[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"Translation issue"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"Other"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"Easy to understand"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"Solved my problem"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"Other"
}]
Sicherheitsquellen für Sicherheitslücken und Bedrohungen
>
Eine Liste der Sicherheitsquellen von Google Cloud, die im Security Command Center verfügbar sind.
Wenn Sie eine Sicherheitsquelle aktivieren, werden im Security Command Center Sicherheitslücken und Bedrohungsdaten angezeigt.
Mit Security Command Center können Sie Sicherheitslücken und Sicherheitsbedrohungen auf viele verschiedene Arten filtern und ansehen, z. B. nach einem bestimmten Ergebnistyp, Ressourcentyp oder einem bestimmten Asset filtern. Für jede Sicherheitsquelle gibt es möglicherweise mehr Filter, damit Sie die Ergebnisse Ihrer Organisation besser organisieren können.
Die Sicherheitslückenerkennung kann Ihnen dabei helfen, mögliche Schwachstellen zu finden.
Security Health Analytics – Sicherheitslücken
Das von Security Health Analytics verwaltete Scannen der Sicherheitslückenbewertung für Google Cloud kann häufige Sicherheitslücken und Fehlkonfigurationen automatisch erkennen:
Cloud Monitoring und Cloud Logging
Compute Engine
Google Kubernetes Engine-Container und -Netzwerke
cl
Cloud SQL
Identitäts- und Zugriffsverwaltung
Cloud Key Management Service (Cloud KMS)
Cloud DNS
Security Health Analytics wird automatisch aktiviert, wenn Sie die Standard- oder Premium-Stufe von Security Command Center auswählen. Wenn Security Health Analytics aktiviert ist, werden Scans automatisch zweimal täglich im Abstand von 12 Stunden gescannt.
Security Health Analytics scannt viele Sicherheitslücken. Sie können die Ergebnisse nach Detektortyp gruppieren. Verwenden Sie Security Detect Analytics-Detektornamen, um Ergebnisse nach dem Ressourcentyp zu filtern, für den sie sich befinden.
Eine vollständige Liste der Detektoren und Ergebnisse der Security Health Analytics finden Sie auf der Seite Ergebnisse der Security Health Analytics oder maximieren Sie den folgenden Abschnitt.
Security Health Analytics – Detektoren
In den folgenden Tabellen werden die Detektortypen und spezifischen Sicherheitslückentypen beschrieben, die von Security Health Analytics generiert werden können. Sie können Ergebnisse nach Detektorname und Ergebnistyp auf dem Tab für Sicherheitslücken in Security Command Center in der Google Cloud Console filtern. Folgende Kategorien sind verfügbar:
Diese Tabellen enthalten eine Beschreibung der Zuordnung zwischen unterstützten Detektoren und der Best-Effort-Zuordnung zu relevanten Compliance-Systemen.
Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienstleistungen gemäß aller regulatorischen oder branchenspezifischen Benchmarks oder Standards.
Ergebnisse der Multi-Faktor-Authentifizierung
Der MFA_SCANNER-Detektor identifiziert Sicherheitslücken im Zusammenhang mit der Multi-Faktor-Authentifizierung für Nutzer.
Ergebnisse zu Sicherheitslücken beim API-Schlüssel
Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.
Tabelle 2. API-Schlüssel-Scanner
Kategorie
Ergebnisbeschreibung
Preisstufe
CIS GCP Foundation 1.0
PCI DSS v3.2.1
OWASP Top 10
NIST 800–53
ISO-27001
API_KEY_APIS_UNRESTRICTED
API-Schlüssel werden zu umfassend verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden.
Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.
Der COMPUTE_INSTANCE_SCANNER-Detektor erfasst keine Ergebnisse zu den von GKE erstellten Compute Engine-Instanzen. Diese Instanzen haben Namen, die mit „gke-“ beginnen und nicht direkt von Nutzern bearbeitet werden können. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.
Tabelle 4. Scanner von Compute-Instanzen
Kategorie
Ergebnisbeschreibung
Preisstufe
CIS GCP Foundation 1.0
PCI DSS v3.2.1
OWASP Top 10
NIST 800–53
ISO-27001
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist.
Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen.
Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEK) verschlüsselt. Für diesen Detektor ist eine zusätzliche Konfiguration erforderlich. Wenden Sie die Sicherheitsmarkierungenforce_customer_supplied_disk_encryption_keys mit dem Wert true auf die Assets an, die Sie überwachen möchten, um diesen Detektor zu aktivieren.
Das Feature für automatische Upgrades von GKE-Clustern, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert.
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.
Tabelle 8. Firewall-Scanner
Kategorie
Ergebnisbeschreibung
Preisstufe
CIS GCP Foundation 1.0
PCI DSS v3.2.1
OWASP Top 10
NIST 800–53
ISO-27001
EGRESS_DENY_RULE_NOT_SET
In einer Firewall ist keine Regel zum Ablehnen von ausgehendem Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren.
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.
Tabelle 9. IAM-Scanner
Kategorie
Ergebnisbeschreibung
Preisstufe
CIS GCP Foundation 1.0
PCI DSS v3.2.1
OWASP Top 10
NIST 800–53
ISO-27001
ADMIN_SERVICE_ACCOUNT
Ein Dienstkonto hat Administrator-, Eigentümer- oder Bearbeiterberechtigungen. Diese Rollen sollten nicht vom Nutzer erstellten Dienstkonten zugewiesen werden.
Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Rollen hat: Cloud KMS-CryptoKey-Verschlüsseler/Entschlüsseler (Cloud Key Management Service), Verschlüsseler oder Entschlüsseler.
Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 wird dieser Detektor derzeit nur von Identitäten mit @gmail.com-E-Mail-Adressen ausgelöst.
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:
Den RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll.
Die QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken.
Die AlertPolicyFailureReasons, die angeben, ob für das Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder ob die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
Tabelle 12. Monitoring-Scanner
Kategorie
Ergebnisbeschreibung
Preisstufe
CIS GCP Foundation 1.0
PCI DSS v3.2.1
OWASP Top 10
NIST 800–53
ISO-27001
AUDIT_CONFIG_NOT_MONITORED
Logmesswerte und Benachrichtigungen sind nicht so konfiguriert, dass Änderungen an der Audit-Konfiguration überwacht werden.
Ergebnisse der Organisationsrichtlinien-Sicherheitslücke
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY.
Tabelle 14. Organisationsrichtlinien-Scanner
Kategorie
Ergebnisbeschreibung
Preisstufe
CIS GCP Foundation 1.0
PCI DSS v3.2.1
OWASP Top 10
NIST 800–53
ISO-27001
ORG_POLICY_CONFIDENTIAL_VM_POLICY
Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Einschränkung für Organisationsrichtlinien finden Sie in der Dokumentation für vertrauliche VM unter
Einschränkungen für Organisationsrichtlinien erzwingen.
Eine Ressource verstößt gegen die Organisationsrichtlinie constraints/gcp.resourceLocations. Weitere Informationen zu dieser Einschränkung für Organisationsrichtlinien finden Sie unter
Ressourcenstandorte beschränken.
Web Security Scanner ermöglicht verwaltetes und benutzerdefiniertes Scannen auf Sicherheitslücken im Web für öffentliche App Engine-, GKE- und Compute Engine-Dienste.
Verwaltete Scans
Von Web Security Scanner verwaltete Scans werden von Security Command Center konfiguriert und verwaltet. Verwaltete Scans werden jede Woche automatisch ausgeführt, um öffentliche Webendpunkte zu erkennen und zu scannen. Bei diesen Scans wird keine Authentifizierung verwendet. Sie senden nur GET-Anfragen, sodass sie keine Formulare auf Live-Websites senden.
Verwaltete Scans werden getrennt von benutzerdefinierten Scans ausgeführt, die Sie auf Projektebene definieren. Mit verwalteten Scans können Sie die grundlegende Erkennung von Sicherheitslücken in Webanwendungen für Projekte in Ihrer Organisation zentral verwalten, ohne einzelne Projektteams einzubeziehen. Wenn Ergebnisse gefunden werden, können Sie mit diesen Teams zusammenarbeiten, um umfassendere benutzerdefinierte Scans einzurichten.
Wenn Sie Web Security Scanner als Dienst aktivieren, sind die Ergebnisse des verwalteten Scans automatisch auf dem Tab "Sicherheitslücken" des Security Command Center und in zugehörigen Berichten verfügbar. Informationen zum Aktivieren verwalteter Scans in Web Security Scanner finden Sie unter Security Command Center konfigurieren.
Benutzerdefinierte Scans
Benutzerdefinierte Scans von Web Security Scanner liefern detaillierte Informationen zu Ergebnissen in Bezug auf die Anwendungssicherheit, wie veraltete Bibliotheken, Cross-Site-Scripting oder Verwendung von gemischten Inhalten. Benutzerdefinierte Scanergebnisse sind in Security Command Center verfügbar, nachdem Sie den Leitfaden zum Einrichten benutzerdefinierter Web Security Scanner-Scans befolgt haben.
Diese Tabellen enthalten eine Beschreibung der Zuordnung zwischen unterstützten Detektoren und der Best-Effort-Zuordnung zu relevanten Compliance-Systemen.
Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienstleistungen gemäß aller regulatorischen oder branchenspezifischen Benchmarks oder Standards.
Im Folgenden finden Sie Typen, die von benutzerdefinierten und verwalteten Scans von Web Security Scanner identifiziert werden. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.
Tabelle 18. Web Security Scanner-Ergebnisse
Category
Ergebnisbeschreibung
CIS GCP Foundation 1.0
PCI DSS v3.2.1
OWASP Top 10
NIST 800–53
ISO-27001
ACCESSIBLE_GIT_REPOSITORY
Ein GIT-Repository ist öffentlich zugänglich. Um dieses Problem zu beheben, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository.
A3
ACCESSIBLE_SVN_REPOSITORY
Ein SVN-Repository ist öffentlich zugänglich. Um dieses Problem zu beheben, entfernen Sie den öffentlichen Zugriff auf das SVN-Repository.
A3
CLEAR_TEXT_PASSWORD
Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Problem zu beheben, verschlüsseln Sie das über das Netzwerk übertragene Passwort.
A3
INVALID_CONTENT_TYPE
Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Problem zu lösen, legen Sie für den HTTP-Header "X-Content-Type-Options" den richtigen Wert fest.
A6
INVALID_HEADER
Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest.
A6
MISMATCHING_SECURITY_HEADER_VALUES
Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest.
A6
MISSPELLED_SECURITY_HEADER_NAME
Ein Sicherheitsheader ist falsch geschrieben und wird ignoriert. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest.
A6
MIXED_CONTENT
Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden.
A6
OUTDATED_LIBRARY
Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben.
A9
XSS
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Problem zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten.
A7
XSS_ANGULAR_CALLBACK
Ein vom Nutzer bereitgestellter String ist nicht maskiert und kann von AngularJS interpoliert werden. Um dieses Problem zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden.
A7
XSS_ERROR
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Problem zu beheben, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.
A7
Bedrohungen
Mit Bedrohungsdetektoren können Sie potenziell schädliche Ereignisse finden.
Anomalieerkennung
Anomalieerkennung ist ein integrierter Dienst, der Verhaltenssignale von außerhalb Ihres Systems verwendet. Er zeigt detaillierte Informationen zu erkannten Sicherheitsanomalien für Ihre Projekte und VM-Instanzen an, z. B. potenzielle gehackte Anmeldedaten und Mining von Münzen. Die Anomalieerkennung wird automatisch aktiviert, wenn Sie die Security Command Center Standard- oder Premium-Stufe abonnieren. Die Ergebnisse sind im Dashboard von Security Command Center verfügbar.
Beispiele für Ergebnisse der Anomalieerkennung:
Tabelle B. Anomaliekategorien bei der Anomalieerkennung
Manipulationspotenzial
Beschreibung
account_has_leaked_credentials
Anmeldedaten für ein Google Cloud-Dienstkonto wurden versehentlich online offengelegt oder manipuliert.
resource_compromised_alert
Potenzielle Manipulation einer Ressource in Ihrer Organisation.
Missbrauchsszenarien
Beschreibung
resource_involved_in_coin_mining
Verhaltenssignale um eine VM in Ihrer Organisation weisen darauf hin, dass eine Ressource möglicherweise manipuliert wurde und für Cryptomining verwendet wird.
outgoing_intrusion_attempt
Angriffe und Portscans: Eine der Ressourcen oder Google Cloud-Dienste in Ihrer Organisation werden für Angriffsaktivitäten verwendet, z. B. für den Versuch, in ein Zielsystem einzubrechen oder es zu manipulieren. Dazu gehören SSH-Brute-Force-Angriffe, Port-Scans und FTP-Brute-Force-Angriffe.
resource_used_for_phishing
Eine der Ressourcen oder Google Cloud-Dienste in Ihrer Organisation werden für Phishing verwendet.
Container Threat Detection
Container Threat Detection kann die gängigsten Containerlaufzeit-Angriffe erkennen und Sie in Security Command Center sowie optional in Cloud Logging benachrichtigen.
Container Threat Detection umfasst mehrere Erkennungsfunktionen, ein Analysetool und eine API.
Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel, um die folgenden Ereignisse zu erkennen:
Mit Cloud DLP Data Discovery können Sie die Ergebnisse der Cloud DLP-Scans in Cloud Data Loss Prevention direkt im Dashboard des Security Command Center und in Finding Inventory darstellen. Mit Cloud DLP können Sie sensible Daten und personenidentifizierbare Informationen (PII) besser verstehen und verwalten:
Kreditkartennummern
Namen
Sozialversicherungsnummern
USA und ausgewählte internationale Identifikationsnummern
Telefonnummern
Google Cloud-Anmeldedaten
Jedes Cloud DLP Data Discovery-Ergebnis enthält nur den Kategorietyp der identifizierten personenidentifizierbaren Daten und die Ressource, in der es gefunden wurde. Nicht enthalten sind die spezifischen zugrunde liegenden Daten.
Nachdem Sie die in der Anleitung beschriebenen Einrichtungsschritte zum Senden von DLP API-Ergebnisse an Security Command Center ausgeführt haben, werden die Ergebnisse des Cloud DLP-Scans in Security Command Center angezeigt.
Event Threat Detection verwendet Logdaten innerhalb Ihrer Systeme. Es beobachtet den Cloud Logging-Stream Ihrer Organisation für ein oder mehrere Projekte und verbraucht Logs, sobald sie verfügbar sind. Wenn eine Bedrohung erkannt wird, schreibt Event Threat Detection ein Ergebnis in Security Command Center und in ein Cloud Logging-Projekt.
Event Threat Detection wird automatisch aktiviert, wenn Sie die Premium-Stufe für Security Command Center abonnieren. Die Ergebnisse sind im Dashboard von Security Command Center verfügbar.
Beispiele für Ergebnisse von Event Threat Detection:
Tabelle C. Event Threat Detection-Typen
Daten-Exfiltration
Event Threat Detection erkennt die Daten-Exfiltration in BigQuery, indem Audit-Logs für zwei Szenarien analysiert werden:
Eine Ressource wird außerhalb Ihrer Organisation gespeichert oder es wird versucht, einen Kopiervorgang auszuführen, der von VPC Service Controls blockiert wird.
Es wird versucht, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind.
Brute-Force-SSH
Event Threat Detection erkennt Brute-Force von Passwortauthentifizierungs-SSH, indem es Syslog-Logs auf wiederholte Fehler überprüft, mit anschließendem Erfolg.
Kryptomining
Event Threat Detection erkennt Coin Mining-Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten fehlerhaften Domains für Mining-Pools untersucht werden.
IAM-Missbrauch
Anomale IAM-Berechtigungen: Event Threat Detection erkennt das Hinzufügen von IAM-Berechtigungen, die als ungewöhnlich betrachtet werden können, wie zum Beispiel:
Hinzufügen eines gmail.com-Nutzers zu einer Richtlinie mit der Rolle des Projektbearbeiters.
Einladen eines gmail.com-Nutzers als Projektinhaber über die Google Cloud Console.
Dienstkonto, das vertrauliche Berechtigungen gewährt.
Dienstkonto, das von außerhalb Ihrer Organisation hinzugefügt wurde.
Malware
Event Threat Detection erkennt Malware, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Befehls- und Kontrolldomains und IP-Adressen untersucht.
Phishing
Event Threat Detection erkennt Phishing, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Phishing-Domains und IP-Adressen untersucht.
Ausgehender DoS
Event Threat Detection untersucht VPC-Flusslogs, um den ausgehenden Denial-of-Service-Traffic zu erkennen.
Ungewöhnliches IAM-Verhalten Vorschau
Event Threat Detection prüft IAM-Audit-Logs auf Zugriffe von ungewöhnlichen IP-Adressen und ungewöhnlichen User-Agents.
Eigenständige Untersuchung des Dienstkontos Vorschau
Event Threat Detection erkennt, wenn Anmeldedaten für Dienstkonten verwendet werden, um die mit demselben Dienstkonto verknüpften Rollen und Berechtigungen zu untersuchen.
Forseti Security bietet Ihnen Tools, mit denen Sie sich einen Überblick über alle Ressourcen in Google Cloud verschaffen können. Die Forseti-Kernmodule arbeiten zusammen, um vollständige Informationen bereitzustellen, sodass Sie Ressourcen sichern und Sicherheitsrisiken minimieren können.
Der Phishing-Schutz hilft dabei, Nutzer am Zugriff auf Phishing-Websites zu hindern, indem bösartige Inhalte, die Ihre Marke verwenden, klassifiziert und die unsicheren URLs an Google Safe Browsing gemeldet werden.
Wenn eine Website in die Safe Browsing-Liste eingetragen wurde, erhalten Nutzer auf mehr als drei Milliarden Geräten Warnmeldungen.
Eine Anleitung zum Phishing-Schutz finden Sie unter Phishing-Schutz aktivieren.
Nachdem Sie den Phishing-Schutz aktiviert haben, werden die Ergebnisse im Security Command Center auf der Karte Phishing-Schutz unter Ergebnisse angezeigt.