[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"Translation issue"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"Other"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"Easy to understand"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"Solved my problem"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"Other"
}]
Sources de sécurité pour les failles et les menaces
>
Liste des sources de sécurité Google Cloud disponibles dans Security Command Center. Lorsque vous activez une source de sécurité, celle-ci fournit des données sur les failles et les menaces dans le tableau de bord Security Command Center.
Security Command Center vous permet de filtrer et d'afficher les résultats de failles et de menaces de différentes manières, en filtrant par exemple un type de résultat, un type de ressource ou un élément spécifique. Chaque source de sécurité peut fournir plus de filtres pour vous aider à organiser les résultats de votre organisation.
Les détecteurs de failles peuvent vous aider à identifier les vulnérabilités potentielles.
Types de failles Security Health Analytics
L'analyse d'évaluation des failles gérée Security Health Analytics pour Google Cloud peut détecter automatiquement les failles courantes et les erreurs de configuration dans les éléments suivants :
Cloud Monitoring et Cloud Logging
Compute Engine
Conteneurs et réseaux Google Kubernetes Engine
Cloud Storage
Cloud SQL
Gestion de l'authentification et des accès (IAM)
Cloud Key Management Service (Cloud KMS)
Cloud DNS
Security Health Analytics est automatiquement activé lorsque vous sélectionnez le niveau Standard ou Premium de Security Command Center. Lorsque Security Health Analytics est activé, les analyses sont automatiquement exécutées deux fois par jour, de 12 heures d'intervalle.
L'analyse de l'état de la sécurité analyse de nombreux types de failles. Vous pouvez regrouper les résultats par type de détecteur. Utilisez les noms des détecteurs d'analyse de l'état de la sécurité pour filtrer les résultats en fonction du type de ressource correspondant à ces résultats.
Pour afficher la liste complète des résultats et des détecteurs de Security Health Analytics, consultez la page Résultats de Security Health Analytics ou développez la section suivante.
Détecteurs Security Health Analytics
Les tableaux suivants décrivent les types de détecteurs et les types de résultats de faille spécifiques que Security Health Analytics peut générer. Vous pouvez filtrer les résultats par nom de détecteur et par type de résultat à l'aide de l'onglet "Failles" de Security Command Center dans Google Cloud Console. Les catégories de résultats disponibles incluent les suivantes :
Ces tableaux incluent une description de la mise en correspondance entre les détecteurs compatibles et la meilleure mise en correspondance avec les régimes de conformité pertinents.
Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.
Résultats de la validation en deux étapes
Le détecteur 2SV_SCANNER identifie automatiquement les failles liées à la validation en deux étapes.
Tableau 1. Outil d'analyse de la validation en deux étapes
Category
Description du résultat
Niveau de tarification
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
2SV_NOT_ENFORCED
Certains utilisateurs n'utilisent pas la validation en deux étapes.
Le détecteur API_KEY_SCANNER identifie les failles liées aux clés API utilisées dans votre déploiement cloud.
Tableau 2. Outil d'analyse de clés API
Category
Description du résultat
Niveau de tarification
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
API_KEY_APIS_UNRESTRICTED
Certaines clés API sont utilisées à trop grande échelle. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application.
Le détecteur COMPUTE_INSTANCE_SCANNER identifie les failles liées aux configurations d'instance Compute Engine.
Notez que le détecteur COMPUTE_INSTANCE_SCANNER ne signale pas les résultats sur les instances Compute Engine créées par GKE. Les noms de ces instances commencent par "gke-" et elles ne peuvent pas être modifiées directement par les utilisateurs. Pour sécuriser ces instances, reportez-vous à la section "Résultats de failles de conteneur".
Tableau 4. Outil d'analyse d'instances Compute
Category
Description du résultat
Niveau de tarification
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
Les clés SSH à l'échelle du projet permettent de se connecter à toutes les instances du projet.
Le démarrage sécurisé n'est pas activé pour cette VM protégée. L'utilisation du démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits.
Les disques de cette VM ne sont pas chiffrés avec des clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour activer ce détecteur, appliquez la marque de sécuritéenforce_customer_supplied_disk_encryption_keys en ajoutant la valeur true aux éléments que vous souhaitez surveiller.
La fonctionnalité de mise à niveau automatique de cluster GKE, qui permet de conserver les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée.
Les VM Compute Engine n'utilisent pas le système d'exploitation optimisé par conteneur conçu pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité.
Les failles de ce type de détecteur sont toutes liées aux configurations de l'ensemble de données BigQuery et appartiennent au type de détecteur DATASET_SCANNER.
Tableau 6. Outil d'analyse d'ensemble de données
Category
Description du résultat
Niveau de tarification
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
PUBLIC_DATASET
Un ensemble de données est configuré pour être accessible au public.
Les failles de ce type de détecteur sont toutes liées aux configurations de pare-feu et appartiennent au type de détecteur FIREWALL_SCANNER.
Tableau 8. Outil d'analyse de pare-feu
Category
Description du résultat
Niveau de tarification
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
EGRESS_DENY_RULE_NOT_SET
Une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Vous devez définir des règles de refus du trafic sortant pour bloquer le trafic sortant indésirable.
Les failles de ce type de détecteur sont toutes liées à la configuration de la gestion de l'authentification et des accès (IAM) et appartiennent au type de détecteur IAM_SCANNER.
Tableau 9. Outil d'analyse IAM
Category
Description du résultat
Niveau de tarification
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
ADMIN_SERVICE_ACCOUNT
Un compte de service possède des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur.
La séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles suivants : Cloud Key Management Service
(Cloud KMS) Chiffrement/Déchiffrement CryptoKey, Chiffrement ou Déchiffrement.
Un utilisateur n'utilise pas d'identifiants d'organisation. D'après le CIS GCP Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com peuvent actuellement déclencher ce détecteur pour le moment.
Un utilisateur dispose du rôle d'utilisateur du compte de service ou de créateur de jetons du compte de service au niveau du projet, et non au niveau d'un compte de service spécifique.
Un utilisateur a été affecté aux rôles d'administrateur de compte de service et d'utilisateur de compte de service. Cela enfreint le principe de "séparation des tâches".
Les failles de ce type de détecteur sont toutes liées aux configurations de surveillance et appartiennent au type MONITORING_SCANNER. Toutes les propriétés de résultats de détecteurs de surveillance incluent :
La valeur RecommendedLogFilter à utiliser pour créer les statistiques de journal.
La valeur QualifiedLogMetricNames qui couvre les conditions répertoriées dans le filtre de journal recommandé.
La valeur AlertPolicyFailureReasons, qui indique si le projet ne possède pas de règles d'alerte créées pour l'une des statistiques de journal qualifiées, ou si les règles d'alerte existantes ne possèdent pas les paramètres recommandés.
Tableau 12. Outil d'analyse de surveillance
Category
Description du résultat
Niveau de tarification
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
AUDIT_CONFIG_NOT_MONITORED
Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit.
Les failles de ce type de détecteur sont toutes liées aux configurations des règles d'administration et s'appliquent au type ORG_POLICY.
Tableau 14. Analyseur de règles d'administration
Catégorie
Description du résultat
Niveau de tarification
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
ORG_POLICY_CONFIDENTIAL_VM_POLICY
Une ressource Compute Engine n'est pas conforme à la règle d'administration constraints/compute.restrictNonConfidentialComputing. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration dans la documentation sur les VM confidentielles.
Web Security Scanner fournit une analyse des failles Web gérée et personnalisée pour les applications Web publiques App Engine, GKE et Compute Engine.
Analyses gérées
Les analyses gérées de Web Security Scanner sont configurées et gérées par Security Command Center. Elles s'exécutent automatiquement une fois par semaine pour détecter et analyser les points de terminaison Web publics. Ces analyses n'utilisent pas l'authentification et n'envoient que des requêtes GET. Elles n'envoient donc pas de formulaires sur des sites Web en ligne.
Les analyses gérées s'exécutent indépendamment des analyses personnalisées que vous définissez au niveau du projet. Vous pouvez utiliser des analyses gérées pour gérer de manière centralisée la détection de failles des applications Web de base pour les projets de votre organisation, sans avoir à impliquer des équipes de projets individuelles. Lorsque des résultats sont détectés, vous pouvez collaborer avec ces équipes pour configurer des analyses personnalisées plus complètes.
Lorsque vous activez Web Security Scanner en tant que service, les résultats d'analyse gérée sont automatiquement disponibles dans l'onglet des failles de Security Command Center et dans les rapports associés. Pour savoir comment activer les analyses gérées de Web Security Scanner, consultez la page Configurer Security Command Center.
Analyses personnalisées
Les analyses personnalisées de Web Security Scanner fournissent des informations précises sur les résultats des failles des applications, telles que les bibliothèques obsolètes, les scripts intersites ou l'utilisation de contenus mixtes. Les résultats de l'analyse personnalisée sont disponibles dans Security Command Center une fois que vous avez terminé le guide de configuration des analyses personnalisées de Web Security Scanner.
Ces tableaux incluent une description de la mise en correspondance entre les détecteurs compatibles et la meilleure mise en correspondance avec les régimes de conformité pertinents.
Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.
Vous trouverez ci-dessous les types de résultat identifiés par les analyses personnalisées et gérées de Web Security Scanner. Au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL et des adresses IP publiques qui ne sont pas protégées par un pare-feu.
Tableau 18.Résultats de Web Security Scanner
Category
Description du résultat
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
ACCESSIBLE_GIT_REPOSITORY
Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT.
A3
ACCESSIBLE_SVN_REPOSITORY
Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN.
A3
CLEAR_TEXT_PASSWORD
Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau.
A3
INVALID_CONTENT_TYPE
Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP "X-Content-Type-Options" sur la valeur correcte.
A6
INVALID_HEADER
Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.
A6
MISMATCHING_SECURITY_HEADER_VALUES
Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.
A6
MISSPELLED_SECURITY_HEADER_NAME
Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.
A6
MIXED_CONTENT
Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS.
A6
OUTDATED_LIBRARY
Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à jour la bibliothèque vers une version plus récente.
A9
XSS
Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.
A7
XSS_ANGULAR_CALLBACK
Une chaîne fournie par l'utilisateur n'est pas échappée et peut être interpolée par AngularJS. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées gérées par le framework Angular et faites-les échapper.
A7
XSS_ERROR
Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.
A7
Menaces
Les détecteurs de menaces peuvent vous aider à détecter des événements potentiellement dangereux.
Détection d'anomalies
La détection d'anomalies est un service intégré qui utilise des signaux de comportement extérieurs à votre système. Elle affiche des informations précises sur les anomalies de sécurité détectées pour vos projets et les instances de machines virtuelles (VM), telles que les identifiants volés potentiels et le minage de monnaie. La détection d'anomalies est automatiquement activée lorsque vous vous abonnez au niveau Standard ou Premium de Security Command Center, et les résultats sont disponibles dans le tableau de bord Security Command Center.
Voici quelques exemples de résultats de détection d'anomalies :
Tableau B. Catégories de résultats de détection d'anomalies
Potentiel de compromis
Description
account_has_leaked_credentials
Identifiants d'un compte de service Google Cloud accidentellement divulgués en ligne ou compromis.
resource_compromised_alert
Compromis potentiel d'une ressource au sein de votre organisation.
Scénarios d'utilisation abusive
Description
resource_involved_in_coin_mining
Les signaux comportementaux autour d'une VM de votre organisation indiquent qu'une ressource peut être compromise et utilisée à des fins de minage de cryptomonnaie.
outgoing_intrusion_attempt
Tentatives d'intrusion et analyses de ports : l'une des ressources ou des services Google Cloud de votre organisation est utilisé pour des activités d'intrusion, telles qu'une tentative de pénétrer dans un système cible ou de le compromettre. Il s'agit, par exemple, d'attaques par force brute SSH, d'analyses de ports et d'attaques par force brute FTP.
resource_used_for_phishing
L'une des ressources ou des services Google Cloud de votre organisation sont utilisés à des fins de hameçonnage.
Container Threat Detection
Container Threat Detection peut détecter les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerter dans Security Command Center et, éventuellement, dans Cloud Logging.
Container Threat Detection inclut plusieurs fonctionnalités de détection, un outil d'analyse et une API.
L'instrumentation de détection Container Threat Detection collecte le comportement de bas niveau dans le noyau invité pour détecter les événements suivants :
Cloud DLP Data Discovery vous permet d'afficher les résultats des analyses Cloud de protection contre la perte de données (Cloud DLP) directement dans le tableau de bord de Security Command Center et dans l'inventaire des résultats. Cloud DLP peut vous aider à mieux comprendre et gérer les données sensibles et les informations personnelles, telles que les suivantes :
Numéros de cartes de crédit
Noms
Numéros de sécurité sociale
Numéros d'identification américains et internationaux sélectionnés
Numéros de téléphone
Identifiants Google Cloud
Chaque résultat de la découverte de données Cloud DLP n'inclut que le type de catégorie des informations personnelles et la ressource dans laquelle il a été trouvé. Il n'inclut aucune des données sous-jacentes spécifiques.
Event Threat Detection utilise les données des journaux au sein de vos systèmes. Il surveille le flux Cloud Logging de votre organisation pour un ou plusieurs projets, et utilise les journaux dès qu'ils deviennent disponibles. Lorsqu'une menace est détectée, Event Threat Detection écrit un résultat dans Security Command Center et dans un projet Cloud Logging.
Event Threat Detection est automatiquement activé lorsque vous vous abonnez au niveau Premium de Security Command Center, et les résultats sont disponibles dans le tableau de bord Security Command Center.
Voici quelques exemples de résultats de Event Threat Detection :
Tableau C. Types de résultats d'Event Threat Detection
Exfiltration de données
Event Threat Detection détecte l'exfiltration de données de BigQuery en examinant les journaux d'audit pour deux scénarios :
Une ressource est enregistrée en dehors de votre organisation, ou une tentative d'opération de copie est bloquée par VPC Service Controls.
Il y a une tentative d'accès aux ressources BigQuery protégées par VPC Service Controls.
Attaque par force brute SSH
Event Threat Detection détecte la force brute SSH de l'authentification par mot de passe en examinant les journaux syslog pour identifier les échecs répétés, suivis d'une réussite.
Minage de cryptomonnaie
Event Threat Detection détecte les logiciels malveillants de minage de monnaie en examinant les journaux de flux VPC et les journaux Cloud DNS afin d'identifier les connexions à des domaines incorrects pour les pools de minage.
Abus IAM
Octrois IAM anormaux : Event Threat Detection détecte l'ajout d'octrois IAM pouvant être considérées comme des anomalies ; par exemple :
Ajouter un utilisateur gmail.com à une stratégie dotée du rôle d'éditeur de projet
Inviter un utilisateur gmail.com en tant que propriétaire de projet à partir de Google Cloud Console
Compte de service accordant des autorisations sensibles
Rôle personnalisé disposant d'autorisations sensibles
Compte de service ajouté depuis l'extérieur de votre organisation
Logiciels malveillants
Event Threat Detection détecte les logiciels malveillants en examinant les journaux de flux VPC et les journaux Cloud DNS pour identifier les connexions à des domaines de commande et de contrôle et des adresses IP connus.
Hameçonnage
Event Threat Detection détecte le hameçonnage en examinant les journaux de flux VPC et les journaux Cloud DNS pour identifier les connexions à des domaines de hameçonnage et des adresses IP connues.
DoS sortant
Event Threat Detection examine les journaux de flux VPC pour détecter le trafic de déni de service sortant.
Forseti Security vous offre des outils pour comprendre toutes les ressources à votre disposition dans Google Cloud. Les modules Forseti principaux fonctionnent conjointement pour vous fournir des informations complètes afin que vous puissiez sécuriser les ressources et minimiser les risques de sécurité.
Phishing Protection permet d'empêcher les utilisateurs d'accéder à des sites de hameçonnage en classant le contenu malveillant qui utilise votre marque et en signalant les URL non sécurisées à la navigation sécurisée Google.
Lorsqu'un site est propagé dans la navigation sécurisée, un avertissement s'affiche lorsque les utilisateurs tentent d'y accéder, et ce, sur plus de trois milliards d'appareils.
Pour commencer à utiliser Phishing Protection, suivez le guide Activer Phishing Protection.
Après avoir activé Phishing Protection, les résultats s'affichent dans Security Command Center dans la fiche Phishing Protection sous Résultats.
