`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open NetBIOS port` Kategoriename in der API: `OPEN_NETBIOS_PORT`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten auf die folgenden Protokolle und Ports: `TCP:137-139` und `UDP:137-139`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open OracleDB port` Kategoriename in der API: `OPEN_ORACLEDB_PORT`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten auf die folgenden Protokolle und Ports: `TCP:1521, 2483-2484` und `UDP:2483-2484`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open pop3 port` Kategoriename in der API: `OPEN_POP3_PORT`	Ergebnisbeschreibung: Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten für das folgende Protokoll und den folgenden Port: `TCP:110`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open PostgreSQL port` Kategoriename in der API: `OPEN_POSTGRESQL_PORT`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten auf die folgenden Protokolle und Ports: `TCP:5432` und `UDP:5432`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open RDP port` Kategoriename in der API: `OPEN_RDP_PORT`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft das Attribut `allowed` in den Firewallmetadaten auf die folgenden Protokolle und Ports: `TCP:3389` und `UDP:3389`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 3.7 CIS GCP Foundation 1.1: 3.7 CIS GCP Foundation 1.2: 3.7 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open Redis port` Kategoriename in der API: `OPEN_REDIS_PORT`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft, ob das Attribut `allowed` in den Firewallmetadaten das folgende Protokoll und den folgenden Port enthält: `TCP:6379`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open SMTP port` Kategoriename in der API: `OPEN_SMTP_PORT`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft, ob das Attribut `allowed` in den Firewallmetadaten das folgende Protokoll und den folgenden Port enthält: `TCP:25`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open SSH port` Kategoriename in der API: `OPEN_SSH_PORT`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft, ob das Attribut `allowed` in den Firewallmetadaten die folgenden Protokolle und Ports enthält: `TCP:22` und `SCTP:22`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 3.6 CIS GCP Foundation 1.1: 3.6 CIS GCP Foundation 1.2: 3.6 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open Telnet port` Kategoriename in der API: `OPEN_TELNET_PORT`	Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Firewall Dieses Ergebnis korrigieren	Prüft, ob das Attribut `allowed` in den Firewallmetadaten das folgende Protokoll und den folgenden Port enthält: `TCP:23`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1

Ergebnisse zu IAM-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.

**Tabelle 9.** IAM-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Admin service account` Kategoriename in der API: `ADMIN_SERVICE_ACCOUNT`	Ergebnisbeschreibung: Ein Dienstkonto hat die Berechtigung Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle vom Nutzer erstellten Dienstkonten (angezeigt durch das Präfix *iam.gserviceaccount.com), denen `roles/Owner` oder `roles/Editor` oder eine Rollen-ID, die `admin` enthält, zugewiesen ist. Von Scans ausgeschlossene Assets: Container Registry-Dienstkonto (containerregistry.iam.gserviceaccount.com) und Security Command Center-Dienstkonto (security-center-api.iam.gserviceaccount.com) Batch-Scans: Alle 6 Stunden Echtzeit-Scans*: Ja, außer wenn die IAM-Aktualisierung wird für einen Ordner durchgeführt wird	CIS GCP Foundation 1.0: 1.4 CIS GCP Foundation 1.1: 1.5 CIS GCP Foundation 1.2: 1.5
`KMS role separation` Kategoriename in der API: `KMS_ROLE_SEPARATION`	Ergebnisbeschreibung: Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) hat: CryptoKey-Verschlüsseler/Entschlüsseler, Entschlüsseler oder Verschlüsseler. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft IAM-Zulassungsrichtlinien in Ressourcenmetadaten und ruft Hauptkonten ab, die gleichzeitig eine der folgenden Rollen zugewiesen haben: `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter` und `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer`, `roles/cloudkms.signerVerifier`, `roles/cloudkms.publicKeyViewer`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 1.9 CIS GCP Foundation 1.1: 1.11 NIST 800-53: AC-5 ISO-27001: A.9.2.3, A.10.1.2
`Non org IAM member` Kategoriename in der API: `NON_ORG_IAM_MEMBER`	Ergebnisbeschreibung: Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 lösen derzeit nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus. Preisstufe: Premium oder Standard Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Vergleicht @gmail.com-E-Mail-Adressen im Feld `user` der IAM-Zulassungsrichtlinien mit einer Liste genehmigter Identitäten für Ihre Organisation. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 1.1 CIS GCP Foundation 1.1: 1.1 CIS GCP Foundation 1.2: 1.1 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-3 ISO-27001: A.9.2.3
`Open group IAM member` Kategoriename in der API: `OPEN_GROUP_IAM_MEMBER`	Ergebnisbeschreibung: Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet. Preisstufe: Premium oder Standard Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft die IAM-Richtlinie in Ressourcenmetadaten auf alle Bindungen, die ein Mitglied (Hauptkonto) mit dem Präfix `group` enthalten. Wenn die Gruppe eine offene Gruppe ist, generiert Security Health Analytics dieses Ergebnis. Zusätzliche Eingaben: Liest Google Groups-Metadaten, um zu prüfen, ob die identifizierte Gruppe eine offene Gruppe ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Nein
`Over privileged service account user` Kategoriename in der API: `OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Ergebnisbeschreibung: Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene, statt für ein bestimmtes Dienstkonto. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf alle Hauptkonten, denen `roles/iam.serviceAccountUser` oder `roles/iam.serviceAccountTokenCreator` auf Projektebene zugewiesen ist. Von Scans ausgeschlossene Assets: Cloud Build-Dienstkonten Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 1.5 CIS GCP Foundation 1.1: 1.6 CIS GCP Foundation 1.2: 1.6 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`Primitive roles used` Kategoriename in der API: `PRIMITIVE_ROLES_USED`	Ergebnisbeschreibung: Ein Nutzer hat die einfache Rolle Inhaber, Autor oder Leser. Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen `roles/Owner`, `roles/Writer` oder `roles/Reader` zugewiesen ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`Redis role used on org` Kategoriename in der API: `REDIS_ROLE_USED_ON_ORG`	Ergebnisbeschreibung: Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization Dieses Ergebnis korrigieren	Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf Hauptkonten, denen `roles/redis.admin`, `roles/redis.editor`, `roles/redis.viewer` auf Organisations- oder Ordnerebene zugewiesen ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 7.1.2 ISO-27001: A.9.2.3
`Service account role separation` Kategoriename in der API: `SERVICE_ACCOUNT_ROLE_SEPARATION`	Ergebnisbeschreibung: Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung". Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft die IAM-Zulassungrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen sowohl `roles/iam.serviceAccountUser` als auch `roles/iam.serviceAccountAdmin` zugewiesen ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 1.7 CIS GCP Foundation 1.1: 1.8 CIS GCP Foundation 1.2: 1.8 NIST 800-53: AC-5 ISO-27001: A.9.2.3
`Service account key not rotated` Kategoriename in der API: `SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Ergebnisbeschreibung: Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium Unterstützte Assets iam.googleapis.com/ServiceAccountKey Dieses Ergebnis korrigieren	Wertet den Zeitstempel der Schlüsselerstellung aus, der im Attribut `validAfterTime` in den Schlüsselmetadaten des Dienstkontos erfasst ist. Von Scans ausgeschlossene Assets: Abgelaufene Dienstkontoschlüssel und Schlüssel, die nicht von Nutzern verwaltet werden Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 1.6	CIS GCP Foundation 1.1: 1.7	CIS GCP Foundation 1.2: 1.7
`User managed service account key` Kategoriename in der API: `USER_MANAGED_SERVICE_ACCOUNT_KEY`	Ergebnisbeschreibung: Ein Nutzer verwaltet einen Dienstkontoschlüssel. Preisstufe: Premium Unterstützte Assets iam.googleapis.com/ServiceAccountKey Dieses Ergebnis korrigieren	Prüft, ob das Attribut `keyType` in den Metadaten des Dienstkontoschlüssels auf `User_Managed` gesetzt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 1.3	CIS GCP Foundation 1.1: 1.4	CIS GCP Foundation 1.2: 1.4

Ergebnisse zu KMS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.

**Tabelle 10.** KMS-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`KMS key not rotated` Kategoriename in der API: `KMS_KEY_NOT_ROTATED`	Ergebnisbeschreibung: Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Verschlüsselungsschlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden. Preisstufe: Premium Unterstützte Assets cloudkms.googleapis.com/CryptoKey Dieses Ergebnis korrigieren	Prüft Ressourcenmetadaten auf das Vorhandensein von `rotationPeriod`- oder `nextRotationTime`-Attributen. Von Scans ausgeschlossene Assets: Asymmetrische Schlüssel und Schlüssel mit deaktivierten oder gelöschten primären Versionen Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 1.8 CIS GCP Foundation 1.1: 1.10 CIS GCP Foundation 1.2: 1.10 PCI-DSS v3.2.1: 3.5 NIST 800-53: SC-12 ISO-27001: A.10.1.2
`KMS project has owner` Kategoriename in der API: `KMS_PROJECT_HAS_OWNER`	Ergebnisbeschreibung: Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft die IAM-Zulassungsrichtlinie in Projektmetadaten für Hauptkonten, denen `roles/Owner` zugewiesen ist. Zusätzliche Eingaben: Liest CryptoKeys für ein Projekt aus dem Speicher und sendet Ergebnisse nur für Projekte mit CryptoKeys Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja, aber nur bei Änderungen an der IAM-Zulassungsrichtlinie, nicht bei Änderungen an KMS-Schlüsseln	CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 1.2: 1.11 PCI-DSS v3.2.1: 3.5 NIST 800-53: AC-6, SC-12 ISO-27001: A.9.2.3, A.10.1.2
`KMS public key` Kategoriename in der API: `KMS_PUBLIC_KEY`	Ergebnisbeschreibung: Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Preisstufe: Premium Unterstützte Assets cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing Dieses Ergebnis korrigieren	Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten `allUsers` oder `allAuthenticatedUsers`, die öffentlichen Zugang gewähren. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 1.9 CIS GCP Foundation 1.2: 1.9
`Too many KMS users` Kategoriename in der API: `TOO_MANY_KMS_USERS`	Ergebnisbeschreibung: Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Preisstufe: Premium Unterstützte Assets cloudkms.googleapis.com/CryptoKey Dieses Ergebnis korrigieren	Prüft IAM-Zulassungsrichtlinien für Schlüsselbunde, Projekte und Organisationen und ruft Hauptkonten mit Rollen ab, mit denen sie Daten mit Cloud KMS-Schlüsseln verschlüsseln, entschlüsseln oder signieren können: `roles/owner`, `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter`, `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer` und `roles/cloudkms.signerVerifier`. Zusätzliche Eingaben: Liest CryptoKey-Versionen für einen CryptoKey aus dem Speicher und speichert Ergebnisse nur für Schlüssel mit aktiven Versionen. Der Detektor liest auch IAM-Zulassungsrichtlinien für Schlüsselbund, Projekt und Organisation aus dem Speicher. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	PCI-DSS v3.2.1: 3.5.2 ISO-27001: A.9.2.3

Ergebnisse zu Logging-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.

**Tabelle 11.** Logging-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Audit logging disabled` Kategoriename in der API: `AUDIT_LOGGING_DISABLED`	Ergebnisbeschreibung: Audit-Logging wurde für diese Ressource deaktiviert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf das Vorhandensein eines `auditLogConfigs`-Objekts. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 2.1 CIS GCP Foundation 1.1: 2.1 CIS GCP Foundation 1.2: 2.1 PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: AC-2, AU-2 ISO-27001: A.12.4.1, A.16.1.7
`Bucket logging disabled` Kategoriename in der API: `BUCKET_LOGGING_DISABLED`	Ergebnisbeschreibung: Es gibt einen Storage-Bucket ohne aktiviertes Logging. Preisstufe: Premium Unterstützte Assets storage.googleapis.com/Bucket Dieses Ergebnis korrigieren	Prüft, ob das Feld `logBucket` im Attribut `logging` des Buckets leer ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 5.3
`Locked retention policy not set` Kategoriename in der API: `LOCKED_RETENTION_POLICY_NOT_SET`	Ergebnisbeschreibung: Für Logs ist keine gesperrte Aufbewahrungsrichtlinie festgelegt. Preisstufe: Premium Unterstützte Assets storage.googleapis.com/Bucket Dieses Ergebnis korrigieren	Prüft, ob das Feld `isLocked` im Attribut `retentionPolicy` des Buckets auf `true` gesetzt ist. Zusätzliche Eingaben: Liest die Logsenke (den Logfilter und das Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 2.3 CIS GCP Foundation 1.2: 2.3 PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2, A.18.1.3
`Log not exported` Kategoriename in der API: `LOG_NOT_EXPORTED`	Ergebnisbeschreibung: Für eine Ressource ist keine geeignete Logsenke konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Ruft ein `logSink`-Objekt in einem Projekt ab und prüft, ob das Feld `includeChildren` auf `true` gesetzt ist, ob das Feld `destination` den Speicherort enthält, in den Logs geschrieben werden sollen, und ob das Feld `filter` ausgefüllt ist. Zusätzliche Eingaben: Liest die Logsenke (den Logfilter und das Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht wenn der Logexport für Ordner oder Organisation eingerichtet ist	CIS GCP Foundation 1.0: 2.2 CIS GCP Foundation 1.1: 2.2 CIS GCP Foundation 1.2: 2.2 ISO-27001: A.18.1.3
`Object versioning disabled` Kategoriename in der API: `OBJECT_VERSIONING_DISABLED`	Ergebnisbeschreibung: Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert. Preisstufe: Premium Unterstützte Assets storage.googleapis.com/Bucket Dieses Ergebnis korrigieren	Prüft, ob das Feld `enabled` im Attribut `versioning` des Buckets auf `true` gesetzt ist. Von Scans ausgeschlossene Assets: Cloud Storage-Buckets mit einer gesperrten Aufbewahrungsrichtlinie Zusätzliche Eingaben: Liest die Logsenke (den Logfilter und das Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja, aber nur wenn sich die Objektversionsverwaltung ändert, nicht wenn Log-Buckets erstellt werden	CIS GCP Foundation 1.0: 2.3 PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2, A.18.1.3

Ergebnisse zu Monitoring-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:

Die RecommendedLogFilter, die zum Erstellen der Logmesswerte verwendet werden soll.
Die QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdeckt.
AlertPolicyFailureReasons, der angibt, ob für das Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder ob die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.

**Tabelle 12.** Monitoring-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Audit config not monitored` Kategoriename in der API: `AUDIT_CONFIG_NOT_MONITORED`	Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Audit-Konfigurationsänderungen konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:` festgelegt ist und ob, wenn `resource.type` angegeben ist, der Wert `global` ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource, um zu prüfen, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations-Suite von Google Cloud und sendet die Ergebnisse nur für Projekte mit aktiven Konten. Batch-Scans: Alle 12 Stunden Echtzeit-Scans*: Ja, aber nur bei Projektänderungen, nicht bei Logmesswerten und Benachrichtigungsänderungen	CIS GCP Foundation 1.0: 2.5 CIS GCP Foundation 1.1: 2.5 CIS GCP Foundation 1.2: 2.5
`Bucket IAM not monitored` Kategoriename in der API: `BUCKET_IAM_NOT_MONITORED`	Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen der Cloud Storage-IAM-Berechtigungen konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource, um zu prüfen, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations-Suite von Google Cloud und sendet die Ergebnisse nur für Projekte mit aktiven Konten. Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht bei Änderungen von Logmesswerten und Benachrichtigungen	CIS GCP Foundation 1.0: 2.10 CIS GCP Foundation 1.1: 2.10 CIS GCP Foundation 1.2: 2.10
`Custom role not monitored` Kategoriename in der API: `CUSTOM_ROLE_NOT_MONITORED`	Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen benutzerdefinierter Rollen konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource, um zu prüfen, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations-Suite von Google Cloud und sendet die Ergebnisse nur für Projekte mit aktiven Konten. Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht bei Logmesswerten und Benachrichtigungsänderungen	CIS GCP Foundation 1.0: 2.6 CIS GCP Foundation 1.1: 2.6 CIS GCP Foundation 1.2: 2.6
`Firewall not monitored` Kategoriename in der API: `FIREWALL_NOT_MONITORED`	Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an VPC-Netzwerk-Firewallregeln konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource, um zu prüfen, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations-Suite von Google Cloud und sendet die Ergebnisse nur für Projekte mit aktiven Konten. Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht bei Logmesswerten und Benachrichtigungsänderungen	CIS GCP Foundation 1.0: 2.7 CIS GCP Foundation 1.1: 2.7 CIS GCP Foundation 1.2: 2.7
`Network not monitored` Kategoriename in der API: `NETWORK_NOT_MONITORED`	Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource, um zu prüfen, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations-Suite von Google Cloud und sendet die Ergebnisse nur für Projekte mit aktiven Konten. Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht bei Logmesswerten und Benachrichtigungsänderungen	CIS GCP Foundation 1.0: 2.9 CIS GCP Foundation 1.1: 2.9 CIS GCP Foundation 1.2: 2.9
`Owner not monitored` Kategoriename in der API: `OWNER_NOT_MONITORED`	Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `(protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")` festgelegt ist und ob, wenn `resource.type` angegeben ist, der Wert `global` ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource, um zu prüfen, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations-Suite von Google Cloud und sendet die Ergebnisse nur für Projekte mit aktiven Konten. Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht bei Änderungen von Logmesswerten und Benachrichtigungen	CIS GCP Foundation 1.0: 2.4 CIS GCP Foundation 1.1: 2.4 CIS GCP Foundation 1.2: 2.4
`Route not monitored` Kategoriename in der API: `ROUTE_NOT_MONITORED`	Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource, um zu prüfen, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations-Suite von Google Cloud und sendet die Ergebnisse nur für Projekte mit aktiven Konten. Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht bei Logmesswerten und Benachrichtigungsänderungen	CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8
`SQL instance not monitored` `SQL_INSTANCE_NOT_MONITORED`	Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud SQL-Instanzen konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Dieses Ergebnis korrigieren	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"` festgelegt ist und ob, wenn `resource.type` angegeben ist, der Wert `global` ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource, um zu prüfen, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations-Suite von Google Cloud und sendet die Ergebnisse nur für Projekte mit aktiven Konten. Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht bei Logmesswerten und Benachrichtigungsänderungen	CIS GCP Foundation 1.0: 2.11 CIS GCP Foundation 1.1: 2.11 CIS GCP Foundation 1.2: 2.11

Ergebnisse zur Multi-Faktor-Authentifizierung

Der MFA_SCANNER-Detektor erkennt Sicherheitslücken bei der Multi-Faktor-Authentifizierung für Nutzer.

**Tabelle 13.** Scanner für Multi-Faktor-Authentifizierung
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`MFA not enforced` Kategoriename in der API: `MFA_NOT_ENFORCED`	Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. Preisstufe: Premium oder Standard Unterstützte Assets cloudresourcemanager.googleapis.com/Organization Dieses Ergebnis korrigieren	Wertet Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity aus. Von Scans ausgeschlossene Assets: Organisationseinheiten, für die Ausnahmen von der Richtlinie gewährt wurden Zusätzliche Eingaben: Liest Daten aus Google Workspace Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Nein	CIS GCP Foundation 1.0: 1.2 CIS GCP Foundation 1.1: 1.2 CIS GCP Foundation 1.2: 1.2 PCI-DSS v3.2.1: 8.3 NIST 800-53: IA-2 ISO-27001: A.9.4.2

Ergebnisse zu Netzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.

**Tabelle 14.** Netzwerk-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Default network` Kategoriename in der API: `DEFAULT_NETWORK`	Ergebnisbeschreibung: Das Standardnetzwerk ist in einem Projekt vorhanden. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Network Dieses Ergebnis korrigieren	Prüft, ob das Attribut `name` in den Netzwerkmetadaten auf `default` gesetzt ist Von Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist und Compute Engine-Ressourcen in einem eingefrorenen Zustand sind. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 3.1 CIS GCP Foundation 1.1: 3.1 CIS GCP Foundation 1.2: 3.1
`DNS logging disabled` Kategoriename in der API: `DNS_LOGGING_DISABLED`	Ergebnisbeschreibung: Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Network dns.googleapis.com/Policy Dieses Ergebnis korrigieren	Prüft alle `policies`, die mit einem VPC-Netzwerk über das `networks[].networkUrl`-Feld verknüpft sind, und sucht nach mindestens einer Richtlinie, in der `enableLogging` auf `true` festgelegt ist. Von Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist und Compute Engine-Ressourcen in einem eingefrorenen Zustand sind. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 2.12
`Legacy network` Kategoriename in der API: `LEGACY_NETWORK`	Ergebnisbeschreibung: Ein Legacy-Netzwerk ist in einem Projekt vorhanden. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Network Dieses Ergebnis korrigieren	Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs `IPv4Range`. Von Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist und Compute Engine-Ressourcen in einem eingefrorenen Zustand sind. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 3.2 CIS GCP Foundation 1.1: 3.2 CIS GCP Foundation 1.2: 3.2

Ergebnisse zu Sicherheitslücken in Organisationsrichtlinien

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY.

**Tabelle 15.** Scanner für Organisationsrichtlinien
Detektor	Fazit	Asset-Scaneinstellungen
`Org policy Confidential VM policy` Kategoriename in der API: `ORG_POLICY_CONFIDENTIAL_VM_POLICY`	Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie `constraints/compute.restrictNonConfidentialComputing`. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien in Confidential VM durchsetzen. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das Attribut `enableConfidentialCompute` einer Compute Engine-Instanz auf `true` gesetzt ist. Von Scans ausgeschlossene Assets: GKE-Instanzen Zusätzliche IAM-Berechtigungen: `permissions/orgpolicy.policy.get` Zusätzliche Eingaben: Liest die geltende Organisationsrichtlinie aus dem Organisationsrichtliniendienst Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Nein
`Org policy location restriction` Kategoriename in der API: `ORG_POLICY_LOCATION_RESTRICTION`	Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Einschränkung `constraints/gcp.resourceLocations`. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien durchsetzen. Preisstufe: Premium Unterstützte Assets Siehe unten Dieses Ergebnis korrigieren	Prüft das Attribut `listPolicy` in den Metadaten der unterstützten Ressourcen auf eine Liste mit zulässigen oder abgelehnten Speicherorten. Zusätzliche IAM-Berechtigungen: `permissions/orgpolicy.policy.get` Zusätzliche Eingaben: Liest die geltende Organisationsrichtlinie aus dem Organisationsrichtliniendienst Batch-Scans: Alle 12 Stunden Echtzeit-Scans: Nein
Unterstützte Assets für ORG_POLICY_LOCATION_RESTRICTION Compute Engine compute.googleapis.com/Autoscaler compute.googleapis.com/Address compute.googleapis.com/Commitment compute.googleapis.com/Disk compute.googleapis.com/ForwardingRule compute.googleapis.com/HealthCheck compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/InstanceGroup compute.googleapis.com/InstanceGroupManager compute.googleapis.com/InterconnectAttachment compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NodeGroup compute.googleapis.com/NodeTemplate compute.googleapis.com/PacketMirroring compute.googleapis.com/RegionBackendService compute.googleapis.com/RegionDisk compute.googleapis.com/ResourcePolicy compute.googleapis.com/Reservation compute.googleapis.com/Router compute.googleapis.com/Snapshot compute.googleapis.com/SslCertificate compute.googleapis.com/Subnetwork compute.googleapis.com/TargetHttpProxy compute.google.apis.com/TargetHttpsProxy compute.googleapis.com/TargetInstance compute.googleapis.com/TargetPool compute.googleapis.com/TargetVpnGateway compute.googleapis.com/UrlMap compute.googleapis.com/VpnGateway compute.googleapis.com/VpnTunnel GKE container.googleapis.com/Cluster container.googleapis.com/NodePool Cloud Storage storage.googleapis.com/Bucket Cloud KMS cloudkms.googleapis.com/CryptoKey¹ cloudkms.googleapis.com/CryptoKeyVersion¹ cloudkms.googleapis.com/ImportJob² cloudkms.googleapis.com/KeyRing¹ Dataproc dataproc.googleapis.com/Cluster BigQuery bigquery.googleapis.com/Dataset Dataflow dataflow.googleapis.com/Job³ Cloud SQL sqladmin.googleapis.com/Instance Cloud Composer composer.googleapis.com/Environment Logging logging.googleapis.com/LogBucket Pub/Sub pubsub.googleapis.com/Topic Vertex AI aiplatform.googleapis.com/BatchPredictionJob aiplatform.googleapis.com/CustomJob aiplatform.googleapis.com/DataLabelingJob aiplatform.googleapis.com/Dataset aiplatform.googleapis.com/Endpoint aiplatform.googleapis.com/HyperparameterTuningJob aiplatform.googleapis.com/Model aiplatform.googleapis.com/SpecialistPool aiplatform.googleapis.com/TrainingPipeline Artifact Registry artifactregistry.googleapis.com/Repository ¹ Da Cloud KMS-Assets nicht gelöscht werden können, gilt das Asset nicht als außerhalb der Region, wenn die Daten des Assets zerstört wurden. ² Da Cloud KMS-Importjobs einen gesteuerten Lebenszyklus haben und nicht vorzeitig beendet werden können, gilt ein ImportJob nicht als außerhalb der Region, wenn er abgelaufen ist und nicht mehr verwendet werden kann, um Schlüssel zu importieren. ³ Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, gilt ein Job nicht als außerhalb der Region, wenn er einen Endstatus (beendet oder per Drain beendet) erreicht hat, in dem er nicht mehr zur Verarbeitung von Daten verwendet werden kann.

Pub/Sub-Sicherheitslücken

Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Pub/Sub-Konfigurationen und gehören zum Typ PUBSUB_SCANNER.

**Tabelle 16.** Pub/Sub-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Pubsub CMEK disabled` Kategoriename in der API: `PUBSUB_CMEK_DISABLED`	Ergebnisbeschreibung: Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium Unterstützte Assets pubsub.googleapis.com/Topic Dieses Ergebnis korrigieren	Prüft das Feld `kmsKeyName` auf den Ressourcennamen Ihres CMEK. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja

Ergebnisse zu SQL-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.

**Tabelle 17.** SQL-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Auto backup disabled` Kategoriename in der API: `AUTO_BACKUP_DISABLED`	Ergebnisbeschreibung: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das Attribut `backupConfiguration.enabled` von Cloud SQL-Daten auf `true` festgelegt ist. Von Scans ausgeschlossene Assets: Cloud SQL-Replikate Zusätzliche Eingaben: Liest IAM-Zulassungsrichtlinien für Ancestors aus dem Asset-Speicher von Security Health Analytics Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 6.7 CIS GCP Foundation 1.2: 6.7 NIST 800-53: CP-9 ISO-27001: A.12.3.1
`Public SQL instance` Kategoriename in der API: `PUBLIC_SQL_INSTANCE`	Ergebnisbeschreibung: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen. Preisstufe: Premium oder Standard Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob für das Attribut `authorizedNetworks` von Cloud SQL-Instanzen eine einzelne IP-Adresse oder ein IP-Adressbereich festgelegt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 6.2 CIS GCP Foundation 1.1: 6.5 CIS GCP Foundation 1.2: 6.5 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: CA-3, SC-7 ISO-27001: A.8.2.3, A.13.1.3, A.14.1.3
`SSL not enforced` Kategoriename in der API: `SSL_NOT_ENFORCED`	Ergebnisbeschreibung: Für eine Cloud SQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium oder Standard Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das Attribut `requireSsl` der Cloud SQL-Instanz auf `true` festgelegt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 6.1 CIS GCP Foundation 1.1: 6.4 CIS GCP Foundation 1.2: 6.4 PCI-DSS v3.2.1: 4.1 NIST 800-53: SC-7 ISO-27001: A.8.2.3, A.13.2.1, A.14.1.3
`SQL CMEK disabled` Kategoriename in der API: `SQL_CMEK_DISABLED`	Ergebnisbeschreibung: Eine SQL-Datenbankinstanz wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Feld `kmsKeyName` im Objekt `diskEncryptionKey` in den Instanzmetadaten auf den Ressourcennamen Ihres CMEK. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja
`SQL contained database authentication` Kategoriename in der API: `SQL_CONTAINED_DATABASE_AUTHENTICATION`	Ergebnisbeschreibung: Das Datenbank-Flag `contained database authentication` für eine Cloud SQL for SQL Server-Instanz ist nicht auf `off` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` der Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"contained database authentication"`, `"value"`: `"on"` oder ob es standardmäßig aktiviert ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 6.3.2 CIS GCP Foundation 1.2: 6.3.7
`SQL cross DB ownership chaining` Kategoriename in der API: `SQL_CROSS_DB_OWNERSHIP_CHAINING`	Ergebnisbeschreibung: Das Datenbank-Flag `cross_db_ownership_chaining` für eine Cloud SQL for SQL Server-Instanz ist nicht auf `off` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"cross_db_ownership_chaining"`, `"value": "on"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 6.3.1 CIS GCP Foundation 1.2: 6.3.2
`SQL external scripts enabled` Kategoriename in der API: `SQL_EXTERNAL_SCRIPTS_ENABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `external scripts enabled` für eine Cloud SQL for SQL Server-Instanz ist nicht auf `off` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"external scripts enabled"`, `"value": "off"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.3.1
`SQL local infile` Kategoriename in der API: `SQL_LOCAL_INFILE`	Ergebnisbeschreibung: Das Datenbank-Flag `local_infile` für eine Cloud SQL for MySQL-Instanz ist nicht auf `off` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"local_infile"`, `"value": "on"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 6.1.2 CIS GCP Foundation 1.2: 6.1.3
`SQL log checkpoints disabled` Kategoriename in der API: `SQL_LOG_CHECKPOINTS_DISABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `log_checkpoints` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `on` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_checkpoints"`, `"value": "on"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 6.2.1 CIS GCP Foundation 1.2: 6.2.1
`SQL log connections disabled` Kategoriename in der API: `SQL_LOG_CONNECTIONS_DISABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `log_connections` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `on` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_connections"`, `"value": "on"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 6.2.2 CIS GCP Foundation 1.2: 6.2.3
`SQL log disconnections disabled` Kategoriename in der API: `SQL_LOG_DISCONNECTIONS_DISABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `log_disconnections` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `on` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_disconnections"`, `"value": "on"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 6.2.3 CIS GCP Foundation 1.2: 6.2.4
`SQL log duration disabled` Kategoriename in der API: `SQL_LOG_DURATION_DISABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `log_duration` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `on` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_duration"`, `"value": "on"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.2.5
`SQL log error verbosity` Kategoriename in der API: `SQL_LOG_ERROR_VERBOSITY`	Ergebnisbeschreibung: Das Datenbank-Flag `log_error_verbosity` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `default` oder einen strikteren Wert festgelegt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das `databaseFlags`-Attribut der Instanzmetadaten für das `log_error_verbosity`-Feld auf `default` oder `terse` festgelegt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.2.2
`SQL log lock waits disabled` Kategoriename in der API: `SQL_LOG_LOCK_WAITS_DISABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `log_lock_waits` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `on` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_lock_waits"`, `"value": "on"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 6.2.4 CIS GCP Foundation 1.2: 6.2.6
`SQL log min duration statement enabled` Kategoriename in der API: `SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `log_min_duration_statement` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf "-1" gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_min_duration_statement"`, `"value": "-1"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 6.2.7 CIS GCP Foundation 1.2: 6.2.16
`SQL log min error statement` Kategoriename in der API: `SQL_LOG_MIN_ERROR_STATEMENT`	Ergebnisbeschreibung: Das Datenbank-Flag `log_min_error_statement` für eine Cloud SQL for PostgreSQL-Instanz ist nicht richtig festgelegt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das Feld `log_min_error_statement` des Attributs `databaseFlags` auf einen der folgenden Werte festgelegt ist: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice`, `warning` oder den Standardwert `error`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 6.2.5
`SQL log min error statement severity` Kategoriename in der API: `SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Ergebnisbeschreibung: Das Datenbank-Flag `log_min_error_statement` für eine Cloud SQL for PostgreSQL-Instanz hat keinen geeigneten Schweregrad. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das `log_min_error_statement`-Feld des `databaseFlags`-Attributs auf einen der folgenden Werte gesetzt ist: `error`, `log`, `fatal` oder `panic`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.2.14
`SQL log min messages` Kategoriename in der API: `SQL_LOG_MIN_MESSAGES`	Ergebnisbeschreibung: Das Datenbank-Flag `log_min_messages` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `warning` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Überprüft, ob das Feld `log_min_messages` der Property `databaseFlags` auf `warning` gesetzt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.2.13
`SQL log executor stats enabled` Kategoriename in der API: `SQL_LOG_EXECUTOR_STATS_ENABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `log_executor_status` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `off` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das `databaseFlags`-Attribut der Instanzmetadaten für das `log_executor_status`-Feld auf `on` festgelegt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.2.11
`SQL log hostname enabled` Kategoriename in der API: `SQL_LOG_HOSTNAME_ENABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `log_hostname` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `off` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das `databaseFlags`-Attribut der Instanzmetadaten für das `log_hostname`-Feld auf `on` festgelegt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.2.8
`SQL log parser stats enabled` Kategoriename in der API: `SQL_LOG_PARSER_STATS_ENABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `log_parser_stats` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `off` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das `databaseFlags`-Attribut der Instanzmetadaten für das `log_parser_stats`-Feld auf `on` festgelegt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.2.9
`SQL log planner stats enabled` Kategoriename in der API: `SQL_LOG_PLANNER_STATS_ENABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `log_planner_stats` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `off` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das `databaseFlags`-Attribut der Instanzmetadaten für das `log_planner_stats`-Feld auf `on` festgelegt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.2.10
`SQL log statement` Kategoriename in der API: `SQL_LOG_STATEMENT`	Ergebnisbeschreibung: Das Datenbank-Flag `log_statement` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `Ddl` (alle Datendefinitionsanweisungen) gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das `databaseFlags`-Attribut der Instanzmetadaten für das `log_statement`-Feld auf `Ddl` festgelegt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.2.7
`SQL log statement stats enabled` Kategoriename in der API: `SQL_LOG_STATEMENT_STATS_ENABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `log_statement_stats` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `off` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das `databaseFlags`-Attribut der Instanzmetadaten für das `log_statement_stats`-Feld auf `on` festgelegt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.2.12
`SQL log temp files` Kategoriename in der API: `SQL_LOG_TEMP_FILES`	Ergebnisbeschreibung: Das Datenbank-Flag `log_temp_files` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf "0" gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_temp_files"`, `"value": "0"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 6.2.6 CIS GCP Foundation 1.2: 6.2.15
`SQL no root password` Kategoriename in der API: `SQL_NO_ROOT_PASSWORD`	Ergebnisbeschreibung: Für eine Cloud SQL-Datenbank ist für das Root-Konto kein Passwort konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob das Attribut `rootPassword` des Root-Kontos leer ist. Zusätzliche IAM-Berechtigungen: `roles/cloudsql.client` Zusätzliche Eingaben: Fragt Live-Instanzen ab Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Nein	CIS GCP Foundation 1.0: 6.3 CIS GCP Foundation 1.1: 6.1.1 CIS GCP Foundation 1.2: 6.1.1 PCI-DSS v3.2.1: 2.1 NIST 800-53: AC-3 ISO-27001: A.8.2.3, A.9.4.2
`SQL public IP` Kategoriename in der API: `SQL_PUBLIC_IP`	Ergebnisbeschreibung: Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft, ob der IP-Adresstyp einer Cloud SQL-Datenbank auf `Primary` festgelegt ist, um anzugeben, dass sie öffentlich ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.1: 6.6 CIS GCP Foundation 1.2: 6.6
`SQL remote access enabled` Kategoriename in der API: `SQL_REMOTE_ACCESS_ENABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `remote access` für eine Cloud SQL for SQL Server-Instanz ist nicht auf `off` festgelegt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"remote access"`, `"value": "off"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.3.5
`SQL skip show database disabled` Kategoriename in der API: `SQL_SKIP_SHOW_DATABASE_DISABLED`	Ergebnisbeschreibung: Das Datenbank-Flag `skip_show_database` für eine Cloud SQL for MySQL-Instanz ist nicht auf `on` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"skip_show_database"`, `"value": "on"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.1.2
`SQL trace flag 3625` Kategoriename in der API: `SQL_TRACE_FLAG_3625`	Ergebnisbeschreibung:Das Datenbank-Flag `3625 (trace flag)` für eine Cloud SQL for SQL Server-Instanz ist nicht auf `on` festgelegt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"3625 (trace flag)"`, `"value": "on"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.3.6
`SQL user connections configured` Kategoriename in der API: `SQL_USER_CONNECTIONS_CONFIGURED`	Ergebnisbeschreibung: Das Datenbank-Flag `user connections` für eine Cloud SQL for SQL Server-Instanz ist konfiguriert. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"user connections"`, `"value": "0"`. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.3.3
`SQL user options configured` Kategoriename in der API: `SQL_USER_OPTIONS_CONFIGURED`	Ergebnisbeschreibung: Das Datenbank-Flag `user options` für eine Cloud SQL for SQL Server-Instanz ist konfiguriert. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Prüft das Attribut `databaseFlags` von Instanzmetadaten auf das Schlüssel/Wert-Paar `"name"`: `"user options"`, `"value": ""` (leer). Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.2: 6.3.4
`SQL weak root password` Kategoriename in der API: `SQL_WEAK_ROOT_PASSWORD`	Ergebnisbeschreibung: In einer Cloud SQL-Datenbank ist ein schwaches Passwort für das Root-Konto konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Dieses Ergebnis korrigieren	Vergleicht das Passwort für das Root-Konto der Cloud SQL-Datenbank mit einer Liste gängiger Passwörter. Zusätzliche IAM-Berechtigungen: `roles/cloudsql.client` Zusätzliche Eingaben: Fragt Live-Instanzen ab Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Nein

Ergebnisse zu Speichersicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.

**Tabelle 18.** Storage-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Bucket CMEK disabled` Kategoriename in der API: `BUCKET_CMEK_DISABLED`	Ergebnisbeschreibung: Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium Unterstützte Assets storage.googleapis.com/Bucket Dieses Ergebnis korrigieren	Prüft das Feld `encryption` in Bucket-Metadaten auf den Ressourcennamen Ihres CMEK. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja
`Bucket policy only disabled` Kategoriename in der API: `BUCKET_POLICY_ONLY_DISABLED`	Ergebnisbeschreibung: Der einheitliche Zugriff auf Bucket-Ebene, zuvor "Nur Bucket-Richtlinie" genannt, ist nicht konfiguriert. Preisstufe: Premium Unterstützte Assets storage.googleapis.com/Bucket Dieses Ergebnis korrigieren	Prüft, ob das Attribut `uniformBucketLevelAccess` für einen Bucket auf `"enabled":false` gesetzt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja
`Public bucket ACL` Kategoriename in der API: `PUBLIC_BUCKET_ACL`	Ergebnisbeschreibung: Ein Cloud Storage-Bucket ist öffentlich zugänglich. Preisstufe: Premium oder Standard Unterstützte Assets storage.googleapis.com/Bucket Dieses Ergebnis korrigieren	Prüft die IAM-Zulassungsrichtlinie eines Buckets auf öffentliche Rollen, `allUsers` oder `allAuthenticatedUsers`, mit Administrator- oder Bearbeiterberechtigungen. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 5.1 CIS GCP Foundation 1.1: 5.1 CIS GCP Foundation 1.2: 5.1 PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3, A.14.1.3
`Public log bucket` Kategoriename in der API: `PUBLIC_LOG_BUCKET`	Ergebnisbeschreibung: Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich. Preisstufe: Premium oder Standard Unterstützte Assets storage.googleapis.com/Bucket Dieses Ergebnis korrigieren	Prüft die IAM-Zulassungsrichtlinie eines Buckets für die Hauptkonten `allUsers` oder `allAuthenticatedUsers`, die öffentlichen Zugriff gewähren. Zusätzliche Eingaben: Liest die Logsenke (den Logfilter und das Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja, aber nur wenn sich die IAM-Richtlinie für den Bucket ändert, nicht wenn die Logsenke geändert wird	PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-9 ISO-27001: A.8.2.3, A.12.4.2, A.18.1.3

Ergebnisse zu Subnetzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.

**Tabelle 19.** Subnetzwerk-Scanner
Detektor	Fazit	Asset-Scaneinstellungen	Compliance-Standards
`Flow logs disabled` Kategoriename in der API: `FLOW_LOGS_DISABLED`	Ergebnisbeschreibung: In einem VPC-Subnetzwerk sind Flusslogs deaktiviert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Subnetwork Dieses Ergebnis korrigieren	Prüft, ob das Attribut `enableFlowLogs` von Compute Engine-Subnetzwerken fehlt oder auf `false` gesetzt ist. Von Scans ausgeschlossene Assets: Serverloser VPC-Zugriff, Load-Balancer-Subnetzwerke Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 3.9 CIS GCP Foundation 1.1: 3.8 CIS GCP Foundation 1.2: 3.8 PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: SI-4 ISO-27001: A.13.1.1
`Private Google access disabled` Kategoriename in der API: `PRIVATE_GOOGLE_ACCESS_DISABLED`	Ergebnisbeschreibung: Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs. Preisstufe: Premium Unterstützte Assets storage.googleapis.com/Bucket compute.googleapis.com/Subnetwork Dieses Ergebnis korrigieren	Prüft, ob das Attribut `privateIpGoogleAccess` von Compute Engine-Subnetzwerken auf `false` gesetzt ist. Batch-Scans: Alle 6 Stunden Echtzeit-Scans: Ja	CIS GCP Foundation 1.0: 3.8

Web Security Scanner

Web Security Scanner ermöglicht verwaltetes und benutzerdefiniertes Scannen auf Sicherheitslücken im Web für öffentliche App Engine-, GKE- und Compute Engine-Dienste.

Verwaltete Scans

Von Web Security Scanner verwaltete Scans werden von Security Command Center konfiguriert und verwaltet. Verwaltete Scans werden jede Woche automatisch ausgeführt, um öffentliche Webendpunkte zu erkennen und zu scannen. Bei diesen Scans wird keine Authentifizierung verwendet. Sie senden nur GET-Anfragen, sodass sie keine Formulare auf Live-Websites senden.

Verwaltete Scans werden getrennt von benutzerdefinierten Scans ausgeführt, die Sie auf Projektebene definieren. Mit verwalteten Scans können Sie die grundlegende Erkennung von Sicherheitslücken in Webanwendungen für Projekte in Ihrer Organisation zentral verwalten, ohne einzelne Projektteams einzubeziehen. Wenn Ergebnisse gefunden werden, können Sie mit diesen Teams zusammenarbeiten, um umfassendere benutzerdefinierte Scans einzurichten.

Wenn Sie Web Security Scanner als Dienst aktivieren, sind die Ergebnisse des verwalteten Scans automatisch auf dem Tab "Sicherheitslücken" des Security Command Center und in zugehörigen Berichten verfügbar. Informationen zum Aktivieren verwalteter Scans in Web Security Scanner finden Sie unter Security Command Center konfigurieren.

Benutzerdefinierte Scans

Benutzerdefinierte Scans von Web Security Scanner liefern detaillierte Informationen zu Ergebnissen in Bezug auf die Anwendungssicherheit, wie veraltete Bibliotheken, Cross-Site-Scripting oder Verwendung von gemischten Inhalten. Benutzerdefinierte Scanergebnisse sind in Security Command Center verfügbar, nachdem Sie den Leitfaden zum Einrichten benutzerdefinierter Web Security Scanner-Scans befolgt haben.

Detektoren und Compliance

Web Security Scanner unterstützt Kategorien in den OWASP Top Ten, einem Dokument, das eine Einstufung und eine Anleitung zur Korrektur der zehn wichtigsten Sicherheitsrisiken für Webanwendungen enthält. Öffnen Sie das Webanwendungs-Sicherheitsprojekt (OWASP). Eine Anleitung zum Vermeiden von OWASP-Risiken finden Sie unter OWASP-Top-10-Risikominderungen in Google Cloud.

Die Compliance-Zuordnung ist als Referenz enthalten und wird von der OWASP Foundation nicht zur Verfügung gestellt oder überprüft.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienste gemäß allen regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Kategorie	Ergebnisbeschreibung	OWASP 2017 Top 10	OWASP 2021 Top 10
`Accessible Git repository` Kategoriename in der API: `ACCESSIBLE_GIT_REPOSITORY`	Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository. Preisstufe: Standard Dieses Ergebnis korrigieren	A5	A01
`Accessible SVN repository` Kategoriename in der API: `ACCESSIBLE_SVN_REPOSITORY`	Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository. Preisstufe: Standard Dieses Ergebnis korrigieren	A5	A01
`Cacheable password input` Kategoriename in der API: `CACHEABLE_PASSWORD_INPUT`	In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden. Preisstufe: Premium Dieses Ergebnis korrigieren	A3	A04
`Clear text password` Kategoriename in der API: `CLEAR_TEXT_PASSWORD`	Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort. Preisstufe: Standard Dieses Ergebnis korrigieren	A3	A02
`Insecure allow origin ends with validation` Kategoriename in der API: `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Suffix des Anfrageheaders `Origin`, bevor er im Antwortheader `Access-Control-Allow-Origin` widergespiegelt wird. Prüfen Sie zur Korrektur dieses Ergebnisses, ob die erwartete Stammdomain Teil des Headerwerts `Origin` ist, bevor Sie sie im Antwortheader `Access-Control-Allow-Origin` angeben. Stellen Sie bei Subdomain-Platzhaltern der Stammdomain einen Punkt voran, z. B. `.endsWith(".google.com")`. Preisstufe: Premium Dieses Ergebnis korrigieren	A5	A01
`Insecure allow origin starts with validation` Kategoriename in der API: `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Präfix des Anfrageheaders `Origin`, bevor er im Antwortheader `Access-Control-Allow-Origin` widergespiegelt wird. Um dieses Ergebnis zu korrigieren, prüfen Sie, ob die erwartete Domain vollständig mit dem Headerwert `Origin` übereinstimmt, bevor Sie sie im Antwortheader `Access-Control-Allow-Origin` angeben, z. B. `.equals(".google.com")`. Preisstufe: Premium Dieses Ergebnis korrigieren	A5	A01
`Invalid content type` Kategoriename in der API: `INVALID_CONTENT_TYPE`	Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu korrigieren, legen Sie für den HTTP-Header `X-Content-Type-Options` den richtigen Wert fest. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Invalid header` Kategoriename in der API: `INVALID_HEADER`	Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Mismatching security header values` Kategoriename in der API: `MISMATCHING_SECURITY_HEADER_VALUES`	Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Misspelled security header name` Kategoriename in der API: `MISSPELLED_SECURITY_HEADER_NAME`	Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Mixed content` Kategoriename in der API: `MIXED_CONTENT`	Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden. Preisstufe: Standard Dieses Ergebnis korrigieren	A6	A05
`Outdated library` Kategoriename in der API: `OUTDATED_LIBRARY`	Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben. Preisstufe: Standard Dieses Ergebnis korrigieren	A9	A06
`Server side request forgery` Kategoriename in der API: `SERVER_SIDE_REQUEST_FORGERY`	Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben. Preisstufe: Standard