Sicherheitsquellen für Sicherheitslücken und Bedrohungen

>

Eine Liste der Google Cloud-Sicherheitsquellen, die in Security Command Center verfügbar sind. Wenn Sie eine Sicherheitsquelle aktivieren, werden Daten zu Sicherheitslücken und Bedrohungen im Security Command Center-Dashboard bereitgestellt.

Mit Security Command Center können Sie Sicherheitslücken und Sicherheitsbedrohungen auf viele verschiedene Arten filtern und ansehen, z. B. nach einem bestimmten Ergebnistyp, Ressourcentyp oder einem bestimmten Asset filtern. Jede Sicherheitsquelle kann weitere Filter enthalten, mit denen Sie die Ergebnisse Ihrer Organisation organisieren können.

Weitere Informationen finden Sie unter Dashboard von Security Command Center verwenden.

Sicherheitslücken

Die Sicherheitslückenerkennung kann Ihnen dabei helfen, mögliche Schwachstellen zu finden.

Security Health Analytics – Sicherheitslücken

Das von Security Health Analytics verwaltete Scannen der Sicherheitslückenbewertung für Google Cloud kann häufige Sicherheitslücken und Fehlkonfigurationen automatisch erkennen:

• Cloud Monitoring und Cloud Logging
• Compute Engine
• Google Kubernetes Engine-Container und -Netzwerke
• cl
• Cloud SQL
• Identitäts- und Zugriffsverwaltung
• Cloud Key Management Service (Cloud KMS)
• Cloud DNS

Security Health Analytics wird automatisch aktiviert, wenn Sie die Standard- oder Premium-Stufe von Security Command Center auswählen. Wenn Security Health Analytics aktiviert ist, werden Scans automatisch zweimal täglich im Abstand von 12 Stunden gescannt.

Security Health Analytics scannt viele Sicherheitslücken. Sie können die Ergebnisse nach Detektortyp gruppieren. Verwenden Sie Security Detect Analytics-Detektornamen, um Ergebnisse nach dem Ressourcentyp zu filtern, für den sie sich befinden.

Eine vollständige Liste der Detektoren und Ergebnisse der Security Health Analytics finden Sie auf der Seite Ergebnisse der Security Health Analytics oder maximieren Sie den folgenden Abschnitt.

Security Health Analytics – Detektoren

In den folgenden Tabellen werden die Detektortypen und spezifischen Sicherheitslückentypen beschrieben, die von Security Health Analytics generiert werden können. Sie können Ergebnisse nach Detektorname und Ergebnistyp auf dem Tab für Sicherheitslücken in Security Command Center in der Google Cloud Console filtern. Folgende Kategorien sind verfügbar:

• Ergebnisse zu Sicherheitslücken bei Bestätigung in zwei Schritten
• Ergebnisse zu Sicherheitslücken bei API-Schlüsseln
• Ergebnisse zu Sicherheitslücken bei Compute Image
• Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
• Ergebnisse zu Container-Sicherheitslücken
• Ergebnisse zu Dataset-Sicherheitslücken
• Ergebnisse zu DNS-Sicherheitslücken
• Ergebnisse zu Firewall-Sicherheitslücken
• Ergebnisse zu IAM-Sicherheitslücken
• Ergebnisse zu KMS-Sicherheitslücken
• Ergebnisse zu Logging-Sicherheitslücken
• Ergebnisse zu Monitoring-Sicherheitslücken
• Ergebnisse zu Netzwerksicherheitslücken
• Ergebnisse zu Sicherheitslücken in der ORG-Richtlinie
• Ergebnisse zu SQL-Sicherheitslücken
• Ergebnisse zu Speichersicherheitslücken
• Ergebnisse zu Subnetzwerk-Sicherheitslücken

Diese Tabellen enthalten eine Beschreibung der Zuordnung zwischen unterstützten Detektoren und der Best-Effort-Zuordnung zu relevanten Compliance-Systemen.

Die Zuordnungen von CIS Google Cloud Foundation 1.0 wurden vom Center for Internet Security auf die Übereinstimmung mit dem CIS Google Cloud Computing Foundations Benchmark v1.0.0 geprüft und zertifiziert. Zusätzliche Compliance-Zuordnungen sind zu Referenzzwecken enthalten und werden nicht vom Payment Card Industry Data Security Standard oder der OWASP Foundation bereitgestellt oder geprüft. Weitere Informationen finden Sie unter CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0), Payment Card Industry Data Security Standard 3.2.1 (PCI-DSS v3.2.1) OWASP Top Ten, National Institute of Standards and Technology 800-53 (NIST 800-53) und International Organization for Standardization 27001 (ISO 27001) zur manuellen Prüfung auf diese Verstöße.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienstleistungen gemäß aller regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Ergebnisse zur Bestätigung in zwei Schritten

Der Detektor 2SV_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit der Bestätigung in zwei Schritten für Nutzer.

Tabelle 1. Scanner zur Bestätigung in zwei Schritten

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
2SV_NOT_ENFORCED	Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden.	Premium oder Standard	1.2	8.3		IA-2	A.9.4.2

Ergebnisse zu Sicherheitslücken beim API-Schlüssel

Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.

Tabelle 2. API-Schlüssel-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
API_KEY_APIS_UNRESTRICTED	API-Schlüssel werden zu umfassend verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden.	Premium	1.12
API_KEY_APPS_UNRESTRICTED	API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen.	Premium	1.11
API_KEY_EXISTS	Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung.	Premium	1.10
API_KEY_NOT_ROTATED	Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert.	Premium	1.13

Ergebnisse zu Sicherheitslücken bei Compute-Images

Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.

Tabelle 2. Compute Image-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
PUBLIC_COMPUTE_IMAGE	Ein Compute Engine-Image ist öffentlich zugänglich.	Premium oder Standard

Ergebnisse zu Sicherheitslücken bei Compute-Instanzen

Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.

Der COMPUTE_INSTANCE_SCANNER-Detektor erfasst keine Ergebnisse zu den von GKE erstellten Compute Engine-Instanzen. Diese Instanzen haben Namen, die mit „gke-“ beginnen und nicht direkt von Nutzern bearbeitet werden können. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.

Tabelle 4. Scanner von Compute-Instanzen

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist.	Premium	4,2
COMPUTE_SECURE_BOOT_DISABLED	Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen.	Premium
COMPUTE_SERIAL_PORTS_ENABLED	Serielle Ports sind für eine Instanz aktiviert, sodass Verbindungen zur seriellen Konsole der Instanz möglich sind.	Premium	4.4
DISK_CSEK_DISABLED	Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEK) verschlüsselt. Für diesen Detektor ist eine zusätzliche Konfiguration erforderlich. Wenden Sie die Sicherheitsmarkierung enforce_customer_supplied_disk_encryption_keys mit dem Wert true auf die Assets an, die Sie überwachen möchten, um diesen Detektor zu aktivieren.	Premium	4.6
FULL_API_ACCESS	Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet.	Premium	4.1	7.1.2		AC-6	A.9.2.3
HTTP_LOAD_BALANCER	Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist.	Premium		2.3
IP_FORWARDING_ENABLED	Die IP-Weiterleitung ist für Instanzen aktiviert.	Premium	4.5
OS_LOGIN_DISABLED	OS Login ist für diese Instanz deaktiviert.	Premium	4.3
PUBLIC_IP_ADDRESS	Eine Instanz hat eine öffentliche IP-Adresse.	Premium oder Standard		1.2.1 1.3.5		CA-3 SC-7
SHIELDED_VM_DISABLED	Shielded VM ist für diese Instanz deaktiviert.	Premium
WEAK_SSL_POLICY	Eine Instanz hat eine schwache SSL-Richtlinie.	Premium		4.1		SC-7	A.14.1.3
DEFAULT_SERVICE_ACCOUNT_USED	Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert.	Premium

Ergebnisse zu Container-Sicherheitslücken

Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.

Tabelle 5. Container-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
AUTO_REPAIR_DISABLED	Das Feature für automatische Reparaturen von GKE-Clustern, die Knoten in einem fehlerfreien, laufenden Zustand beibehält, ist deaktiviert.	Premium	7.7	2.2
AUTO_UPGRADE_DISABLED	Das Feature für automatische Upgrades von GKE-Clustern, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert.	Premium	7.8	2.2
CLUSTER_LOGGING_DISABLED	Logging ist für einen GKE-Cluster nicht aktiviert.	Premium	7.1	10.2.2 10.2.7
CLUSTER_MONITORING_DISABLED	Cloud Monitoring ist für GKE-Cluster deaktiviert.	Premium	7.2	10.1 10.2
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Clusterhosts sind nicht so konfiguriert, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden.	Premium	7.1	1.3
COS_NOT_USED	Compute Engine-VMs nutzen nicht das Container-Optimzed OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde.	Premium	7.9	2.2
IP_ALIAS_DISABLED	Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt.	Premium	7.1	1.3.4 1.3.7
LEGACY_AUTHORIZATION_ENABLED	Die Legacy-Autorisierung ist für GKE-Cluster aktiviert.	Premium	7.3	4.1
LEGACY_METADATA_ENABLED	Legacy-Metadaten sind für GKE-Cluster aktiviert.	Premium
MASTER_AUTHORIZED_NETWORKS_DISABLED	Autorisierte Masternetzwerke sind auf GKE-Clustern nicht aktiviert.	Premium	7.4	1.2.1 1.3.2
NETWORK_POLICY_DISABLED	Die Netzwerkrichtlinie ist auf GKE-Clustern deaktiviert.	Premium	7.1	1.3		SC-7	A.13.1.1
OVER_PRIVILEGED_ACCOUNT	Ein Dienstkonto hat in einem Cluster übermäßigen Projektzugriff.	Premium	7.1	2.1 7.1.2		AC-6 SC-7	A.9.2.3
OVER_PRIVILEGED_SCOPES	Ein Knotendienstkonto hat übermäßige Zugriffsbereiche.	Premium	7.1
POD_SECURITY_POLICY_DISABLED	PodSecurityPolicy ist auf einem GKE-Cluster deaktiviert.	Premium	7.1
PRIVATE_CLUSTER_DISABLED	Auf einem GKE-Cluster ist ein privater Cluster deaktiviert.	Premium	7.1	1.3.2
WEB_UI_ENABLED	Die GKE-Web-UI (Dashboard) ist aktiviert.	Premium oder Standard	7.6	6.6
WORKLOAD_IDENTITY_DISABLED	Workload Identity ist auf einem GKE-Cluster deaktiviert.	Premium

Ergebnisse zu Dataset-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.

Tabelle 6. Dataset-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
PUBLIC_DATASET	Ein Dataset ist für den öffentlichen Zugriff freigegeben.	Premium		7.1		AC-2	A.8.2.3 A.14.1.3

Ergebnisse zu DNS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.

Tabelle 7. DNS-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
DNSSEC_DISABLED	DNSSEC ist für Cloud DNS-Zonen deaktiviert.	Premium	3,3				A.8.2.3
RSASHA1_FOR_SIGNING	RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet.	Premium	3.4 3.5

Ergebnisse zu Firewall-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.

Tabelle 8. Firewall-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
EGRESS_DENY_RULE_NOT_SET	In einer Firewall ist keine Regel zum Ablehnen von ausgehendem Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren.	Premium		7.2
FIREWALL_RULE_LOGGING_DISABLED	Firewallregel-Logging ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können	Premium		10.1 10.2		SI-4	A.13.1.1
OPEN_CASSANDRA_PORT	Eine Firewall ist für einen offenen CASSANDRA-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_CISCOSECURE_WEBSM_PORT	Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_DIRECTORY_SERVICES_PORT	Eine Firewall ist für einen offenen DIRECTORY_SERVICES-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_DNS_PORT	Eine Firewall ist für einen offenen DNS-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_ELASTICSEARCH_PORT	Eine Firewall ist für einen offenen ELASTICSEARCH-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_FIREWALL	Eine Firewall ist für den öffentlichen Zugriff konfiguriert.	Premium oder Standard		1.2.1
OPEN_FTP_PORT	Eine Firewall ist für einen offenen FTP-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_HTTP_PORT	Eine Firewall ist für einen offenen HTTP-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_LDAP_PORT	Eine Firewall ist für einen offenen LDAP-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_MEMCACHED_PORT	Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_MONGODB_PORT	Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_MYSQL_PORT	Eine Firewall ist für einen offenen MYSQL-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_NETBIOS_PORT	Eine Firewall ist für einen offenen NETBIOS-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_ORACLEDB_PORT	Eine Firewall ist für einen offenen ORACLEDB-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_POP3_PORT	Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_POSTGRESQL_PORT	Eine Firewall ist für einen offenen POSTGRESQL-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_RDP_PORT	Eine Firewall ist für einen offenen SSH-Port mit generischem Zugriff konfiguriert.	Premium oder Standard	3,7	1.2.1		SC-7	A.13.1.1
OPEN_REDIS_PORT	Eine Firewall ist für einen offenen REDIS-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_SMTP_PORT	Eine Firewall ist für einen offenen SMTP-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1
OPEN_SSH_PORT	Eine Firewall ist für einen offenen SSH-Port mit generischem Zugriff konfiguriert.	Premium oder Standard	3,6	1.2.1		SC-7	A.13.1.1
OPEN_TELNET_PORT	Eine Firewall ist für einen offenen TELNET-Port mit generischem Zugriff konfiguriert.	Premium		1.2.1		SC-7	A.13.1.1

Ergebnisse zu IAM-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.

Tabelle 9. IAM-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
ADMIN_SERVICE_ACCOUNT	Ein Dienstkonto hat Administrator-, Inhaber- oder Bearbeiterrechte. Diese Rollen sollten keinen von Nutzern erstellten Dienstkonten zugewiesen werden.	Premium	1.4
KMS_ROLE_SEPARATION	Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Rollen hat: Cloud KMS-CryptoKey-Verschlüsseler/Entschlüsseler (Cloud Key Management Service), Verschlüsseler oder Entschlüsseler.	Premium	1.9			AC-5	A.9.2.3 A.10.1.2
NON_ORG_IAM_MEMBER	Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 wird dieser Detektor derzeit nur von Identitäten mit @gmail.com-E-Mail-Adressen ausgelöst.	Premium oder Standard	1.1	7.1.2		AC-3	A.9.2.3
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Ein Nutzer hat die Rolle „Dienstkontonutzer“ oder „Dienstkonto-Token-Ersteller“ auf Projektebene, statt für ein bestimmtes Dienstkonto.	Premium	1.5	7.1.2		AC-6	A.9.2.3
PRIMITIVE_ROLES_USED	Ein Nutzer hat die einfache Rolle "Inhaber", "Autor" oder "Leser". Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden.	Premium		7.1.2		AC-6	A.9.2.3
REDIS_ROLE_USED_ON_ORG	Eine Redis-IAM-Rolle wird auf der Organisations- oder Ordnerebene zugewiesen.	Premium		7.1.2			A.9.2.3
SERVICE_ACCOUNT_ROLE_SEPARATION	Einem Nutzer wurden die Rollen "Dienstkontoadministrator" und "Dienstkontonutzer" zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung".	Premium	1.7			AC-5	A.9.2.3
SERVICE_ACCOUNT_KEY_NOT_ROTATED	Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert.	Premium	1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY	Ein Dienstkontoschlüssel wird von einem Nutzer verwaltet.	Premium	1.3

Ergebnisse zu KMS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.

Tabelle 10. KMS-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
KMS_KEY_NOT_ROTATED	Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Schlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden	Premium	1.8	3.5		SC-12	A.10.1.2
KMS_PROJECT_HAS_OWNER	Ein Nutzer hat Inhaberberechtigungen für ein Projekt mit kryptografischen Schlüsseln.	Premium		3.5		AC-6 SC-12	A.9.2.3 A.10.1.2
TOO_MANY_KMS_USERS	Es gibt mehr als drei Nutzer kryptografischer Schlüssel.	Premium		3.5.2			A.9.2.3

Ergebnisse zu Logging-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.

Tabelle 11. Logging-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
AUDIT_LOGGING_DISABLED	Audit-Logging wurde für diese Ressource deaktiviert.	Premium	2.1	10.1 10.2		AC-2 AU-2	A.12.4.1 A.16.1.7
BUCKET_LOGGING_DISABLED	Es ist ein Storage-Bucket vorhanden, für den kein Logging aktiviert ist.	Premium	5.3
LOG_NOT_EXPORTED	Es ist eine Ressource vorhanden, für die keine entsprechende Logsenke konfiguriert wurde.	Premium	2.2				A.18.1.3
LOCKED_RETENTION_POLICY_NOT_SET	Für ein Log ist keine gesperrte Aufbewahrungsrichtlinie festgelegt.	Premium		10.5		AU-11	A.12.4.2 A.18.1.3
OBJECT_VERSIONING_DISABLED	Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert.	Premium	2.3	10.5		AU-11	A.12.4.2 A.18.1.3

Ergebnisse zu Monitoring-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:

• Den RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll.
• Die QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken.
• Die AlertPolicyFailureReasons, die angeben, ob für das Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder ob die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.

Tabelle 12. Monitoring-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
AUDIT_CONFIG_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht so konfiguriert, dass Änderungen an der Audit-Konfiguration überwacht werden.	Premium	2,5
BUCKET_IAM_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud Storage-IAM-Berechtigungen konfiguriert.	Premium	2.10
CUSTOM_ROLE_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an benutzerdefinierten Rollen konfiguriert.	Premium	2,6
FIREWALL_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an den VPC-Netzwerk-Firewallregeln konfiguriert.	Premium	2.7
NETWORK_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert.	Premium	2.9
OWNER_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert.	Premium	2.4
ROUTE_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert.	Premium	2,8
SQL_INSTANCE_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der Konfiguration von Cloud SQL-Instanzen konfiguriert.	Premium	2.11

Ergebnisse zu Netzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.

Tabelle 13. Netzwerk-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
DEFAULT_NETWORK	Das Standardnetzwerk ist in einem Projekt vorhanden.	Premium	3.1
LEGACY_NETWORK	Ein Legacy-Netzwerk ist in einem Projekt vorhanden.	Premium	3.2

Ergebnisse zu Sicherheitslücken in der ORG-Richtlinie

Sicherheitslücken dieses Detektortyps beziehen sich jeweils auf die Konfiguration von Organisationsrichtlinien und gehören dem Typ ORG_POLICY an.

Tabelle 14. Scanner für Organisationsrichtlinien

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
ORG_POLICY_CONFIDENTIAL_VM_POLICY	Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Organisationsrichtlinieneinschränkung finden Sie unter Einschränkungen für Organisationsrichtlinien erzwingen in der Dokumentation zu vertraulichen VM.	Premium

Ergebnisse zu SQL-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.

Tabelle 15. SQL-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
AUTO_BACKUP_DISABLED	In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert.	Premium				CP-9	A.12.3.1
PUBLIC_SQL_INSTANCE	Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen.	Premium oder Standard	6.2	1.2.1		CA-3 SC-7	A.8.2.3 A.13.1.3 A.14.1.3
SSL_NOT_ENFORCED	Eine Cloud SQL-Datenbankinstanz benötigt nicht alle eingehenden Verbindungen zur Verwendung von SSL.	Premium oder Standard	6.1	4.1		SC-7	A.8.2.3 A.13.2.1 A.14.1.3
SQL_NO_ROOT_PASSWORD	Eine Cloud SQL-Datenbank hat kein Passwort für das Root-Konto.	Premium	6.3	2.1		AC-3	A.8.2.3 A.9.4.2
SQL_PUBLIC_IP	Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse.	Premium
SQL_WEAK_ROOT_PASSWORD	In einer Cloud SQL-Datenbank ist ein schwaches Passwort für das Root-Konto konfiguriert.	Premium

Ergebnisse zu Speichersicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.

Tabelle 16. Storage-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
BUCKET_POLICY_ONLY_DISABLED	Uniform bucket-level access, zuvor Bucket Policy Only genannt, ist nicht konfiguriert.	Premium
PUBLIC_BUCKET_ACL	Ein Cloud Storage-Bucket ist öffentlich zugänglich.	Premium oder Standard	5.1	7.1		AC-2	A.8.2.3 A.14.1.3
PUBLIC_LOG_BUCKET	Als Logsenken verwendete Storage-Buckets sollten nicht öffentlich zugänglich sein.	Premium oder Standard		10.5		AU-9	A.8.2.3 A.12.4.2 A.18.1.3

Ergebnisse zu Subnetzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.

Tabelle 17. Subnetzwerk-Scanner

Kategorie	Ergebnisbeschreibung	Preisstufe	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
FLOW_LOGS_DISABLED	Es gibt ein VPC-Subnetzwerk, in dem Flusslogs deaktiviert sind.	Premium	3.9	10.1 10.2		SI-4	A.13.1.1
PRIVATE_GOOGLE_ACCESS_DISABLED	Es gibt private Subnetze ohne Zugriff auf öffentliche Google APIs.	Premium	3,8

Web Security Scanner

Web Security Scanner ermöglicht verwaltetes und benutzerdefiniertes Scannen auf Sicherheitslücken im Web für öffentliche App Engine-, GKE- und Compute Engine-Dienste.

Verwaltete Scans

Von Web Security Scanner verwaltete Scans werden von Security Command Center konfiguriert und verwaltet. Verwaltete Scans werden jede Woche automatisch ausgeführt, um öffentliche Webendpunkte zu erkennen und zu scannen. Bei diesen Scans wird keine Authentifizierung verwendet. Sie senden nur GET-Anfragen, sodass sie keine Formulare auf Live-Websites senden.

Verwaltete Scans werden getrennt von benutzerdefinierten Scans ausgeführt, die Sie auf Projektebene definieren. Mit verwalteten Scans können Sie die grundlegende Erkennung von Sicherheitslücken in Webanwendungen für Projekte in Ihrer Organisation zentral verwalten, ohne einzelne Projektteams einzubeziehen. Wenn Ergebnisse gefunden werden, können Sie mit diesen Teams zusammenarbeiten, um umfassendere benutzerdefinierte Scans einzurichten.

Wenn Sie Web Security Scanner als Dienst aktivieren, sind die Ergebnisse des verwalteten Scans automatisch auf dem Tab "Sicherheitslücken" des Security Command Center und in zugehörigen Berichten verfügbar. Informationen zum Aktivieren verwalteter Scans in Web Security Scanner finden Sie unter Security Command Center konfigurieren.

Benutzerdefinierte Scans

Benutzerdefinierte Scans von Web Security Scanner liefern detaillierte Informationen zu Ergebnissen in Bezug auf die Anwendungssicherheit, wie veraltete Bibliotheken, Cross-Site-Scripting oder Verwendung von gemischten Inhalten. Benutzerdefinierte Scanergebnisse sind in Security Command Center verfügbar, nachdem Sie den Leitfaden zum Einrichten benutzerdefinierter Web Security Scanner-Scans befolgt haben.

Diese Tabellen enthalten eine Beschreibung der Zuordnung zwischen unterstützten Detektoren und der Best-Effort-Zuordnung zu relevanten Compliance-Systemen.

Die Zuordnungen von CIS Google Cloud Foundation 1.0 wurden vom Center for Internet Security auf die Übereinstimmung mit dem CIS Google Cloud Computing Foundations Benchmark v1.0.0 geprüft und zertifiziert. Zusätzliche Compliance-Zuordnungen sind zu Referenzzwecken enthalten und werden nicht vom Payment Card Industry Data Security Standard oder der OWASP Foundation bereitgestellt oder geprüft. Weitere Informationen finden Sie unter CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0), Payment Card Industry Data Security Standard 3.2.1 (PCI-DSS v3.2.1) OWASP Top Ten, National Institute of Standards and Technology 800-53 (NIST 800-53) und International Organization for Standardization 27001 (ISO 27001) zur manuellen Prüfung auf diese Verstöße.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienstleistungen gemäß aller regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Im Folgenden finden Sie Typen, die von benutzerdefinierten und verwalteten Scans von Web Security Scanner identifiziert werden. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Tabelle 18. Web Security Scanner-Ergebnisse

Category	Ergebnisbeschreibung	CIS GCP Foundation 1.0	PCI DSS v3.2.1	OWASP Top 10	NIST 800–53	ISO-27001
ACCESSIBLE_GIT_REPOSITORY	Ein GIT-Repository ist öffentlich zugänglich. Um dieses Problem zu beheben, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository.			A3
ACCESSIBLE_SVN_REPOSITORY	Ein SVN-Repository ist öffentlich zugänglich. Um dieses Problem zu beheben, entfernen Sie den öffentlichen Zugriff auf das SVN-Repository.			A3
CLEAR_TEXT_PASSWORD	Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Problem zu beheben, verschlüsseln Sie das über das Netzwerk übertragene Passwort.			A3
INVALID_CONTENT_TYPE	Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Problem zu lösen, legen Sie für den HTTP-Header "X-Content-Type-Options" den richtigen Wert fest.			A6
INVALID_HEADER	Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest.			A6
MISMATCHING_SECURITY_HEADER_VALUES	Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest.			A6
MISSPELLED_SECURITY_HEADER_NAME	Ein Sicherheitsheader ist falsch geschrieben und wird ignoriert. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest.			A6
MIXED_CONTENT	Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden.			A6
OUTDATED_LIBRARY	Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben.			A9
XSS	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Problem zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten.			A7
XSS_ANGULAR_CALLBACK	Ein vom Nutzer bereitgestellter String ist nicht maskiert und kann von AngularJS interpoliert werden. Um dieses Problem zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden.			A7
XSS_ERROR	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Problem zu beheben, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.			A7

Bedrohungen

Mit Bedrohungsdetektoren können Sie potenziell schädliche Ereignisse finden.

Anomalieerkennung

Anomalieerkennung ist ein integrierter Dienst, der Verhaltenssignale von außerhalb Ihres Systems verwendet. Er zeigt detaillierte Informationen zu erkannten Sicherheitsanomalien für Ihre Projekte und VM-Instanzen an, z. B. potenzielle gehackte Anmeldedaten und Mining von Münzen. Die Anomalieerkennung wird automatisch aktiviert, wenn Sie die Security Command Center Standard- oder Premium-Stufe abonnieren. Die Ergebnisse sind im Dashboard von Security Command Center verfügbar.

Beispiele für Ergebnisse der Anomalieerkennung:

Tabelle B. Anomaliekategorien bei der Anomalieerkennung

Manipulationspotenzial	Beschreibung
account_has_leaked_credentials	Anmeldedaten für ein Google Cloud-Dienstkonto wurden versehentlich online offengelegt oder manipuliert.
resource_compromised_alert	Potenzielle Manipulation einer Ressource in Ihrer Organisation.
Missbrauchsszenarien	Beschreibung
resource_involved_in_coin_mining	Verhaltenssignale um eine VM in Ihrer Organisation weisen darauf hin, dass eine Ressource möglicherweise manipuliert wurde und für Cryptomining verwendet wird.
outgoing_intrusion_attempt	Angriffe und Portscans: Eine der Ressourcen oder Google Cloud-Dienste in Ihrer Organisation werden für Angriffsaktivitäten verwendet, z. B. für den Versuch, in ein Zielsystem einzubrechen oder es zu manipulieren. Dazu gehören SSH-Brute-Force-Angriffe, Port-Scans und FTP-Brute-Force-Angriffe.
resource_used_for_phishing	Eine der Ressourcen oder Google Cloud-Dienste in Ihrer Organisation werden für Phishing verwendet.

Container Threat Detection

Container Threat Detection kann die gängigsten Containerlaufzeit-Angriffe erkennen und Sie in Security Command Center sowie optional in Cloud Logging benachrichtigen. Container Threat Detection umfasst mehrere Erkennungsfunktionen, ein Analysetool und eine API.

Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel, um die folgenden Ereignisse zu erkennen:

• Ausgeführte Binärdatei hinzugeführt
• Hinzugefügte Mediathek geladen
• Reverse Shell

Weitere Informationen zu Container Threat Detection.

Cloud Data Loss Prevention

Mit Cloud DLP Data Discovery können Sie die Ergebnisse der Cloud DLP-Scans in Cloud Data Loss Prevention direkt im Dashboard des Security Command Center und in Finding Inventory darstellen. Mit Cloud DLP können Sie sensible Daten und personenidentifizierbare Informationen (PII) besser verstehen und verwalten:

• Kreditkartennummern
• Namen
• Sozialversicherungsnummern
• USA und ausgewählte internationale Identifikationsnummern
• Telefonnummern
• Google Cloud-Anmeldedaten

Jedes Cloud DLP Data Discovery-Ergebnis enthält nur den Kategorietyp der identifizierten PII-Daten und die Ressource, in der es gefunden wurde. Es enthält keine der spezifischen zugrunde liegenden Daten.

Nachdem Sie die in der Anleitung beschriebenen Einrichtungsschritte zum Senden von DLP API-Ergebnisse an Security Command Center ausgeführt haben, werden die Ergebnisse des Cloud DLP-Scans in Security Command Center angezeigt.

Weitere Informationen:

• Mehr zur Aktion publishSummaryToCscc in Cloud DLP.
• Mehr zum Scannen von Speicher-Repositories auf sensible Daten mithilfe von Cloud DLP.

Event Threat Detection

Event Threat Detection verwendet Logdaten innerhalb Ihrer Systeme. Es beobachtet den Cloud Logging-Stream Ihrer Organisation für ein oder mehrere Projekte und verbraucht Logs, sobald sie verfügbar sind. Wenn eine Bedrohung erkannt wird, schreibt Event Threat Detection ein Ergebnis in Security Command Center und in ein Cloud Logging-Projekt. Event Threat Detection wird automatisch aktiviert, wenn Sie die Premium-Stufe für Security Command Center abonnieren. Die Ergebnisse sind im Dashboard von Security Command Center verfügbar.

Beispiele für Ergebnisse von Event Threat Detection:

Tabelle C. Event Threat Detection-Typen

Daten-Exfiltration	Event Threat Detection erkennt die Daten-Exfiltration in BigQuery, indem Audit-Logs für zwei Szenarien analysiert werden: Eine Ressource wird außerhalb Ihrer Organisation gespeichert oder es wird versucht, einen Kopiervorgang auszuführen, der von VPC Service Controls blockiert wird. Es wird versucht, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind.
Brute-Force-SSH	Event Threat Detection erkennt Brute-Force von Passwortauthentifizierungs-SSH, indem es Syslog-Logs auf wiederholte Fehler überprüft, mit anschließendem Erfolg.
Kryptomining	Event Threat Detection erkennt Coin Mining-Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten fehlerhaften Domains für Mining-Pools untersucht werden.
IAM-Missbrauch	Anomale IAM-Berechtigungen: Event Threat Detection erkennt das Hinzufügen von IAM-Berechtigungen, die als ungewöhnlich betrachtet werden können, wie zum Beispiel: Hinzufügen eines gmail.com-Nutzers zu einer Richtlinie mit der Rolle des Projektbearbeiters. Einladen eines gmail.com-Nutzers als Projektinhaber über die Google Cloud Console. Dienstkonto, das vertrauliche Berechtigungen gewährt. Benutzerdefinierte Rollen sensible Berechtigungen gewährt. Dienstkonto, das von außerhalb Ihrer Organisation hinzugefügt wurde.
Malware	Event Threat Detection erkennt Malware, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Befehls- und Kontrolldomains und IP-Adressen untersucht.
Phishing	Event Threat Detection erkennt Phishing, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Phishing-Domains und IP-Adressen untersucht.
Ausgehender DoS	Event Threat Detection untersucht VPC-Flusslogs, um den ausgehenden Denial-of-Service-Traffic zu erkennen.

Weitere Informationen zu Event Threat Detection.

Forseti Security

Forseti Security bietet Ihnen Tools, mit denen Sie sich einen Überblick über alle Ressourcen in Google Cloud verschaffen können. Die Forseti-Kernmodule arbeiten zusammen, um vollständige Informationen bereitzustellen, sodass Sie Ressourcen sichern und Sicherheitsrisiken minimieren können.

Folgen Sie der Anleitung im Benachrichtigungsleitfaden für Security Command Center von Forseti, um Verstoß-Benachrichtigungen von Forseti im Security Command Center anzuzeigen.

Weitere Informationen:

• Weitere Informationen zu Forseti.
• Hier erhalten Sie Hilfe zu Forseti.

Phishing-Schutz

Der Phishing-Schutz hilft dabei, Nutzer am Zugriff auf Phishing-Websites zu hindern, indem bösartige Inhalte, die Ihre Marke verwenden, klassifiziert und die unsicheren URLs an Google Safe Browsing gemeldet werden. Wenn eine Website in die Safe Browsing-Liste eingetragen wurde, erhalten Nutzer auf mehr als drei Milliarden Geräten Warnmeldungen.

Eine Anleitung zum Phishing-Schutz finden Sie unter Phishing-Schutz aktivieren. Nachdem Sie den Phishing-Schutz aktiviert haben, werden die Ergebnisse im Security Command Center auf der Karte Phishing-Schutz unter Ergebnisse angezeigt.

Nächste Schritte

• Weitere Informationen zu Security Command Center und Beispielanwendungsfälle finden Sie unter Security Command Center – Übersicht.
• Erfahren Sie, wie Sie durch die Konfiguration des Security Command Center neue Sicherheitsquellen hinzufügen können.