>
Liste des sources de sécurité Google Cloud disponibles dans Security Command Center. Lorsque vous activez une source de sécurité, celle-ci fournit des données sur les failles et les menaces dans le tableau de bord Security Command Center.
Security Command Center vous permet de filtrer et d'afficher les résultats de failles et de menaces de différentes manières, en filtrant par exemple un type de résultat, un type de ressource ou un élément spécifique. Chaque source de sécurité peut fournir plus de filtres pour vous aider à organiser les résultats de votre organisation.
Pour en savoir plus, consultez la page Utiliser le tableau de bord Security Command Center.
Failles
Les détecteurs de failles peuvent vous aider à identifier les vulnérabilités potentielles.
Types de failles Security Health Analytics
L'analyse d'évaluation des failles gérée Security Health Analytics pour Google Cloud peut détecter automatiquement les failles courantes et les erreurs de configuration dans les éléments suivants :
- Cloud Monitoring et Cloud Logging
- Compute Engine
- Conteneurs et réseaux Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Gestion de l'authentification et des accès (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Security Health Analytics est automatiquement activé lorsque vous sélectionnez le niveau Standard ou Premium de Security Command Center. Lorsque Security Health Analytics est activé, les analyses sont automatiquement exécutées deux fois par jour, de 12 heures d'intervalle.
L'analyse de l'état de la sécurité analyse de nombreux types de failles. Vous pouvez regrouper les résultats par type de détecteur. Utilisez les noms des détecteurs d'analyse de l'état de la sécurité pour filtrer les résultats en fonction du type de ressource correspondant à ces résultats.
Pour afficher la liste complète des résultats et des détecteurs de Security Health Analytics, consultez la page Résultats de Security Health Analytics ou développez la section suivante.
Détecteurs Security Health Analytics
Les tableaux suivants décrivent les types de détecteurs et les types de résultats de faille spécifiques que Security Health Analytics peut générer. Vous pouvez filtrer les résultats par nom de détecteur et par type de résultat à l'aide de l'onglet "Failles" de Security Command Center dans Google Cloud Console. Les catégories de résultats disponibles incluent les suivantes :
Ces tableaux incluent une description de la mise en correspondance entre les détecteurs compatibles et la meilleure mise en correspondance avec les régimes de conformité pertinents.
Les mises en correspondance de Google Cloud Foundation 1.0 de la CI ont été examinées et certifiées par le Centre de sécurité Internet pour l'alignement de la version 1.0.0 du benchmark Google Cloud Computing Foundations CI. Des mises en correspondance de conformité supplémentaires sont incluses pour référence. Elles ne sont pas fournies ni examinées par la norme de sécurité des données de l'industrie des cartes de paiement ou la OWASP Foundation. Consultez la version 1.0.0 du benchmark Google Cloud Computing Foundations du CIS (CIS Google Cloud Foundation 1.0), la version 3.2.1 de la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS v3.2.1), le projet Top 10 de l'OWASP, la norme 800-53 du National Institute of Standards and Technology (NIST 800-53) et la norme 27001 de l'Organisation internationale de la normalisation (ISO 27001) pour savoir comment vérifier manuellement ces violations.
Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.
Résultats de la validation en deux étapes
Le détecteur 2SV_SCANNER identifie automatiquement les failles liées à la validation en deux étapes.
Tableau 1. Outil d'analyse de la validation en deux étapes
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
2SV_NOT_ENFORCED |
Certains utilisateurs n'utilisent pas la validation en deux étapes. |
1.2 |
|
|
IA-2 |
A.9.4.2 |
Résultats de failles de clé API
Le détecteur API_KEY_SCANNER identifie les failles liées aux clés API utilisées dans votre déploiement cloud.
Tableau 2. Outil d'analyse de clés API
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
API_KEY_APIS_UNRESTRICTED |
Certaines clés API sont utilisées à trop grande échelle. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application.
|
1.11 |
|
|
|
|
API_KEY_APPS_UNRESTRICTED |
Des clés API sont utilisées de manière non restreinte, autorisant une utilisation par n'importe quelle application non approuvée. |
|
|
|
|
|
API_KEY_EXISTS |
Un projet utilise des clés API au lieu de l'authentification standard. |
1.10 |
|
|
|
|
API_KEY_NOT_ROTATED |
La clé API n'a pas subi de rotation depuis plus de 90 jours. |
1.13 |
|
|
|
|
Résultats de failles d'images Compute
Le détecteur COMPUTE_IMAGE_SCANNER identifie les failles liées aux configurations d'image Google Cloud.
Tableau 3. Outil d'analyse d'images Compute
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
PUBLIC_COMPUTE_IMAGE |
Une image Compute Engine est accessible au public. |
|
|
|
|
|
Résultats de failles d'instance Compute
Le détecteur COMPUTE_INSTANCE_SCANNER identifie les failles liées aux configurations d'instance Google Cloud.
Notez que le détecteur COMPUTE_INSTANCE_SCANNER ne signale pas les résultats sur les instances Compute créées par GKE. Les noms de ces instances commencent par "gke-" et elles ne peuvent pas être modifiées directement par les utilisateurs. Pour sécuriser ces instances, reportez-vous à la section "Résultats de failles de conteneur".
Tableau 4. Outil d'analyse d'instances Compute
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Les clés SSH à l'échelle du projet permettent de se connecter à toutes les instances du projet. |
4,2 |
|
|
|
|
COMPUTE_SECURE_BOOT_DISABLED |
Le démarrage sécurisé n'est pas activé pour cette VM protégée. L'utilisation du démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits.
|
4,8 |
|
|
|
|
COMPUTE_SERIAL_PORTS_ENABLED |
Les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance. |
4.4 |
|
|
|
|
DISK_CSEK_DISABLED |
Les disques de cette VM ne sont pas chiffrés avec des clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour activer ce détecteur, appliquez la marque de sécurité enforce_customer_supplied_disk_encryption_keys en ajoutant la valeur true aux éléments que vous souhaitez surveiller.
|
4.6 |
|
|
|
|
FULL_API_ACCESS |
Une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud. |
4,1 |
|
|
AC-6 |
A.9.2.3 |
IP_FORWARDING_ENABLED |
Le transfert IP est activé sur les instances. |
4,5 |
|
|
|
|
OS_LOGIN_DISABLED |
OS Login est désactivé sur cette instance. |
4.3 |
|
|
|
|
PUBLIC_IP_ADDRESS |
Une instance possède une adresse IP publique. |
|
1.2.1
1.3.5
|
|
CA-3
SC-7
|
|
WEAK_SSL_POLICY |
Une instance a une stratégie SSL faible. |
|
|
|
SC-7 |
A.14.1.3 |
Résultats de failles de conteneur
Ces types de résultats sont tous liés aux configurations de conteneurs GKE et appartiennent au type de détecteur CONTAINER_SCANNER.
Tableau 5. Outil d'analyse de conteneur
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
AUTO_REPAIR_DISABLED |
La fonctionnalité de réparation automatique de cluster GKE, qui permet de maintenir les nœuds dans un état sain et d'exécution, est désactivée. |
7.7 |
|
|
|
|
AUTO_UPGRADE_DISABLED |
La fonctionnalité de mise à niveau automatique de cluster GKE, qui permet de conserver les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée. |
7.8 |
|
|
|
|
CLUSTER_LOGGING_DISABLED |
La journalisation n'est pas activée pour un cluster GKE. |
7.1 |
|
|
|
|
CLUSTER_MONITORING_DISABLED |
Cloud Monitoring est désactivé sur les clusters GKE. |
7,2 |
10.2.2
10.2.7 |
|
|
|
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées afin d'accéder aux API Google. |
7.16 |
1,3 |
|
|
|
COS_NOT_USED |
Les VM Compute Engine n'utilisent pas le système d'exploitation optimisé par conteneur conçu pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité. |
7.9 |
2.2 |
|
|
|
IP_ALIAS_DISABLED |
Un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées. |
7.13 |
1.3.4
1.3.7
|
|
|
|
LEGACY_AUTHORIZATION_ENABLED |
L'ancienne autorisation est activée sur les clusters GKE. |
7,3 |
4,1 |
|
|
|
LEGACY_METADATA_ENABLED |
Les anciennes métadonnées sont activées sur les clusters GKE. |
|
|
|
|
|
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Les réseaux autorisés maîtres ne sont pas activés sur les clusters GKE. |
7.4 |
|
|
|
|
NETWORK_POLICY_DISABLED |
La stratégie de réseau est désactivée sur les clusters GKE. |
7.11 |
1,3 |
|
SC-7 |
A.13.1.1 |
OVER_PRIVILEGED_ACCOUNT |
Un compte de service possède un accès trop étendu au projet d'un cluster. |
7.17 |
2.1 |
|
AC-6
SC-7
|
A.9.2.3 |
OVER_PRIVILEGED_SCOPES |
Un compte de service de nœud possède des niveaux d'accès étendus. |
7.18 |
|
|
|
|
POD_SECURITY_POLICY_DISABLED |
Cet objet PodSecurityPolicy est désactivé sur un cluster GKE. |
7.14 |
|
|
|
|
PRIVATE_CLUSTER_DISABLED |
Un cluster GKE possède un cluster privé désactivé. |
7.15 |
|
|
|
|
WEB_UI_ENABLED |
L'interface utilisateur Web de GKE (tableau de bord) est activée. |
7,6 |
6.5.8
6.6
|
|
|
|
WORKLOAD_IDENTITY_DISABLED |
Workload Identity est désactivé sur un cluster GKE. |
|
|
|
|
|
Résultats de failles d'ensemble de données
Les failles de ce type de détecteur sont toutes liées aux configurations de l'ensemble de données BigQuery et appartiennent au type de détecteur DATASET_SCANNER.
Tableau 6. Outil d'analyse d'ensemble de données
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
PUBLIC_DATASET |
Un ensemble de données est configuré pour être accessible au public. |
|
|
|
AC-3 |
A.8.2.3
A.14.1.3
|
Résultats de failles DNS
Les failles de ce type de détecteur sont toutes liées aux configurations Cloud DNS et appartiennent au type de détecteur DNS_SCANNER.
Tableau 7. Outil d'analyse DNS
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
DNSSEC_DISABLED |
DNSSEC est désactivé pour les zones Cloud DNS. |
3,3 |
|
|
|
A.8.2.3 |
RSASHA1_FOR_SIGNING |
RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS. |
3.4
3.5
|
|
|
|
|
Résultats de failles de pare-feu
Les failles de ce type de détecteur sont toutes liées aux configurations de pare-feu et appartiennent au type de détecteur FIREWALL_SCANNER.
Tableau 8. Outil d'analyse de pare-feu
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
FIREWALL_RULE_LOGGING_DISABLED |
La journalisation des règles de pare-feu est désactivée. Activez la journalisation des règles de pare-feu pour pouvoir auditer les accès au réseau.
|
|
10.1 |
|
SI-4 |
A.13.1.1 |
OPEN_FIREWALL |
Un pare-feu est configuré pour être accessible au public. |
|
1.2.1 |
|
|
|
OPEN_RDP_PORT |
Un pare-feu est configuré de manière à disposer d'un port RDP ouvert qui autorise l'accès générique. |
3.7 |
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_SSH_PORT |
Un pare-feu est configuré de manière à disposer d'un port SSH ouvert qui autorise l'accès générique. |
3.6 |
1.2.1 |
|
SC-7 |
A.13.1.1 |
Résultats de failles IAM
Les failles de ce type de détecteur sont toutes liées à la configuration de la gestion de l'authentification et des accès (IAM) et appartiennent au type de détecteur IAM_SCANNER.
Tableau 9. Outil d'analyse IAM
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
ADMIN_SERVICE_ACCOUNT |
Un compte de service est configuré avec des rôles d'administrateur. |
1.4 |
|
|
|
|
KMS_PROJECT_HAS_OWNER |
Un utilisateur dispose des autorisations "Propriétaire" sur un projet disposant de clés cryptographiques. |
|
3,5 |
|
AC-6
SC-12
|
A.9.2.3
A.10.1.2
|
KMS_ROLE_SEPARATION |
La séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles suivants : Cloud Key Management Service
(Cloud KMS) Chiffrement/Déchiffrement CryptoKey, Chiffrement ou Déchiffrement.
|
1.9 |
|
|
AC-5 |
A.9.2.3
A.10.1.2
|
NON_ORG_IAM_MEMBER |
Un utilisateur n'utilise pas d'identifiants d'organisation. |
1,1 |
7.1.2 |
|
AC-3 |
A.9.2.3 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Un utilisateur dispose du rôle d'utilisateur de compte de service au niveau du projet, plutôt qu'au niveau d'un compte de service spécifique. |
1.5 |
7.1.2 |
|
AC-6 |
A.9.2.3 |
PRIMITIVE_ROLES_USED |
Un utilisateur dispose du rôle primitif "Propriétaire", "Rédacteur" ou "Lecteur". Ces rôles sont trop permissifs et ne doivent pas être utilisés.
|
|
7.1.2 |
|
AC-6 |
A.9.2.3 |
REDIS_ROLE_USED_ON_ORG |
Un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier. |
|
8.7 |
|
|
A.9.2.3 |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Un utilisateur a été affecté aux rôles d'administrateur de compte de service et d'utilisateur de compte de service. Cela enfreint le principe de "séparation des tâches".
|
1,7 |
|
|
AC-5 |
|
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
La clé d'un compte de service n'a pas subi de rotation depuis plus de 90 jours. |
1,6 |
|
|
|
|
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Une clé de compte de service est gérée par un utilisateur. |
1,3 |
|
|
|
|
Résultats de failles KMS
Les failles de ce type de détecteur sont toutes liées aux configurations Cloud KMS et appartiennent au type de détecteur KMS_SCANNER.
Tableau 10. Outil d'analyse KMS
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
KMS_KEY_NOT_ROTATED |
La rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. |
1.8 |
|
|
SC-12 |
A.10.1.2 |
TOO_MANY_KMS_USERS |
Il existe plus de 3 utilisateurs de clés cryptographiques. |
|
3.5.2 |
|
|
A.9.2.3 |
Résultats de failles de journalisation
Les failles de ce type de détecteur sont toutes liées aux configurations de journalisation et appartiennent au type de détecteur LOGGING_SCANNER.
Tableau 11. Outil d'analyse de journalisation
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
AUDIT_LOGGING_DISABLED |
Les journaux d'audit ont été désactivés pour cette ressource. |
2.1 |
10.2.3 |
|
AU-2 |
A.12.4.1
A.16.1.7
|
BUCKET_LOGGING_DISABLED |
La journalisation est désactivée sur un bucket de stockage. |
5,3 |
|
|
|
|
LOG_NOT_EXPORTED |
Aucun récepteur de journaux approprié n'est configuré sur une ressource. |
2.2 |
10.2.3 |
|
|
A.18.1.3 |
OBJECT_VERSIONING_DISABLED |
La gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés. |
2,3 |
10.2.3 |
|
|
|
PUBLIC_LOG_BUCKET |
Les buckets de stockage utilisés comme récepteurs de journaux ne doivent pas être accessibles au public. |
|
10.5 |
|
AU-9 |
A.8.2.3
A.12.4.2
A.18.1.3
|
Résultats de failles de surveillance
Les failles de ce type de détecteur sont toutes liées aux configurations de surveillance et appartiennent au type MONITORING_SCANNER. Toutes les propriétés de résultats de détecteurs de surveillance incluent :
- La valeur
RecommendedLogFilter à utiliser pour créer les statistiques de journal.
- La valeur
QualifiedLogMetricNames qui couvre les conditions répertoriées dans le filtre de journal recommandé.
- La valeur
AlertPolicyFailureReasons, qui indique si le projet ne possède pas de règles d'alerte créées pour l'une des statistiques de journal qualifiées, ou si les règles d'alerte existantes ne possèdent pas les paramètres recommandés.
Tableau 12. Outil d'analyse de surveillance
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
AUDIT_CONFIG_NOT_MONITORED |
Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit. |
2.5 |
|
|
|
|
BUCKET_IAM_NOT_MONITORED |
Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux autorisations IAM Cloud Storage. |
2.10 |
1.3.2 |
|
|
|
CUSTOM_ROLE_NOT_MONITORED |
Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé. |
2.6 |
|
|
|
|
FIREWALL_NOT_MONITORED |
Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu de réseau VPC. |
2.7 |
|
|
|
|
NETWORK_NOT_MONITORED |
Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au réseau VPC. |
2,9 |
|
|
|
|
OWNER_NOT_MONITORED |
Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les attributions ou les modifications de propriétaire de projet. |
2.4 |
|
|
|
|
ROUTE_NOT_MONITORED |
Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC. |
2.8 |
|
|
|
|
SQL_INSTANCE_NOT_MONITORED |
Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à l'instance Cloud SQL. |
2.11 |
|
|
|
|
Résultats de failles de réseau
Les failles de ce type de détecteur sont toutes liées aux configurations de réseau d'une organisation et appartiennent au typeNETWORK_SCANNER.
Tableau 13. Outil d'analyse de réseau
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
DEFAULT_NETWORK |
Le réseau par défaut est appliqué dans un projet. |
3.1 |
|
|
|
|
LEGACY_NETWORK |
Un ancien réseau existe dans un projet. |
3.2 |
|
|
|
|
Résultats de failles de mot de passe SSH
Les failles de ce type de détecteur sont toutes liées aux mots de passe et appartiennent au type SSH_PASSWORD.
Tableau 14. Outil d'analyse de mot de passe SSH
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
WEAK_SSH_PASSWORD |
Une ressource possède un mot de passe SSH faible. |
|
|
|
|
|
Résultats de failles SQL
Les failles de ce type de détecteur sont toutes liées aux configurations Cloud SQL et appartiennent au type SQL_SCANNER.
Tableau 15. Outil d'analyse SQL
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
AUTO_BACKUP_DISABLED |
Les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL. |
|
10.2.1 |
|
CA-3 |
A.12.3.1 |
PUBLIC_SQL_INSTANCE |
Une instance de base de données Cloud SQL accepte les connexions à partir de toutes les adresses IP. |
6,2 |
1.2.1 |
|
CA-3
SC-7
|
A.8.2.3
A.13.1.3
A.14.1.3
|
SSL_NOT_ENFORCED |
Une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL. |
6,1 |
2,3 |
|
SC-7 |
A.8.2.3
A.13.2.1
A.14.1.3
|
SQL_NO_ROOT_PASSWORD |
Une base de données Cloud SQL ne possède pas de mot de passe configuré pour le compte racine. |
|
|
|
|
|
SQL_WEAK_ROOT_PASSWORD |
Une base de données Cloud SQL possède un mot de passe faible configuré pour le compte racine. |
|
|
|
|
|
Résultats de failles de stockage
Les failles de ce type de détecteur sont toutes liées aux configurations de buckets Cloud Storage et appartiennent au typeSTORAGE_SCANNER.
Tableau 16. Outil d'analyse de stockage
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
BUCKET_POLICY_ONLY_DISABLED |
La valeur Uniform bucket-level access, précédemment appelée Bucket Policy Only, n'est pas configurée. |
|
|
|
|
|
LOGGING_DISABLED |
La journalisation est désactivée pour un bucket Cloud Storage. |
|
|
|
|
|
PUBLIC_BUCKET_ACL |
Un bucket Cloud Storage est accessible au public. |
5,1 |
7.1 |
|
AC-2 |
A.8.2.3
A.14.1.3
|
Résultats de failles de sous-réseau
Les failles de ce type de détecteur sont toutes liées aux configurations de sous-réseau d'une organisation et appartiennent au typeSUBNETWORK_SCANNER.
Tableau 17. Outil d'analyse de sous-réseau
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
FLOW_LOGS_DISABLED |
Les journaux de flux sont désactivés dans un sous-réseau VPC. |
3.9 |
|
|
SI-4 |
A.13.1.1 |
PRIVATE_GOOGLE_ACCESS_DISABLED |
Il existe des sous-réseaux privés sans accès aux API publiques Google. |
3.8 |
|
|
|
|
Web Security Scanner
Web Security Scanner fournit une analyse des failles Web gérée et personnalisée pour les applications Web publiques App Engine, GKE et Compute Engine.
Analyses gérées
Les analyses gérées de Web Security Scanner sont configurées et gérées par Security Command Center. Elles s'exécutent automatiquement une fois par semaine pour détecter et analyser les points de terminaison Web publics. Ces analyses n'utilisent pas l'authentification et n'envoient que des requêtes GET. Elles n'envoient donc pas de formulaires sur des sites Web en ligne.
Les analyses gérées s'exécutent indépendamment des analyses personnalisées que vous définissez au niveau du projet. Vous pouvez utiliser des analyses gérées pour gérer de manière centralisée la détection de failles des applications Web de base pour les projets de votre organisation, sans avoir à impliquer des équipes de projets individuelles. Lorsque des résultats sont détectés, vous pouvez collaborer avec ces équipes pour configurer des analyses personnalisées plus complètes.
Lorsque vous activez Web Security Scanner en tant que service, les résultats d'analyse gérée sont automatiquement disponibles dans l'onglet des failles de Security Command Center et dans les rapports associés. Pour savoir comment activer les analyses gérées de Web Security Scanner, consultez la page Configurer Security Command Center.
Analyses personnalisées
Les analyses personnalisées de Web Security Scanner fournissent des informations précises sur les résultats des failles des applications, telles que les bibliothèques obsolètes, les scripts intersites ou l'utilisation de contenus mixtes. Les résultats de l'analyse personnalisée sont disponibles dans Security Command Center une fois que vous avez terminé le guide de configuration des analyses personnalisées de Web Security Scanner.
Ces tableaux incluent une description de la mise en correspondance entre les détecteurs compatibles et la meilleure mise en correspondance avec les régimes de conformité pertinents.
Les mises en correspondance de Google Cloud Foundation 1.0 de la CI ont été examinées et certifiées par le Centre de sécurité Internet pour l'alignement de la version 1.0.0 du benchmark Google Cloud Computing Foundations CI. Des mises en correspondance de conformité supplémentaires sont incluses pour référence. Elles ne sont pas fournies ni examinées par la norme de sécurité des données de l'industrie des cartes de paiement ou la OWASP Foundation. Consultez la version 1.0.0 du benchmark Google Cloud Computing Foundations du CIS (CIS Google Cloud Foundation 1.0), la version 3.2.1 de la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS v3.2.1), le projet Top 10 de l'OWASP, la norme 800-53 du National Institute of Standards and Technology (NIST 800-53) et la norme 27001 de l'Organisation internationale de la normalisation (ISO 27001) pour savoir comment vérifier manuellement ces violations.
Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.
Vous trouverez ci-dessous les types de résultat identifiés par les analyses personnalisées et gérées de Web Security Scanner.
Tableau 18.Résultats de Web Security Scanner
| Category |
Description du résultat |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
ACCESSIBLE_GIT_REPOSITORY |
Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT.
|
|
|
A3 |
|
|
ACCESSIBLE_SVN_REPOSITORY |
Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN.
|
|
|
A3 |
|
|
CLEAR_TEXT_PASSWORD |
Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau.
|
|
|
A3 |
|
|
INVALID_CONTENT_TYPE |
Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP "X-Content-Type-Options" sur la valeur correcte.
|
|
|
A6 |
|
|
INVALID_HEADER |
Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.
|
|
|
A6 |
|
|
MISMATCHING_SECURITY_HEADER_VALUES |
Un en-tête de sécurité contient des valeurs en double incompatibles, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.
|
|
|
A6 |
|
|
MISSPELLED_SECURITY_HEADER_NAME |
Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.
|
|
|
A6 |
|
|
MIXED_CONTENT |
Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS.
|
|
|
A6 |
|
|
OUTDATED_LIBRARY |
Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à jour la bibliothèque vers une version plus récente.
|
|
|
A9 |
|
|
XSS |
Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.
|
|
|
A7 |
|
|
XSS_ANGULAR_CALLBACK |
Une chaîne fournie par l'utilisateur n'est pas échappée et peut être interpolée par AngularJS. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées gérées par le framework Angular et faites-les échapper.
|
|
|
A7 |
|
|
XSS_ERROR |
Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.
|
|
|
A7 |
|
|
Menaces
Les détecteurs de menaces peuvent vous aider à détecter des événements potentiellement dangereux.
Détection d'anomalies
La détection d'anomalies est un service intégré qui utilise des signaux de comportement extérieurs à votre système. Elle affiche des informations précises sur les anomalies de sécurité détectées pour vos projets et les instances de machines virtuelles (VM), telles que les identifiants volés potentiels et le minage de monnaie. La détection d'anomalies est automatiquement activée lorsque vous vous abonnez au niveau Standard ou Premium de Security Command Center, et les résultats sont disponibles dans le tableau de bord Security Command Center.
Voici quelques exemples de résultats de détection d'anomalies :
Tableau B. Types de résultats de détection d'anomalies
| Potentiel de compromis |
Description |
| Identifiants de compte de service piratés |
Identifiants de compte de service Google Cloud piratés en ligne ou compromis accidentellement. |
| Machine compromise potentielle |
Compromis potentiel d'une ressource au sein de votre organisation. |
| Scénarios d'utilisation abusive |
Description |
| Ressource utilisée pour le minage de cryptomonnaie |
Les signaux comportementaux autour d'une VM de votre organisation indiquent que celle-ci peut être compromise et utilisée à des fins de minage de cryptomonnaie. |
| Ressources utilisées pour l'intrusion sortante |
Tentatives d'intrusion et analyses de ports : l'une des ressources ou des services Google Cloud de votre organisation est utilisé pour des activités d'intrusion, telles qu'une tentative de pénétrer dans un système cible ou de le compromettre. Il s'agit, par exemple, d'attaques par force brute SSH, d'analyses de ports et d'attaques par force brute FTP.
|
| Ressources utilisée pour le hameçonnage |
L'une des ressources ou des services Google Cloud de votre organisation sont utilisés à des fins de hameçonnage. |
Container Threat Detection
Container Threat Detection peut détecter les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerter dans Security Command Center et, éventuellement, dans Cloud Logging.
Container Threat Detection inclut plusieurs fonctionnalités de détection, un outil d'analyse et une API.
L'instrumentation de détection Container Threat Detection collecte le comportement de bas niveau dans le noyau invité pour détecter les événements suivants :
- Fichier binaire ajouté exécuté
- Ajout de bibliothèque chargée
- Interface système inversée
Apprenez-en davantage sur Container Threat Detection.
Cloud Data Loss Prevention
Cloud DLP Data Discovery vous permet d'afficher les résultats des analyses Cloud de protection contre la perte de données (Cloud DLP) directement dans le tableau de bord de Security Command Center et dans l'inventaire des résultats. Cloud DLP peut vous aider à mieux comprendre et gérer les données sensibles et les informations personnelles, telles que les suivantes :
- Numéros de cartes de crédit
- Noms
- Numéros de sécurité sociale
- Numéros d'identification américains et internationaux sélectionnés
- Numéros de téléphone
- Identifiants Google Cloud
Chaque résultat de la découverte de données Cloud DLP n'inclut que le type de catégorie des informations personnelles et la ressource dans laquelle il a été trouvé. Il n'inclut aucune des données sous-jacentes spécifiques.
Une fois que vous avez suivi les étapes de configuration décrites dans le guide pour envoyer les résultats de l'API DLP à Security Command Center, les résultats de l'analyse Cloud DLP s'affichent dans Security Command Center.
Pour en savoir plus, consultez les pages suivantes :
Event Threat Detection
Event Threat Detection utilise les données des journaux au sein de vos systèmes. Il surveille le flux Cloud Logging de votre organisation pour un ou plusieurs projets, et utilise les journaux dès qu'ils deviennent disponibles. Lorsqu'une menace est détectée, Event Threat Detection écrit un résultat dans Security Command Center et dans un projet Cloud Logging.
Event Threat Detection est automatiquement activé lorsque vous vous abonnez au niveau Premium de Security Command Center, et les résultats sont disponibles dans le tableau de bord Security Command Center.
Voici quelques exemples de résultats de Event Threat Detection :
Tableau C. Types de résultats d'Event Threat Detection
| Surveillance et journalisation |
Description |
| Attaque par force brute SSH |
Event Threat Detection détecte la force brute de SSH en examinant les journaux SSH pour détecter les échecs répétés suivis d'une réussite. |
| Minage de cryptomonnaie |
Event Threat Detection détecte les logiciels malveillants de minage de monnaie en examinant les journaux VPC pour détecter les connexions à des domaines incorrects connus pour les pools de minage et d'autres données de journalisation. |
| Abus IAM |
Octrois malveillants : Event Threat Detection détecte l'ajout de comptes extérieurs au domaine de votre organisation disposant de l'autorisation Propriétaire ou Éditeur au niveau de l'organisation ou du projet. Avec le résultat d'octrois malveillants, vous savez :
- quels comptes disposent de quelles autorisations ;
- à quelle ressource l'autorisation s'applique ;
- quel utilisateur dans votre organisation a accordé les autorisations.
|
| Logiciels malveillants |
Event Threat Detection détecte les logiciels malveillants en examinant les journaux VPC afin de détecter les connexions à des domaines incorrects connus et à d'autres données de journalisation. |
| Hameçonnage |
Event Threat Detection détecte le hameçonnage en examinant les connexions et d'autres données dans les journaux VPC. |
Apprenez-en davantage sur Event Threat Detection.
Forseti Security
Forseti Security vous offre des outils pour comprendre toutes les ressources à votre disposition dans Google Cloud. Les modules Forseti principaux fonctionnent conjointement pour vous fournir des informations complètes afin que vous puissiez sécuriser les ressources et minimiser les risques de sécurité.
Pour afficher les notifications de violation de Forseti dans Security Command Center, suivez le guide de notification de Security Command Center pour Forseti.
Pour en savoir plus, consultez les pages suivantes :
Phishing Protection
Phishing Protection permet d'empêcher les utilisateurs d'accéder à des sites de hameçonnage en classant le contenu malveillant qui utilise votre marque et en signalant les URL non sécurisées à la navigation sécurisée Google.
Lorsqu'un site est propagé dans la navigation sécurisée, un avertissement s'affiche lorsque les utilisateurs tentent d'y accéder, et ce, sur plus de trois milliards d'appareils.
Pour commencer à utiliser Phishing Protection, suivez le guide Activer Phishing Protection.
Après avoir activé Phishing Protection, les résultats s'affichent dans Security Command Center dans la fiche Phishing Protection sous Résultats.
Étape suivante
