>
Security Command Center 中提供的 Google Cloud 安全来源列表。启用安全来源后,它会在 Security Command Center 信息中心内提供漏洞和威胁数据。
Security Command Center 允许您以多种不同的方式过滤和查看漏洞和威胁发现结果,如过滤特定的发现结果类型、资源类型或特定的资产。每个安全来源都可能提供更多过滤条件,以帮助您整理组织的结果。
如需了解详情,请参阅使用 Security Command Center 信息中心。
漏洞
漏洞检测器可帮助您发现潜在漏洞。
Security Health Analytics 漏洞类型
Security Health Analytics 可为Google Cloud 提供代管式漏洞评估扫描服务,该功能可以自动检测以下各项的通用漏洞和配置错误:
- Cloud Monitoring 和 Cloud Logging
- Compute Engine
- Google Kubernetes Engine 容器和网络
- Cloud Storage
- Cloud SQL
- 身份和访问权限管理 (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
如果您选择或 Security Command Center Standard 或付费级,系统将自动启用 Security Health Analytics。启用 Security Health Analytics 后,扫描每天会自动运行两次,间隔时间为 12 小时。
Security Health Analytics 会扫描许多漏洞类型。您可以按检测器类型对发现结果进行分组。使用 Security Health Analytics 检测器名称,根据发现结果的资源类型过滤结果。
如需查看 Security Health Analytics 检测器和发现结果的完整列表,请参阅 Security Health Analytics 发现结果页面,或展开以下部分。
Security Health Analytics 检测器
下表描述了 Security Health Analytics 可以生成的检测器类型和特定漏洞发现结果类型。您可以使用 Google Cloud Console 中的“Security Command Center 漏洞”标签页按检测器名称和发现结果类型过滤结果。可用的发现结果类别包括:
这些表描述了受支持的检测器之间的映射,以及到相关法规遵从机制的最佳映射。
CIS Google Cloud Foundation 1.0 映射已通过 CIS Google Cloud Computing Foundations Benchmark v1.0.0 的互联网安全性校准中心的审核和认证。其中包含其他法规遵从映射以供参考,不会由支付卡行业数据安全标准或 OWASP 基金会提供或审核。如需了解如何手动检查这些违规,您应该参考 CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0)、支付卡行业数据安全标准 3.2.1 (PCI-DSS v3.2.1)、OWASP Top Ten、国家标准和技术研究所 800-53(NIST 800-53) 和国际标准化组织 27001 (ISO 27001)。
此功能仅用于监控法规遵从控制的违反情况。不提供映射作为您的产品或服务是否符合任何监管、行业基准化分析或标准的审计、认证或报告的的基础或替代。
多重身份验证发现结果
MFA_SCANNER 检测器可标识与用户的多重身份验证相关的漏洞。
表格 1. 多重身份验证扫描器
| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
MFA_NOT_ENFORCED |
有些用户不使用多重身份验证,特别是两步验证。 |
优质或标准
|
1.2 |
8.3 |
|
IA-2 |
A.9.4.2 |
API 密钥漏洞发现结果
API_KEY_SCANNER 检测器可识别与云部署中使用的 API 密钥相关的漏洞。
表格 2. API 密钥扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
API_KEY_APIS_UNRESTRICTED |
有些 API 密钥使用的过于广泛。要解决此问题,请限制 API 密钥用量,以仅允许应用所需的 API。 |
高级
|
1.12 |
|
|
|
|
API_KEY_APPS_UNRESTRICTED |
有些 API 密钥可以不受限制地使用,允许任何不受信任的应用使用。
|
高级
|
1.11 |
|
|
|
|
API_KEY_EXISTS |
项目使用 API 密钥,而不是标准身份验证。
|
高级
|
1.10 |
|
|
|
|
API_KEY_NOT_ROTATED |
API 密钥已经超过 90 天没有轮替。
|
高级
|
1.13 |
|
|
|
|
计算映像漏洞发现结果
COMPUTE_IMAGE_SCANNER 检测器可识别与 Google Cloud 映像配置相关的漏洞。
表格 3. 计算映像扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
PUBLIC_COMPUTE_IMAGE |
Compute Engine 映像可公开访问。
|
高级
|
|
|
|
|
|
计算实例漏洞发现结果
COMPUTE_INSTANCE_SCANNER 检测器可识别与 Compute Engine 实例配置相关的漏洞。
请注意,COMPUTE_INSTANCE_SCANNER 检测器不会报告在 GKE 创建的 Compute Engine 实例上的发现结果。此类实例的名称以“gke-”开头,用户无法直接修改。要保护这些实例,请参阅“容器漏洞发现结果”部分。
表格 4.Compute 实例扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
使用项目范围的 SSH 密钥,允许登录项目中的所有实例。
|
高级
|
4.2 |
|
|
|
|
COMPUTE_SECURE_BOOT_DISABLED |
此安全强化型虚拟机未启用安全启动。使用安全启动功能可帮助保护虚拟机实例免受 rootkit 和 bootkit 等高级威胁。 |
高级
|
|
|
|
|
|
COMPUTE_SERIAL_PORTS_ENABLED |
为实例启用串行端口,允许连接到实例的串行控制台。
|
高级
|
4.4 |
|
|
|
|
DISK_CSEK_DISABLED |
此虚拟机上的磁盘未使用客户提供的加密密钥 (CSEK) 进行加密。此检测器需要额外配置才能启用。要启用此检测器,请对要监控的资源应用安全标记 enforce_customer_supplied_disk_encryption_keys,其值为 true。 |
高级
|
4.6 |
|
|
|
|
FULL_API_ACCESS |
实例配置为使用能够全面访问所有 Google Cloud API 的默认服务帐号。
|
高级
|
4.1 |
7.1.2 |
|
AC-6 |
A.9.2.3 |
HTTP_LOAD_BALANCER |
实例使用的负载平衡器被配置为使用目标 HTTP 代理,而不是使用目标 HTTPS 代理。 |
高级
|
|
2.3 |
|
|
|
IP_FORWARDING_ENABLED |
实例上已启用 IP 转发。
|
高级
|
4.5 |
|
|
|
|
OS_LOGIN_DISABLED |
此实例已停用 OS Login。
|
高级
|
4.3 |
|
|
|
|
PUBLIC_IP_ADDRESS |
实例具有公共 IP 地址。
|
优质或标准
|
|
1.2.1
1.3.5 |
|
CA-3
SC-7
|
|
SHIELDED_VM_DISABLED |
此实例已停用安全强化型虚拟机。 |
高级
|
|
|
|
|
|
WEAK_SSL_POLICY |
实例的 SSL 政策较弱。
|
高级
|
|
4.1 |
|
SC-7 |
A.14.1.3 |
DEFAULT_SERVICE_ACCOUNT_USED |
实例配置为使用默认服务帐号。 |
高级
|
|
|
|
|
|
容器漏洞发现结果
这些发现结果类型均与 GKE 容器配置相关,并且属于 CONTAINER_SCANNER 检测器类型。
表格 5. 容器扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
AUTO_REPAIR_DISABLED |
GKE 集群自动修复功能已停用,该功能可让节点保持良好的运行状态。
|
高级
|
7.7 |
2.2 |
|
|
|
AUTO_UPGRADE_DISABLED |
GKE 群集自动升级功能已停用,该功能可将群集和节点池保持在最新的 Kubernetes 稳定版本上。
|
高级
|
7.8 |
2.2 |
|
|
|
CLUSTER_LOGGING_DISABLED |
没有为 GKE 群集启用日志记录功能。
|
高级
|
7.1 |
10.2.2
10.2.7
|
|
|
|
CLUSTER_MONITORING_DISABLED |
GKE 集群上的 Cloud Monitoring 已停用。
|
高级
|
7.2 |
10.1
10.2 |
|
|
|
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
集群主机未配置为仅使用内部专用 IP 地址来访问 Google API。
|
高级
|
7.1 |
1.3 |
|
|
|
COS_NOT_USED |
Compute Engine 虚拟机未使用为在 Google Cloud 上安全运行 Docker 容器而设计的容器优化操作系统。 |
高级
|
7.9 |
2.2 |
|
|
|
IP_ALIAS_DISABLED |
创建 GKE 集群时停用了别名 IP 范围。
|
高级
|
7.1 |
1.3.4
1.3.7
|
|
|
|
LEGACY_AUTHORIZATION_ENABLED |
在 GKE 集群上启用旧版授权。
|
高级
|
7.3 |
4.1 |
|
|
|
LEGACY_METADATA_ENABLED |
在 GKE 集群上启用旧版元数据。
|
高级
|
|
|
|
|
|
MASTER_AUTHORIZED_NETWORKS_DISABLED |
GKE 集群上未启用主实例授权网络。
|
高级
|
7.4 |
1.2.1
1.3.2
|
|
|
|
NETWORK_POLICY_DISABLED |
已在 GKE 集群上停用网络政策。
|
高级
|
7.1 |
1.3 |
|
SC-7 |
A.13.1.1 |
OVER_PRIVILEGED_ACCOUNT |
服务帐号在集群中的项目访问权限过于宽泛。
|
高级
|
7.1 |
2.1
7.1.2
|
|
AC-6
SC-7
|
A.9.2.3 |
OVER_PRIVILEGED_SCOPES |
节点服务帐号具有广泛的访问权限范围。
|
高级
|
7.1 |
|
|
|
|
POD_SECURITY_POLICY_DISABLED |
该 PodSecurityPolicy 在 GKE 集群上已停用。
|
高级
|
7.1 |
|
|
|
|
PRIVATE_CLUSTER_DISABLED |
GKE 集群停用了专用集群。
|
高级
|
7.1 |
1.3.2 |
|
|
|
WEB_UI_ENABLED |
GKE 网页界面(信息中心)已启用。
|
优质或标准
|
7.6 |
6.6 |
|
|
|
WORKLOAD_IDENTITY_DISABLED |
在 GKE 集群上停用了 Workload Identity。
|
高级
|
|
|
|
|
|
数据集漏洞发现结果
此检测器类型的漏洞均与 BigQuery 数据集配置相关联,并且属于 DATASET_SCANNER 检测器类型。
表格 6.数据集扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
PUBLIC_DATASET |
数据集配置为开放给公众访问。
|
优质或标准
|
|
7.1 |
|
AC-2 |
A.8.2.3
A.14.1.3
|
DNS 漏洞发现结果
此检测器类型的漏洞均与 Cloud DNS 配置相关联,并且属于 DNS_SCANNER 检测器类型。
表格 7.DNS 扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
DNSSEC_DISABLED |
已为 Cloud DNS 区域停用 DNSSEC。
|
高级
|
3.3 |
|
|
|
A.8.2.3 |
RSASHA1_FOR_SIGNING |
RSASHA1 用于 Cloud DNS 区域中的密钥登录。
|
高级
|
3.4
3.5 |
|
|
|
|
防火墙漏洞发现结果
此检测器类型的漏洞均与防火墙配置相关,并且属于 FIREWALL_SCANNER 检测器类型。
表格 8.防火墙扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
EGRESS_DENY_RULE_NOT_SET |
防火墙上未设置出站流量拒绝规则。出站流量拒绝规则应设置为阻止不必要的出站流量。 |
高级
|
|
7.2 |
|
|
|
FIREWALL_RULE_LOGGING_DISABLED |
防火墙规则日志记录已停用。应启用防火墙规则日志记录,以便您可以审核网络访问权限。 |
高级
|
|
10.1
10.2
|
|
SI-4 |
A.13.1.1 |
OPEN_CASSANDRA_PORT |
防火墙配置为具有允许通用访问的开放 CASSANDRA 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_CISCOSECURE_WEBSM_PORT |
防火墙配置为具有允许通用访问的开放 CISCOSECURE_WEBSM 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_DIRECTORY_SERVICES_PORT |
防火墙配置为具有允许通用访问的开放 DIRECTORY_SERVICES 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_DNS_PORT |
防火墙配置为具有允许通用访问的开放 DNS 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_ELASTICSEARCH_PORT |
防火墙配置为具有允许通用访问的开放 ELASTICSEARCH 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_FIREWALL |
防火墙配置为开放给公众访问。
|
优质或标准
|
|
1.2.1 |
|
|
|
OPEN_FTP_PORT |
防火墙配置为具有允许通用访问的开放 FTP 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_HTTP_PORT |
防火墙配置为具有允许通用访问的开放 HTTP 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_LDAP_PORT |
防火墙配置为具有允许通用访问的开放 LDAP 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_MEMCACHED_PORT |
防火墙配置为具有允许通用访问的开放 MEMCACHED 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_MONGODB_PORT |
防火墙配置为具有允许通用访问的开放 MONGODB 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_MYSQL_PORT |
防火墙配置为具有允许通用访问的开放 MYSQL 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_NETBIOS_PORT |
防火墙配置为具有允许通用访问的开放 NETBIOS 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_ORACLEDB_PORT |
防火墙配置为具有允许通用访问的开放 ORACLEDB 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_POP3_PORT |
防火墙配置为具有允许通用访问的开放 POP3 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_POSTGRESQL_PORT |
防火墙配置为具有允许通用访问的开放 POSTGRESQL 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_RDP_PORT |
防火墙配置为具有允许通用访问的开放 RDP 端口。
|
优质或标准
|
3.7 |
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_REDIS_PORT |
防火墙配置为具有允许通用访问的开放 REDIS 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_SMTP_PORT |
防火墙配置为具有允许通用访问的开放 SMTP 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_SSH_PORT |
防火墙配置为具有允许通用访问的开放 SSH 端口。
|
优质或标准
|
3.6 |
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_TELNET_PORT |
防火墙配置为具有允许通用访问的开放 TELNET 端口。
|
高级
|
|
1.2.1 |
|
SC-7 |
A.13.1.1 |
IAM 漏洞发现结果
此检测器类型的漏洞均与身份和访问权限管理 (IAM) 配置相关,并属于 IAM_SCANNER 检测器类型。
表格 9.IAM 扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
ADMIN_SERVICE_ACCOUNT |
服务帐号具有 Admin、Owner 或 Editor 权限。这些角色不应分配给用户创建的服务帐号。 |
高级
|
1.4 |
|
|
|
|
KMS_ROLE_SEPARATION |
职责分离不是强制执行的,并且存在同时具有以下任何:Cloud Key Management Service(Cloud KMS)CryptoKey 加密者/解密者、加密者或解密者角色的用户。
|
高级
|
1.9 |
|
|
AC-5 |
A.9.2.3
A.10.1.2 |
NON_ORG_IAM_MEMBER |
有用户不使用组织凭据。目前,根据 CIS GCP Foundations 1.0,此检测器只能由具有 @gmail.com 电子邮件地址的身份触发。 |
优质或标准
|
1.1 |
7.1.2 |
|
AC-3 |
A.9.2.3 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
用户在项目级层(而不是特定服务帐号)拥有 Service Account User 或 Service Account Token Creator 角色。 |
高级
|
1.5 |
7.1.2 |
|
AC-6 |
A.9.2.3 |
PRIMITIVE_ROLES_USED |
用户具有基本角色 Owner、Writer 或 Reader。这些角色权限过于宽松,不应使用。 |
高级
|
|
7.1.2 |
|
AC-6 |
A.9.2.3 |
REDIS_ROLE_USED_ON_ORG |
Redis IAM 角色在组织或文件夹级层分配。
|
高级
|
|
7.1.2 |
|
|
A.9.2.3 |
SERVICE_ACCOUNT_ROLE_SEPARATION |
为用户分配了服务帐号管理员和服务帐号用户角色。这违反了“职责分离”原则。 |
高级
|
1.7 |
|
|
AC-5 |
A.9.2.3 |
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
服务帐号密钥已经超过 90 天没有轮替。
|
高级
|
1.6 |
|
|
|
|
USER_MANAGED_SERVICE_ACCOUNT_KEY |
服务帐号密钥由用户管理。
|
高级
|
1.3 |
|
|
|
|
KMS 漏洞发现结果
此检测器类型的漏洞均与 Cloud KMS 配置相关联,并且属于 KMS_SCANNER 检测器类型。
表格 10.KMS 扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
KMS_KEY_NOT_ROTATED |
没有在 Cloud KMS 加密密钥上配置轮替。 应在 90 天的时段内轮替密钥。 |
高级
|
1.8 |
3.5 |
|
SC-12 |
A.10.1.2 |
KMS_PROJECT_HAS_OWNER |
用户对具有加密密钥的项目拥有“所有者”权限。
|
高级
|
|
3.5 |
|
AC-6
SC-12 |
A.9.2.3
A.10.1.2
|
TOO_MANY_KMS_USERS |
有 3 个以上的加密密钥用户
|
高级
|
|
3.5.2 |
|
|
A.9.2.3 |
KMS_PUBLIC_KEY |
Cloud KMS 加密密钥可公开访问。 |
高级
|
|
|
|
|
|
日志记录漏洞发现结果
此检测器类型的漏洞均与日志记录配置相关,并且属于 LOGGING_SCANNER 检测器类型。
表格 11.日志记录扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
AUDIT_LOGGING_DISABLED |
已停用此资源的审核日志记录功能。
|
高级
|
2.1 |
10.1
10.2
|
|
AC-2
AU-2
|
A.12.4.1
A.16.1.7
|
BUCKET_LOGGING_DISABLED |
有一个存储分区未启用日志记录。
|
高级
|
5.3 |
|
|
|
|
LOG_NOT_EXPORTED |
有一个资源未配置适当的日志接收器。
|
高级
|
2.2 |
|
|
|
A.18.1.3 |
LOCKED_RETENTION_POLICY_NOT_SET |
没有为日志设置锁定保留政策。 |
高级
|
|
10.5 |
|
AU-11 |
A.12.4.2
A.18.1.3
|
OBJECT_VERSIONING_DISABLED |
在配置了接收器的存储分区上未启用对象版本控制
|
高级
|
2.3 |
10.5 |
|
AU-11 |
A.12.4.2
A.18.1.3
|
监控漏洞发现结果
此检测器类型的漏洞均与监控配置相关,并且属于 MONITORING_SCANNER 类型。所有 Monitoring 检测器发现结果属性都将包括:
- 用于创建日志指标的
RecommendedLogFilter。
- 满足建议日志过滤条件中列出的条件的
QualifiedLogMetricNames。
AlertPolicyFailureReasons 指示是否没有为任何合格日志指标创建提醒政策,或者现有提醒政策是否没有建议的设置。
表格 12.Monitoring 扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
AUDIT_CONFIG_NOT_MONITORED |
日志指标和提醒未配置为监控审核配置更改。
|
高级
|
2.5 |
|
|
|
|
BUCKET_IAM_NOT_MONITORED |
日志指标和提醒未配置为监控 Cloud Storage IAM 权限更改。
|
高级
|
2.10 |
|
|
|
|
CUSTOM_ROLE_NOT_MONITORED |
日志指标和提醒未配置为监控自定义角色更改。
|
高级
|
2.6 |
|
|
|
|
FIREWALL_NOT_MONITORED |
日志指标和提醒未配置为监控 VPC 网络防火墙规则更改。
|
高级
|
2.7 |
|
|
|
|
NETWORK_NOT_MONITORED |
日志指标和提醒未配置为监控 VPC 网络更改。
|
高级
|
2.9 |
|
|
|
|
OWNER_NOT_MONITORED |
日志指标和提醒未配置为监控项目所有权分配或更改。
|
高级
|
2.4 |
|
|
|
|
ROUTE_NOT_MONITORED |
日志指标和提醒未配置为监控 VPC 网络路由更改。
|
高级
|
2.8 |
|
|
|
|
SQL_INSTANCE_NOT_MONITORED |
日志指标和提醒未配置为监控 Cloud SQL实例配置更改。
|
高级
|
2.11 |
|
|
|
|
网络漏洞发现结果
此检测器类型的漏洞均与组织的网络配置相关,属于 NETWORK_SCANNER 类型。
表格 13.网络扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
DEFAULT_NETWORK |
项目中存在默认网络。
|
高级
|
3.1 |
|
|
|
|
LEGACY_NETWORK |
项目中存在旧版网络。
|
高级
|
3.2 |
|
|
|
|
组织政策漏洞发现结果
此检测器类型的漏洞均与组织政策限制条件的配置相关,并且属于 ORG_POLICY 类型。
表格 14.组织政策扫描程序
| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
ORG_POLICY_CONFIDENTIAL_VM_POLICY |
Compute Engine 资源未遵守 constraints/compute.restrictNonConfidentialComputing 组织政策。如需详细了解此组织政策限制条件,请参阅机密虚拟机文档中的强制执行组织政策限制条件。 |
高级
|
|
|
|
|
|
ORG_POLICY_LOCATION_RESTRICTION |
资源未遵守 constraints/gcp.resourceLocations 组织政策。如需详细了解此组织政策限制条件,请参阅限制资源位置。 |
高级
|
|
|
|
|
|
SQL 漏洞发现结果
此检测器类型的漏洞均与 Cloud SQL 配置相关,并且属于 SQL_SCANNER 类型。
表格 15.SQL 扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
AUTO_BACKUP_DISABLED |
Cloud SQL 数据库未启用自动备份。
|
高级
|
|
|
|
CP-9 |
A.12.3.1 |
PUBLIC_SQL_INSTANCE |
Cloud SQL 数据库实例接受来自所有 IP 地址的连接。
|
优质或标准
|
6.2 |
1.2.1 |
|
CA-3
SC-7 |
A.8.2.3
A.13.1.3
A.14.1.3 |
SSL_NOT_ENFORCED |
Cloud SQL 数据库实例并不要求所有传入连接都使用 SSL。
|
优质或标准
|
6.1 |
4.1 |
|
SC-7 |
A.8.2.3
A.13.2.1
A.14.1.3
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Cloud SQL for SQL Server 实例的“包含数据库身份验证”数据库标志未设置为“关闭”。 |
高级
|
|
|
|
|
|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Cloud SQL for SQL Server 实例的“cross db ownership chaining”数据库标志未设置为“关闭”。 |
高级
|
|
|
|
|
|
SQL_LOCAL_INFILE |
Cloud SQL for MySQL 实例的“local_infile”数据库标志未设置为“关闭”。 |
高级
|
|
|
|
|
|
SQL_LOG_CHECKPOINTS_DISABLED |
Cloud SQL for PostgreSQL 实例的“log_checkpoints”数据库标志未设置为“启用”。 |
高级
|
|
|
|
|
|
SQL_LOG_CONNECTIONS_DISABLED |
Cloud SQL for PostgreSQL 实例的“log_connections”数据库标志未设置为“启用”。 |
高级
|
|
|
|
|
|
SQL_LOG_DISCONNECTIONS_DISABLED |
Cloud SQL for PostgreSQL 实例的“log_disconnections”数据库标志未设置为“启用”。 |
高级
|
|
|
|
|
|
SQL_LOG_LOCK_WAITS_DISABLED |
Cloud SQL for PostgreSQL 实例的“log_lock_waits”数据库标志未设置为“启用”。 |
高级
|
|
|
|
|
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Cloud SQL for PostgreSQL 实例的“log_min_duration_statement”数据库标志未设置为“-1”。 |
高级
|
|
|
|
|
|
SQL_LOG_TEMP_FILES |
Cloud SQL for PostgreSQL 实例的“log_temp_files”数据库标志未设置为“0”。 |
高级
|
|
|
|
|
|
SQL_NO_ROOT_PASSWORD |
Cloud SQL 数据库没有为根帐号配置密码。
|
高级
|
6.3 |
2.1 |
|
AC-3 |
A.8.2.3
A.9.4.2
|
SQL_PUBLIC_IP |
Cloud SQL 数据库具有公共 IP 地址。 |
高级
|
|
|
|
|
|
SQL_WEAK_ROOT_PASSWORD |
Cloud SQL 数据库为根帐号配置了安全系数低的密码。
|
高级
|
|
|
|
|
|
存储漏洞发现结果
此检测器类型的漏洞均与 Cloud Storage 存储分区配置相关,并且属于 STORAGE_SCANNER 类型。
表格 16.存储扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
BUCKET_POLICY_ONLY_DISABLED |
未配置 Uniform bucket-level access(以前称为 Bucket Policy Only)。
|
高级
|
|
|
|
|
|
PUBLIC_BUCKET_ACL |
Cloud Storage 存储分区可公开访问。
|
优质或标准
|
5.1 |
7.1 |
|
AC-2 |
A.8.2.3
A.14.1.3
|
PUBLIC_LOG_BUCKET |
用作日志接收器的存储分区不应允许公开访问
|
优质或标准
|
|
10.5 |
|
AU-9 |
A.8.2.3
A.12.4.2
A.18.1.3
|
子网漏洞发现结果
此检测器类型的漏洞均与组织的子网配置相关,属于 SUBNETWORK_SCANNER 类型。
表格 17.子网扫描程序| 类别 |
发现结果说明 |
价格层级 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
|---|
FLOW_LOGS_DISABLED |
有一个 VPC 子网已停用流日志。
|
高级
|
3.9 |
10.1
10.2
|
|
SI-4 |
A.13.1.1 |
PRIVATE_GOOGLE_ACCESS_DISABLED |
有一些专用子网无权访问 Google 公共 API。
|
高级
|
3.8 |
|
|
|
|
Web Security Scanner
Web Security Scanner 为公共 App Engine、GKE 和 Compute Engine 服务的 Web 应用提供代管式和自定义的 Web 漏洞扫描。
代管式扫描
Web Security Scanner 代管式扫描由 Security Command Center 配置和管理。每周自动运行代管式扫描,以检测和扫描公共 Web 端点。这些扫描不使用身份验证,而是发送仅限 GET 的请求,因此他们无需在实际网站上提交任何表单。
代管式扫描与在项目级定义的自定义扫描分开运行。您可以使用代管式扫描来集中管理组织中的项目的基本 Web 应用漏洞检测,而无需涉及各个项目团队。发现结果后,您可以与这些团队合作,以设置更全面的自定义扫描。
启用 Web Security Scanner 作为服务后,“Security Command Center 漏洞”标签页和相关报告会自动显示代管式扫描发现结果。如需了解如何启用 Web Security Scanner 代管式扫描,请参阅配置 Security Command Center。
自定义扫描
Web Security Scanner 自定义扫描可提供有关应用漏洞发现结果的详细信息,例如过时的库、跨站脚本攻击或混合内容的使用。完成设置 Web Security Scanner 自定义扫描的指南后,在 Security Command Center 中可获取自定义扫描发现结果。
这些表描述了受支持的检测器之间的映射,以及到相关法规遵从机制的最佳映射。
CIS Google Cloud Foundation 1.0 映射已通过 CIS Google Cloud Computing Foundations Benchmark v1.0.0 的互联网安全性校准中心的审核和认证。其中包含其他法规遵从映射以供参考,不会由支付卡行业数据安全标准或 OWASP 基金会提供或审核。如需了解如何手动检查这些违规,您应该参考 CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0)、支付卡行业数据安全标准 3.2.1 (PCI-DSS v3.2.1)、OWASP Top Ten、国家标准和技术研究所 800-53(NIST 800-53) 和国际标准化组织 27001 (ISO 27001)。
此功能仅用于监控法规遵从控制的违反情况。不提供映射作为您的产品或服务是否符合任何监管、行业基准化分析或标准的审计、认证或报告的的基础或替代。
以下是 Web Security Scanner 自定义和代管式扫描识别的发现结果类型。 在标准层级中,Web Security Scanner 支持对公共网址和 IP 不受防火墙保护的已部署应用进行自定义扫描。
表格 18. Web Security Scanner 发现结果
| 类别 |
发现结果说明 |
CIS GCP Foundation 1.0 |
PCI-DSS 3.2.1 版 |
OWASP 排名前 10 |
NIST 800-53 |
ISO-27001 |
ACCESSIBLE_GIT_REPOSITORY |
GIT 代码库会公开。要解决此问题,请移除对 GIT 代码库的意外公开访问权限。 |
|
|
A3 |
|
|
ACCESSIBLE_SVN_REPOSITORY |
SVN 代码库会公开。要解决此问题,请移除对 SVN 代码库的意外公开访问权限。 |
|
|
A3 |
|
|
CLEAR_TEXT_PASSWORD |
密码以明文形式传输,可以被拦截。要解决此问题,请对通过网络传输的密码进行加密。 |
|
|
A3 |
|
|
INVALID_CONTENT_TYPE |
加载的资源与响应的 Content-Type HTTP 标头不匹配。 要解决此问题,请将 `X-Content-Type-Options` HTTP 标头设置为正确的值。 |
|
|
A6 |
|
|
INVALID_HEADER |
安全标头存在语法错误,并且会被浏览器忽略。要解决此问题,请正确设置 HTTP 安全标头。 |
|
|
A6 |
|
|
MISMATCHING_SECURITY_HEADER_VALUES |
安全标头具有重复的、不匹配的值,这会导致未定义的行为。要解决此问题,请正确设置 HTTP 安全标头。 |
|
|
A6 |
|
|
MISSPELLED_SECURITY_HEADER_NAME |
安全标头拼写错误,并且将被忽略。要解决此问题,请正确设置 HTTP 安全标头。 |
|
|
A6 |
|
|
MIXED_CONTENT |
资源是通过 HTTPS 页面上的 HTTP 提供的。要解决此问题,请确保所有资源是通过 HTTPS 提供的。 |
|
|
A6 |
|
|
OUTDATED_LIBRARY |
检测到有已知漏洞的库。要解决此问题,请将库升级到新版本。 |
|
|
A9 |
|
|
XSS |
此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。要解决此问题,请验证和转义不受信任的用户提供的数据。 |
|
|
A7 |
|
|
XSS_ANGULAR_CALLBACK |
用户提供的字符串没有转义,并且可由 AngularJS 插入。要解决此问题,请验证并转义由 Angular 框架处理的不受信任用户提供的数据。 |
|
|
A7 |
|
|
XSS_ERROR |
此 Web 应用中的字段容易受到跨站脚本攻击。要解决此问题,请验证和转义不受信任的用户提供的数据。 |
|
|
A7 |
|
|
威胁
威胁检测器可帮助您发现潜在的有害事件。
异常检测
异常值检测是一项内置服务,使用了来自系统外部的行为信号。它会显示针对您的项目和虚拟机 (VM) 实例检测到的安全异常的详细信息,例如可能泄露的凭据和虚拟货币挖矿。如果您订阅了 Security Command Center 标准版或付费级,系统会自动启用异常值检测功能,您可以在 Security Command Center 信息中心获取发现结果。
异常值检测发现结果示例包括:
表格 异常检测发现类别
| 破解的潜在风险 |
说明 |
account_has_leaked_credentials |
Google Cloud 服务帐号的凭据意外在网站泄露或被破解。 |
resource_compromised_alert |
组织中资源的潜在破解。 |
| 滥用行为场景 |
说明 |
resource_involved_in_coin_mining |
组织中虚拟机周围的行为信号表明资源可能已遭破解,并且可能被用于挖矿。 |
outgoing_intrusion_attempt |
入侵尝试和端口扫描:您组织中的一项资源或 Google Cloud 服务正用于入侵活动,例如尝试破坏或破解目标系统。其中包括 SSH 暴力破解、端口扫描和 FTP 暴力破解攻击。 |
resource_used_for_phishing |
组织中的某项资源或 Google Cloud 服务被用于网上诱骗。
|
Container Threat Detection
Container Threat Detection 可以检测最常见的容器运行时攻击,并在 Security Command Center 和 Cloud Logging(可选)中提醒您。Container Threat Detection 包括多个检测功能、一个分析工具和 API。
Container Threat Detection 检测插桩收集客机内核中的低级行为以检测以下事件:
- 已执行添加的二进制文件
- 已加载添加的库
- 反向 shell
详细了解 Container Threat Detection。
Cloud Data Loss Prevention
借助 Cloud DLP 数据发现,您可以直接在 Security Command Center 的信息中心和发现结果目录中查看 Cloud 数据泄露防护(Cloud DLP) 扫描的结果。Cloud DLP 可帮助您更好地了解和管理敏感数据和个人身份信息 (PII),如下所示:
- 信用卡号
- 名称
- 社会保障号
- 美国和选定的国际识别号
- 电话号码
- Google Cloud 凭据
每个 Cloud DLP 数据发现结果都仅包括已识别的 PII 数据的类别类型以及在其中找到的资源。它不包含任何特定的底层数据。
完成将 DLP API 结果发送到 Security Command Center 中所述的设置步骤后,Cloud DLP 扫描结果即会显示在 Security Command Center 中。
如需了解详情,请参阅:
Event Threat Detection
Event Threat Detection 使用来自系统内部的日志数据。它会监控您组织中的一个或多个项目的 Cloud Logging 流,并在这些日志可用时使用日志。检测到威胁时,Event Threat Detection 会将发现结果写入 Security Command Center 和 Cloud Logging 项目中。在您订阅 Security Command Center 付费级后,系统会自动启用 Event Threat Detection,并在 Security Command Center 信息中心内提供发现结果。
Event Threat Detection 发现的结果包括以下内容:
表格 C.Event Threat Detection 发现结果类型| 数据遭窃 |
Event Threat Detection 通过检查以下两种情形的审核日志来检测 BigQuery 中的数据渗漏:
- 资源保存在您的组织外部,或者尝试执行被 VPC Service Controls 阻止的复制操作。
- 尝试访问受 VPC Service Controls 保护的 BigQuery 资源。
|
| SSH 暴力破解 |
Event Threat Detection 会检查 syslog 日志以检查是否存在连续失败,然后会执行成功,从而检测密码身份验证 SSH 的暴力破解。 |
| 挖矿 |
Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志,连接到与挖掘池的已知不良网域的连接来检测金币恶意软件。 |
| IAM 滥用行为 |
异常值 IAM 授权:Event Threat Detection 会检测可能被视为异常值情况的 IAM 授权,例如:
- 将 gmail.com 用户添加到具有项目编辑者角色的政策。
- 通过 Google Cloud Console 邀请 gmail.com 用户成为项目所有者。
- 授予敏感权限的服务帐号。
- 自定义角色授予敏感权限。
- 从您的组织外部添加的服务帐号。
|
| 恶意软件 |
Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志来检查已知命令和控制网域和 IPs,从而检测恶意软件。 |
| 网上诱骗 |
Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志中与已知网上诱骗网域和 IP 的连接来检测网上诱骗。
|
| 传出 DoS |
Event Threat Detection 会检查 VPC 流日志以检测传出拒绝服务流量。
|
IAM 行为异常
预览版 |
Event Threat Detection 会通过检查来自异常 IP 地址的访问的 Cloud Audit Logs 和异常用户代理来检测异常 IAM 行为。 |
服务帐号自行调查
预览版
|
Event Threat Detection 检测何时使用服务帐号凭据来调查与同一服务帐号关联的角色和权限。 |
详细了解 Event Threat Detection。
Forseti Security
Forseti Security 为您提供了各种工具,帮助您了解 Google Cloud 中的所有资源。核心 Forseti 模块协同工作,可提供完整的信息,以便您可以保护资源并最大限度地降低安全风险。
要在 Security Command Center 中显示 Forseti 违规通知,请遵循 Forseti Security Command Center 通知指南。
如需了解详情,请参阅:
Phishing Protection
Phishing Protection 通过对使用您的品牌的恶意内容进行分类,并向 Google 安全浏览报告不安全的网址,以防止用户访问网上诱骗网站。在网站被添加到安全浏览数据库后,超过 30 亿台设备的用户都将看到相关警告。
要开始使用网上诱骗防护,请按照启用 Phishing Protection 指南进行操作。启用网上诱骗防护后,结果会出现在网上诱骗防护的 Security Command Center 卡片中的发现结果下。
后续步骤
