面向漏洞和威胁的安全源

>

Security Command Center 中提供的 Google Cloud 安全来源列表。启用安全来源后,它会在 Security Command Center 信息中心内提供漏洞和威胁数据。

Security Command Center 允许您以多种不同的方式过滤和查看漏洞和威胁发现结果,如过滤特定的发现结果类型、资源类型或特定的资产。每个安全来源都可能提供更多过滤条件,以帮助您整理组织的结果。

如需了解详情,请参阅使用 Security Command Center 信息中心

漏洞

漏洞检测器可帮助您发现潜在漏洞。

Security Health Analytics 漏洞类型

Security Health Analytics 可为Google Cloud 提供代管式漏洞评估扫描服务,该功能可以自动检测以下各项的通用漏洞和配置错误:

  • Cloud Monitoring 和 Cloud Logging
  • Compute Engine
  • Google Kubernetes Engine 容器和网络
  • Cloud Storage
  • Cloud SQL
  • 身份和访问权限管理 (IAM)
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

如果您选择或 Security Command Center Standard 或付费级,系统将自动启用 Security Health Analytics。启用 Security Health Analytics 后,扫描每天会自动运行两次,间隔时间为 12 小时。

Security Health Analytics 会扫描许多漏洞类型。您可以按检测器类型对发现结果进行分组。使用 Security Health Analytics 检测器名称,根据发现结果的资源类型过滤结果。

如需查看 Security Health Analytics 检测器和发现结果的完整列表,请参阅 Security Health Analytics 发现结果页面,或展开以下部分。

Web Security Scanner

Web Security Scanner 为公共 App Engine、GKE 和 Compute Engine 服务的 Web 应用提供代管式和自定义的 Web 漏洞扫描。

代管式扫描

Web Security Scanner 代管式扫描由 Security Command Center 配置和管理。每周自动运行代管式扫描,以检测和扫描公共 Web 端点。这些扫描不使用身份验证,而是发送仅限 GET 的请求,因此他们无需在实际网站上提交任何表单。

代管式扫描与在项目级定义的自定义扫描分开运行。您可以使用代管式扫描来集中管理组织中的项目的基本 Web 应用漏洞检测,而无需涉及各个项目团队。发现结果后,您可以与这些团队合作,以设置更全面的自定义扫描。

启用 Web Security Scanner 作为服务后,“Security Command Center 漏洞”标签页和相关报告会自动显示代管式扫描发现结果。如需了解如何启用 Web Security Scanner 代管式扫描,请参阅配置 Security Command Center

自定义扫描

Web Security Scanner 自定义扫描可提供有关应用漏洞发现结果的详细信息,例如过时的库、跨站脚本攻击或混合内容的使用。完成设置 Web Security Scanner 自定义扫描的指南后,在 Security Command Center 中可获取自定义扫描发现结果。

这些表描述了受支持的检测器之间的映射,以及到相关法规遵从机制的最佳映射。

CIS Google Cloud Foundation 1.0 映射已通过 CIS Google Cloud Computing Foundations Benchmark v1.0.0 的互联网安全性校准中心的审核和认证。其中包含其他法规遵从映射以供参考,不会由支付卡行业数据安全标准或 OWASP 基金会提供或审核。如需了解如何手动检查这些违规,您应该参考 CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0)、支付卡行业数据安全标准 3.2.1 (PCI-DSS v3.2.1)、OWASP Top Ten国家标准和技术研究所 800-53(NIST 800-53) 和国际标准化组织 27001 (ISO 27001)。

此功能仅用于监控法规遵从控制的违反情况。不提供映射作为您的产品或服务是否符合任何监管、行业基准化分析或标准的审计、认证或报告的的基础或替代。

以下是 Web Security Scanner 自定义和代管式扫描识别的发现结果类型。 在标准层级中,Web Security Scanner 支持对公共网址和 IP 不受防火墙保护的已部署应用进行自定义扫描。

表格 18. Web Security Scanner 发现结果
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY GIT 代码库会公开。要解决此问题,请移除对 GIT 代码库的意外公开访问权限。 A3
ACCESSIBLE_SVN_REPOSITORY SVN 代码库会公开。要解决此问题,请移除对 SVN 代码库的意外公开访问权限。 A3
CLEAR_TEXT_PASSWORD 密码以明文形式传输,可以被拦截。要解决此问题,请对通过网络传输的密码进行加密。 A3
INVALID_CONTENT_TYPE 加载的资源与响应的 Content-Type HTTP 标头不匹配。 要解决此问题,请将 `X-Content-Type-Options` HTTP 标头设置为正确的值。 A6
INVALID_HEADER 安全标头存在语法错误,并且会被浏览器忽略。要解决此问题,请正确设置 HTTP 安全标头。 A6
MISMATCHING_SECURITY_HEADER_VALUES 安全标头具有重复的、不匹配的值,这会导致未定义的行为。要解决此问题,请正确设置 HTTP 安全标头。 A6
MISSPELLED_SECURITY_HEADER_NAME 安全标头拼写错误,并且将被忽略。要解决此问题,请正确设置 HTTP 安全标头。 A6
MIXED_CONTENT 资源是通过 HTTPS 页面上的 HTTP 提供的。要解决此问题,请确保所有资源是通过 HTTPS 提供的。 A6
OUTDATED_LIBRARY 检测到有已知漏洞的库。要解决此问题,请将库升级到新版本。 A9
XSS 此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。要解决此问题,请验证和转义不受信任的用户提供的数据。 A7
XSS_ANGULAR_CALLBACK 用户提供的字符串没有转义,并且可由 AngularJS 插入。要解决此问题,请验证并转义由 Angular 框架处理的不受信任用户提供的数据。 A7
XSS_ERROR 此 Web 应用中的字段容易受到跨站脚本攻击。要解决此问题,请验证和转义不受信任的用户提供的数据。 A7

威胁

威胁检测器可帮助您发现潜在的有害事件。

异常检测

异常值检测是一项内置服务,使用了来自系统外部的行为信号。它会显示针对您的项目和虚拟机 (VM) 实例检测到的安全异常的详细信息,例如可能泄露的凭据和虚拟货币挖矿。如果您订阅了 Security Command Center 标准版或付费级,系统会自动启用异常值检测功能,您可以在 Security Command Center 信息中心获取发现结果。

异常值检测发现结果示例包括:

表格 异常检测发现类别
破解的潜在风险 说明
account_has_leaked_credentials Google Cloud 服务帐号的凭据意外在网站泄露或被破解。
resource_compromised_alert 组织中资源的潜在破解。
滥用行为场景 说明
resource_involved_in_coin_mining 组织中虚拟机周围的行为信号表明资源可能已遭破解,并且可能被用于挖矿。
outgoing_intrusion_attempt 入侵尝试和端口扫描:您组织中的一项资源或 Google Cloud 服务正用于入侵活动,例如尝试破坏或破解目标系统。其中包括 SSH 暴力破解、端口扫描和 FTP 暴力破解攻击。
resource_used_for_phishing 组织中的某项资源或 Google Cloud 服务被用于网上诱骗。

Container Threat Detection

Container Threat Detection 可以检测最常见的容器运行时攻击,并在 Security Command Center 和 Cloud Logging(可选)中提醒您。Container Threat Detection 包括多个检测功能、一个分析工具和 API。

Container Threat Detection 检测插桩收集客机内核中的低级行为以检测以下事件:

  • 已执行添加的二进制文件
  • 已加载添加的库
  • 反向 shell

详细了解 Container Threat Detection

Cloud Data Loss Prevention

借助 Cloud DLP 数据发现,您可以直接在 Security Command Center 的信息中心和发现结果目录中查看 Cloud 数据泄露防护(Cloud DLP) 扫描的结果。Cloud DLP 可帮助您更好地了解和管理敏感数据和个人身份信息 (PII),如下所示:

  • 信用卡号
  • 名称
  • 社会保障号
  • 美国和选定的国际识别号
  • 电话号码
  • Google Cloud 凭据

每个 Cloud DLP 数据发现结果都仅包括已识别的 PII 数据的类别类型以及在其中找到的资源。它不包含任何特定的基础数据。

完成将 DLP API 结果发送到 Security Command Center 中所述的设置步骤后,Cloud DLP 扫描结果即会显示在 Security Command Center 中。

如需了解详情,请参阅:

Event Threat Detection

Event Threat Detection 使用来自系统内部的日志数据。它会监控您组织中的一个或多个项目的 Cloud Logging 流,并在这些日志可用时使用日志。检测到威胁时,Event Threat Detection 会将发现结果写入 Security Command Center 和 Cloud Logging 项目中。在您订阅 Security Command Center 付费级后,系统会自动启用 Event Threat Detection,并在 Security Command Center 信息中心内提供发现结果。

Event Threat Detection 发现的结果包括以下内容:

表格 C.Event Threat Detection 发现结果类型
数据遭窃

Event Threat Detection 通过检查以下两种情形的审核日志来检测 BigQuery 中的数据渗漏:

  • 资源保存在您的组织外部,或者尝试执行被 VPC Service Controls 阻止的复制操作。
  • 尝试访问受 VPC Service Controls 保护的 BigQuery 资源。
SSH 暴力破解 Event Threat Detection 会检查 syslog 日志以检查是否存在连续失败,然后会执行成功,从而检测密码身份验证 SSH 的暴力破解。
挖矿 Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志,连接到与挖掘池的已知不良网域的连接来检测金币恶意软件。
IAM 滥用行为

异常值 IAM 授权:Event Threat Detection 会检测可能被视为异常值情况的 IAM 授权,例如:

  • 将 gmail.com 用户添加到具有项目编辑者角色的政策。
  • 通过 Google Cloud Console 邀请 gmail.com 用户成为项目所有者。
  • 授予敏感权限的服务帐号。
  • 自定义角色授予敏感权限。
  • 从您的组织外部添加的服务帐号。
恶意软件 Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志来检查已知命令和控制网域和 IPs,从而检测恶意软件。
网上诱骗 Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志中与已知网上诱骗网域和 IP 的连接来检测网上诱骗。

详细了解 Event Threat Detection

Forseti Security

Forseti Security 为您提供了各种工具,帮助您了解 Google Cloud 中的所有资源。核心 Forseti 模块协同工作,可提供完整的信息,以便您可以保护资源并最大限度地降低安全风险。

要在 Security Command Center 中显示 Forseti 违规通知,请遵循 Forseti Security Command Center 通知指南

如需了解详情,请参阅:

网上诱骗防护

Phishing Protection 通过对使用您的品牌的恶意内容进行分类,并向 Google 安全浏览报告不安全的网址,以防止用户访问网上诱骗网站。在网站被添加到安全浏览数据库后,超过 30 亿台设备的用户都将看到相关警告。

要开始使用网上诱骗防护,请按照启用网上诱骗防护指南进行操作。启用网上诱骗防护后,结果会出现在网上诱骗防护的 Security Command Center 卡片中的发现结果下。

后续步骤