Temuan kerentanan

Pendeteksi Kerentanan Cepat, Analisis Kondisi Keamanan, dan Web Security Scanner menghasilkan temuan kerentanan yang tersedia di Security Command Center. Saat diaktifkan di Security Command Center, layanan terintegrasi, seperti VM Manager, juga akan menghasilkan temuan kerentanan.

Kemampuan Anda untuk melihat dan mengedit temuan ditentukan oleh peran dan izin Identity and Access Management (IAM) yang Anda tetapkan. Untuk mengetahui informasi selengkapnya tentang peran IAM di Security Command Center, lihat Kontrol akses.

Pendeteksi dan kepatuhan

Security Command Center memantau kepatuhan Anda terhadap detektor yang dipetakan ke kontrol berbagai standar keamanan.

Untuk setiap standar keamanan yang didukung, Security Command Center memeriksa subset kontrol. Untuk kontrol yang dicentang, Security Command Center akan menampilkan jumlah yang lulus. Untuk kontrol yang tidak lulus, Security Command Center menampilkan daftar temuan yang menjelaskan kegagalan kontrol.

CIS meninjau dan menyetujui pemetaan detektor Security Command Center untuk setiap versi CIS Google Cloud Foundations Benchmark yang didukung. Pemetaan kepatuhan tambahan hanya disertakan untuk tujuan referensi.

Security Command Center menambahkan dukungan untuk versi dan standar benchmark baru secara berkala. Versi lama tetap didukung, tetapi pada akhirnya tidak digunakan lagi. Sebaiknya gunakan tolok ukur atau standar terbaru yang didukung dan tersedia.

Dengan layanan postur keamanan, Anda dapat memetakan kebijakan organisasi dan detektor Analisis Kesehatan Keamanan ke standar dan kontrol yang berlaku untuk bisnis Anda. Setelah membuat postur keamanan, Anda dapat memantau setiap perubahan pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda.

Untuk informasi selengkapnya tentang mengelola kepatuhan, lihat Menilai dan melaporkan kepatuhan terhadap standar keamanan.

Standar keamanan yang didukung di Google Cloud

Security Command Center memetakan detektor untuk Google Cloud ke satu atau beberapa standar kepatuhan berikut:

Untuk petunjuk tentang cara melihat dan mengekspor laporan kepatuhan, lihat bagian Kepatuhan di Menggunakan Security Command Center di Konsol Google Cloud.

Menemukan penonaktifan setelah perbaikan

Setelah Anda memperbaiki temuan kerentanan atau kesalahan konfigurasi, layanan Security Command Center yang mendeteksi temuan tersebut akan otomatis menyetel status temuan ke INACTIVE saat layanan deteksi memindai temuan itu lagi. Waktu yang diperlukan Security Command Center untuk menetapkan temuan yang diperbaiki ke INACTIVE bergantung pada jadwal pemindaian yang mendeteksi temuan tersebut.

Layanan Security Command Center juga menetapkan status temuan kerentanan atau kesalahan konfigurasi ke INACTIVE saat pemindaian mendeteksi bahwa resource yang terpengaruh oleh temuan tersebut telah dihapus.

Untuk informasi selengkapnya tentang interval pemindaian, lihat topik berikut:

Temuan Security Health Analytics

Pendeteksi Security Health Analytics memantau sebagian resource dari Cloud Asset Inventory (CAI), yang menerima notifikasi tentang perubahan kebijakan resource dan Identity and Access Management (IAM). Beberapa detektor mengambil data dengan langsung memanggil Google Cloud API, seperti yang ditunjukkan dalam tabel nanti di halaman ini.

Untuk informasi selengkapnya tentang Security Health Analytics, jadwal pemindaian, dan dukungan Security Health Analytics untuk detektor modul bawaan dan kustom, lihat Ringkasan Analisis Kondisi Keamanan.

Tabel berikut menjelaskan detektor Security Health Analytics, aset dan standar kepatuhan yang didukung, setelan yang digunakan untuk pemindaian, dan jenis temuan yang dihasilkan. Anda dapat memfilter temuan berdasarkan berbagai atribut menggunakan halaman Kerentanan Security Command Center di Konsol Google Cloud.

Untuk mendapatkan petunjuk tentang cara memperbaiki masalah dan melindungi resource Anda, lihat Memperbaiki temuan Analisis Kondisi Keamanan.

Temuan kerentanan kunci API

Detektor API_KEY_SCANNER mengidentifikasi kerentanan yang terkait dengan kunci API yang digunakan dalam deployment cloud Anda.

Tabel 1. Pemindai kunci API
Pendeteksi Ringkasan Setelan pemindaian aset
API key APIs unrestricted

Nama kategori di API: API_KEY_APIS_UNRESTRICTED

Menemukan deskripsi: Ada kunci API yang digunakan terlalu luas. Untuk mengatasi hal ini, batasi penggunaan kunci API agar hanya mengizinkan API yang diperlukan oleh aplikasi.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Mengambil properti restrictions dari semua kunci API dalam sebuah project, memeriksa apakah ada yang ditetapkan ke cloudapis.googleapis.com.

  • Pemindaian real-time: Ya
API key apps unrestricted

Nama kategori di API: API_KEY_APPS_UNRESTRICTED

Menemukan deskripsi: Ada kunci API yang digunakan secara tidak terbatas, sehingga memungkinkan penggunaan oleh aplikasi yang tidak tepercaya.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13

Mengambil properti restrictions dari semua kunci API dalam sebuah project, memeriksa apakah browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions, atau iosKeyRestrictions ditetapkan.

  • Pemindaian real-time: Ya
API key exists

Nama kategori di API: API_KEY_EXISTS

Menemukan deskripsi: Project menggunakan kunci API, bukan autentikasi standar.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Mengambil semua kunci API yang dimiliki oleh sebuah project.

  • Pemindaian real-time: Ya
API key not rotated

Nama kategori di API: API_KEY_NOT_ROTATED

Menemukan deskripsi: Kunci API belum dirotasi selama lebih dari 90 hari.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Mengambil stempel waktu yang terdapat di properti createTime dari semua kunci API, yang memeriksa apakah 90 hari telah berlalu.

  • Pemindaian real-time: Ya

Temuan kerentanan Inventaris Aset Cloud

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Inventaris Aset Cloud dan termasuk dalam jenis CLOUD_ASSET_SCANNER.

Tabel 2. Pemindai Inventaris Aset Cloud
Pendeteksi Ringkasan Setelan pemindaian aset
Cloud Asset API disabled

Nama kategori di API: CLOUD_ASSET_API_DISABLED

Deskripsi penemuan: Pengambilan resource Google Cloud dan kebijakan IAM oleh Inventaris Aset Cloud memungkinkan analisis keamanan, pelacakan perubahan resource, dan audit kepatuhan. Sebaiknya aktifkan layanan Inventaris Aset Cloud untuk semua project. Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
pubsub.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

Memeriksa apakah layanan Inventaris Aset Cloud diaktifkan.

  • Pemindaian real-time: Ya

Menghitung temuan kerentanan gambar

Detektor COMPUTE_IMAGE_SCANNER mengidentifikasi kerentanan yang terkait dengan konfigurasi image Google Cloud.

Tabel 3. Pemindai image komputasi
Pendeteksi Ringkasan Setelan pemindaian aset
Public Compute image

Nama kategori di API: PUBLIC_COMPUTE_IMAGE

Menemukan deskripsi: Image Compute Engine dapat diakses secara publik.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Image

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama allUsers atau allAuthenticatedUsers, yang memberikan akses publik.

  • Pemindaian real-time: Ya

Temuan kerentanan instance komputasi

Detektor COMPUTE_INSTANCE_SCANNER mengidentifikasi kerentanan yang terkait dengan konfigurasi instance Compute Engine.

Pendeteksi COMPUTE_INSTANCE_SCANNER tidak melaporkan temuan pada instance Compute Engine yang dibuat oleh GKE. Instance tersebut memiliki nama yang diawali dengan "gke-", yang tidak dapat diedit pengguna. Untuk mengamankan instance ini, lihat bagian temuan kerentanan container.

Tabel 4. Pemindai instance komputasi
Pendeteksi Ringkasan Setelan pemindaian aset
Confidential Computing disabled

Nama kategori di API: CONFIDENTIAL_COMPUTING_DISABLED

Deskripsi penemuan: Confidential Computing dinonaktifkan pada instance Compute Engine.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa properti confidentialInstanceConfig metadata instance untuk pasangan nilai kunci "enableConfidentialCompute":true.

  • Aset yang dikecualikan dari pemindaian:
    • Instance GKE
    • Akses VPC Serverless
    • Instance yang terkait dengan tugas Dataflow
    • Instance Compute Engine yang bukan berjenis N2D
  • Pemindaian real-time: Ya
Compute project wide SSH keys allowed

Nama kategori di API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Menemukan deskripsi: Kunci SSH di seluruh project digunakan, sehingga login ke semua instance dalam project dapat dilakukan.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

Memeriksa objek metadata.items[] dalam metadata instance untuk pasangan nilai kunci "key": "block-project-ssh-keys", "value": TRUE.

  • Aset yang dikecualikan dari pemindaian: instance GKE, tugas Dataflow, instance Windows
  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca metadata dari Compute Engine
  • Pemindaian real-time: Tidak
Compute Secure Boot disabled

Nama kategori di API: COMPUTE_SECURE_BOOT_DISABLED

Deskripsi penemuan: Shielded VM ini tidak mengaktifkan Booting Aman. Penggunaan Booting Aman membantu melindungi instance virtual machine dari ancaman lanjutan, seperti rootkit dan bootkit.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa properti shieldedInstanceConfig pada instance Compute Engine untuk menentukan apakah enableSecureBoot ditetapkan ke true. Detektor ini memeriksa apakah disk yang terpasang kompatibel dengan Booting Aman dan Booting Aman diaktifkan.

  • Aset yang dikecualikan dari pemindaian: Instance GKE, disk Compute Engine yang memiliki akselerator GPU dan tidak menggunakan Container-Optimized OS, dan Akses VPC Tanpa Server
  • Pemindaian real-time: Ya
Compute serial ports enabled

Nama kategori di API: COMPUTE_SERIAL_PORTS_ENABLED

Deskripsi penemuan: Port serial diaktifkan untuk sebuah instance, sehingga memungkinkan koneksi ke konsol serial instance.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Memeriksa objek metadata.items[] dalam metadata instance untuk pasangan nilai kunci "key": "serial-port-enable", "value": TRUE.

  • Aset yang dikecualikan dari pemindaian: Instance GKE
  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca metadata dari Compute Engine
  • Pemindaian real-time: Ya
Default service account used

Nama kategori di API: DEFAULT_SERVICE_ACCOUNT_USED

Menemukan deskripsi: Instance dikonfigurasi untuk menggunakan akun layanan default.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Memeriksa properti serviceAccounts dalam metadata instance untuk setiap alamat email akun layanan dengan awalan PROJECT_NUMBER-compute@developer.gserviceaccount.com, yang menunjukkan akun layanan default yang dibuat Google.

  • Aset yang dikecualikan dari pemindaian: instance GKE, tugas Dataflow
  • Pemindaian real-time: Ya
Disk CMEK disabled

Nama kategori di API: DISK_CMEK_DISABLED

Deskripsi penemuan: Disk di VM ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Disk

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa kolom kmsKeyName dalam objek diskEncryptionKey, dalam metadata disk, untuk mengetahui nama resource CMEK Anda.

  • Aset yang dikecualikan dari pemindaian: Disk yang terkait dengan lingkungan Cloud Composer, tugas Dataflow, dan instance GKE
  • Pemindaian real-time: Ya
Disk CSEK disabled

Nama kategori di API: DISK_CSEK_DISABLED

Deskripsi penemuan: Disk pada VM ini tidak dienkripsi dengan Kunci Enkripsi yang Disediakan Pelanggan (CSEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mendapatkan petunjuk, lihat Pendeteksi kasus khusus.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Disk

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa kolom kmsKeyName di objek diskEncryptionKey untuk nama resource CSEK Anda.

  • Aset yang dikecualikan dari pemindaian:
    Disk Compute Engine tanpa tanda keamanan enforce_customer_provider_disk_encryption_keys yang disetel ke true
  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca metadata dari Compute Engine
  • Pemindaian real-time: Ya
Full API access

Nama kategori di API: FULL_API_ACCESS

Menemukan deskripsi: Instance dikonfigurasi untuk menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Mengambil kolom scopes di properti serviceAccounts untuk memeriksa apakah akun layanan default digunakan dan apakah sudah diberi cakupan cloud-platform.

  • Aset yang dikecualikan dari pemindaian: instance GKE, tugas Dataflow
  • Pemindaian real-time: Ya
HTTP load balancer

Nama kategori di API: HTTP_LOAD_BALANCER

Deskripsi penemuan: Instance menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/TargetHttpProxy

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 2.3

Menentukan apakah properti selfLink dari resource targetHttpProxy cocok dengan atribut target dalam aturan penerusan, dan apakah aturan penerusan berisi kolom loadBalancingScheme yang ditetapkan ke External.

  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca aturan penerusan untuk proxy HTTP target dari Compute Engine, yang memeriksa aturan eksternal
  • Pemindaian real-time: Ya
IP forwarding enabled

Nama kategori di API: IP_FORWARDING_ENABLED

Deskripsi penemuan: Penerusan IP diaktifkan pada instance.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Memeriksa apakah properti canIpForward instance ditetapkan ke true.

  • Aset yang dikecualikan dari pemindaian: Instance GKE, Akses VPC Serverless
  • Pemindaian real-time: Ya
OS login disabled

Nama kategori di API: OS_LOGIN_DISABLED

Menemukan deskripsi: Login OS dinonaktifkan pada instance ini.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Memeriksa objek commonInstanceMetadata.items[] dalam metadata project untuk pasangan nilai kunci, "key": "enable-oslogin", "value": TRUE. Detektor juga memeriksa semua instance dalam project Compute Engine untuk menentukan apakah Login OS dinonaktifkan untuk setiap instance.

  • Aset yang dikecualikan dari pemindaian: Instance GKE, instance yang terkait dengan tugas Dataflow
  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca metadata dari Compute Engine. Detektor tersebut juga memeriksa instance Compute Engine dalam project
  • Pemindaian real-time: Tidak
Public IP address

Nama kategori di API: PUBLIC_IP_ADDRESS

Deskripsi penemuan: Instance memiliki alamat IP publik.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa apakah properti networkInterfaces berisi kolom accessConfigs, yang menunjukkan bahwa properti dikonfigurasi untuk menggunakan alamat IP publik.

  • Aset yang dikecualikan dari pemindaian: Instance GKE, instance yang terkait dengan tugas Dataflow
  • Pemindaian real-time: Ya
Shielded VM disabled

Nama kategori di API: SHIELDED_VM_DISABLED

Menemukan deskripsi: Shielded VM dinonaktifkan pada instance ini.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8

Memeriksa properti shieldedInstanceConfig di instance Compute Engine untuk menentukan apakah kolom enableIntegrityMonitoring dan enableVtpm ditetapkan ke true. Kolom ini menunjukkan apakah Shielded VM diaktifkan atau tidak.

  • Aset yang dikecualikan dari pemindaian: Instance GKE dan Akses VPC Serverless
  • Pemindaian real-time: Ya
Weak SSL policy

Nama kategori di API: WEAK_SSL_POLICY

Deskripsi penemuan: Instance memiliki kebijakan SSL yang lemah.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

Memeriksa apakah sslPolicy dalam metadata aset kosong atau menggunakan kebijakan default Google Cloud dan, untuk resource sslPolicies yang terlampir, apakah profile disetel ke Restricted atau Modern, minTlsVersion disetel ke TLS 1.2, dan customFeatures kosong atau tidak berisi cipher berikut: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Izin IAM tambahan: roles/compute.Viewer
  • Input tambahan: Membaca kebijakan SSL untuk penyimpanan proxy target, memeriksa kebijakan yang lemah
  • Pemindaian real-time: Ya, tetapi hanya saat TargetHttpsProxy dari TargetSslProxy diupdate, bukan saat kebijakan SSL diperbarui

Temuan kerentanan container

Semua jenis temuan ini berhubungan dengan konfigurasi penampung GKE, dan termasuk dalam jenis detektor CONTAINER_SCANNER.

Tabel 5. Pemindai container
Pendeteksi Ringkasan Setelan pemindaian aset
Alpha cluster enabled

Nama kategori di API: ALPHA_CLUSTER_ENABLED

Deskripsi penemuan: Fitur cluster alfa diaktifkan untuk cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.10.2

Memeriksa apakah properti enableKubernetesAlpha cluster ditetapkan ke true.

  • Pemindaian real-time: Ya
Auto repair disabled

Nama kategori di API: AUTO_REPAIR_DISABLED

Deskripsi penemuan: Fitur perbaikan otomatis cluster GKE, yang menjaga node agar tetap dalam keadaan berjalan dan sehat, dinonaktifkan.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

Memeriksa properti management kumpulan node untuk pasangan nilai kunci, "key": "autoRepair", "value": true.

  • Pemindaian real-time: Ya
Auto upgrade disabled

Nama kategori di API: AUTO_UPGRADE_DISABLED

Deskripsi penemuan: Fitur upgrade otomatis cluster GKE, yang mempertahankan cluster dan node pool pada Kubernetes versi stabil terbaru, dinonaktifkan.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

Memeriksa properti management kumpulan node untuk pasangan nilai kunci, "key": "autoUpgrade", "value": true.

  • Pemindaian real-time: Ya
Binary authorization disabled

Nama kategori di API: BINARY_AUTHORIZATION_DISABLED

Menemukan deskripsi: Otorisasi Biner dinonaktifkan di cluster GKE atau kebijakan Otorisasi Biner dikonfigurasi untuk mengizinkan semua image di-deploy.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa hal berikut:

  • Memeriksa apakah properti binaryAuthorization memiliki salah satu key-value pair berikut:
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • Memeriksa apakah properti kebijakan defaultAdmissionRule tidak berisi pasangan nilai kunci evaluationMode: ALWAYS_ALLOW.

  • Pemindaian real-time: Ya
Cluster logging disabled

Nama kategori di API: CLUSTER_LOGGING_DISABLED

Menemukan deskripsi: Logging tidak diaktifkan untuk cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

Memeriksa apakah properti loggingService cluster berisi lokasi yang harus digunakan Cloud Logging untuk menulis log.

  • Pemindaian real-time: Ya
Cluster monitoring disabled

Nama kategori di API: CLUSTER_MONITORING_DISABLED

Menemukan deskripsi: Pemantauan dinonaktifkan di cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

Memeriksa apakah properti monitoringService cluster berisi lokasi yang harus digunakan Cloud Monitoring untuk menulis metrik.

  • Pemindaian real-time: Ya
Cluster private Google access disabled

Nama kategori di API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Deskripsi penemuan: Host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi guna mengakses Google API.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

Memeriksa apakah properti privateIpGoogleAccess dari subnetwork disetel ke false.

  • Input tambahan: Membaca subnetwork dari penyimpanan, mengajukan temuan hanya untuk cluster dengan subnetwork
  • Pemindaian real-time: Ya, tetapi hanya jika cluster diupdate, bukan untuk update subnetwork
Cluster secrets encryption disabled

Nama kategori di API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

Deskripsi penemuan: Enkripsi rahasia lapisan aplikasi dinonaktifkan di cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.3.1

Memeriksa properti keyName objek databaseEncryption untuk pasangan nilai kunci "state": ENCRYPTED.

  • Pemindaian real-time: Ya
Cluster shielded nodes disabled

Nama kategori di API: CLUSTER_SHIELDED_NODES_DISABLED

Deskripsi penemuan: Node GKE yang terlindungi tidak diaktifkan untuk cluster.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.5.5

Memeriksa properti shieldedNodes untuk pasangan nilai kunci "enabled": true.

  • Pemindaian real-time: Ya
COS not used

Nama kategori di API: COS_NOT_USED

Menemukan deskripsi: VM Compute Engine tidak menggunakan OS yang Dioptimalkan untuk Container yang dirancang untuk menjalankan container Docker di Google Cloud dengan aman.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

Memeriksa properti config kumpulan node untuk pasangan nilai kunci, "imageType": "COS".

  • Pemindaian real-time: Ya
Integrity monitoring disabled

Nama kategori di API: INTEGRITY_MONITORING_DISABLED

Menemukan deskripsi: Pemantauan integritas dinonaktifkan untuk cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.5.6

Memeriksa properti shieldedInstanceConfig objek nodeConfig untuk pasangan nilai kunci "enableIntegrityMonitoring": true.

  • Pemindaian real-time: Ya
Intranode visibility disabled

Nama kategori di API: INTRANODE_VISIBILITY_DISABLED

Deskripsi penemuan: Visibilitas intranode dinonaktifkan untuk cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.6.1

Memeriksa properti networkConfig untuk pasangan nilai kunci "enableIntraNodeVisibility": true.

  • Pemindaian real-time: Ya
IP alias disabled

Nama kategori di API: IP_ALIAS_DISABLED

Deskripsi penemuan: Cluster GKE dibuat dengan rentang IP alias dinonaktifkan.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

Memeriksa apakah kolom useIPAliases dari ipAllocationPolicy dalam cluster ditetapkan ke false.

  • Pemindaian real-time: Ya
Legacy authorization enabled

Nama kategori di API: LEGACY_AUTHORIZATION_ENABLED

Menemukan deskripsi: Otorisasi Lama diaktifkan di cluster GKE.

Tingkat harga: Premium atau Standar

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

Memeriksa properti legacyAbac cluster untuk pasangan nilai kunci, "enabled": true.

  • Pemindaian real-time: Ya
Legacy metadata enabled

Nama kategori di API: LEGACY_METADATA_ENABLED

Deskripsi penemuan: Metadata lama diaktifkan di cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.4.1

Memeriksa properti config kumpulan node untuk pasangan nilai kunci, "disable-legacy-endpoints": "false".

  • Pemindaian real-time: Ya
Master authorized networks disabled

Nama kategori di API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Deskripsi penemuan: Jaringan yang Diotorisasi Bidang Kontrol tidak diaktifkan di cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

Memeriksa properti masterAuthorizedNetworksConfig cluster untuk pasangan nilai kunci, "enabled": false.

  • Pemindaian real-time: Ya
Network policy disabled

Nama kategori di API: NETWORK_POLICY_DISABLED

Menemukan deskripsi: Kebijakan jaringan dinonaktifkan di cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

Memeriksa kolom networkPolicy di properti addonsConfig untuk pasangan nilai kunci, "disabled": true.

  • Pemindaian real-time: Ya
Nodepool boot CMEK disabled

Nama kategori di API: NODEPOOL_BOOT_CMEK_DISABLED

Deskripsi penemuan: Boot disk dalam kumpulan node ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa properti bootDiskKmsKey kumpulan node untuk nama resource CMEK Anda.

  • Pemindaian real-time: Ya
Nodepool secure boot disabled

Nama kategori di API: NODEPOOL_SECURE_BOOT_DISABLED

Deskripsi penemuan: Booting Aman dinonaktifkan untuk cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.5.7

Memeriksa properti shieldedInstanceConfig objek nodeConfig untuk pasangan nilai kunci "enableSecureBoot": true.

  • Pemindaian real-time: Ya
Over privileged account

Nama kategori di API: OVER_PRIVILEGED_ACCOUNT

Deskripsi penemuan: Akun layanan memiliki akses project yang terlalu luas dalam cluster.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

Mengevaluasi properti config dari kumpulan node untuk memeriksa apakah tidak ada akun layanan yang ditentukan atau apakah akun layanan default digunakan.

  • Pemindaian real-time: Ya
Over privileged scopes

Nama kategori di API: OVER_PRIVILEGED_SCOPES

Deskripsi penemuan: Akun layanan node memiliki cakupan akses yang luas.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
Memeriksa apakah cakupan akses yang tercantum di properti config.oauthScopes kumpulan node adalah cakupan akses akun layanan terbatas: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, atau https://www.googleapis.com/auth/monitoring.
  • Pemindaian real-time: Ya
Pod security policy disabled

Nama kategori di API: POD_SECURITY_POLICY_DISABLED

Deskripsi pencarian: PodSecurityPolicy dinonaktifkan di cluster GKE.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

Memeriksa properti podSecurityPolicyConfig cluster untuk pasangan nilai kunci, "enabled": false.

  • Izin IAM tambahan: roles/container.clusterViewer
  • Input tambahan: Membaca informasi cluster dari GKE, karena kebijakan keamanan pod merupakan fitur Beta. Kubernetes secara resmi telah menghentikan PodSecurityPolicy dalam versi 1.21. PodSecurityPolicy akan dinonaktifkan pada versi 1.25. Untuk mengetahui informasi mengenai alternatif lainnya, baca penghentian PodSecurityPolicy.
  • Pemindaian real-time: Tidak
Private cluster disabled

Nama kategori di API: PRIVATE_CLUSTER_DISABLED

Deskripsi penemuan: Cluster GKE menonaktifkan cluster Pribadi.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

Memeriksa apakah kolom enablePrivateNodes dari properti privateClusterConfig ditetapkan ke false.

  • Pemindaian real-time: Ya
Release channel disabled

Nama kategori di API: RELEASE_CHANNEL_DISABLED

Deskripsi penemuan: Cluster GKE tidak berlangganan ke saluran rilis.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.5.4

Memeriksa properti releaseChannel untuk pasangan nilai kunci "channel": UNSPECIFIED.

  • Pemindaian real-time: Ya
Web UI enabled

Nama kategori di API: WEB_UI_ENABLED

Menemukan deskripsi: UI web GKE (dasbor) diaktifkan.

Tingkat harga: Premium atau Standar

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

Memeriksa kolom kubernetesDashboard di properti addonsConfig untuk pasangan nilai kunci, "disabled": false.

  • Pemindaian real-time: Ya
Workload Identity disabled

Nama kategori di API: WORKLOAD_IDENTITY_DISABLED

Menemukan deskripsi: Workload Identity dinonaktifkan di cluster GKE.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GKE 1.0: 6.2.2

Memeriksa apakah properti workloadIdentityConfig cluster telah ditetapkan. Detektor juga memeriksa apakah properti workloadMetadataConfig dari kumpulan node ditetapkan ke GKE_METADATA.

  • Izin IAM tambahan: roles/container.clusterViewer
  • Pemindaian real-time: Ya

Temuan kerentanan Dataproc

Semua kerentanan jenis detektor ini berkaitan dengan Dataproc dan termasuk dalam jenis detektor DATAPROC_SCANNER.

Tabel 6. Pemindai Dataproc
Pendeteksi Ringkasan Setelan pemindaian aset
Dataproc CMEK disabled

Nama kategori di API: DATAPROC_CMEK_DISABLED

Deskripsi penemuan: Cluster Dataproc dibuat tanpa konfigurasi enkripsi CMEK. Dengan CMEK, kunci yang Anda buat dan kelola di Cloud Key Management Service menggabungkan kunci yang digunakan Google Cloud untuk mengenkripsi data Anda, sehingga Anda memiliki kontrol lebih besar atas akses ke data Anda. Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
dataproc.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa apakah kolom kmsKeyName di properti encryptionConfiguration kosong.

  • Pemindaian real-time: Ya
Dataproc image outdated

Nama kategori di API: DATAPROC_IMAGE_OUTDATED

Deskripsi penemuan: Cluster Dataproc dibuat dengan versi image Dataproc yang terpengaruh oleh kerentanan keamanan di utilitas Apache Log4j 2 (CVE-2021-44228 dan CVE-2021-45046).

Tingkat harga: Premium atau Standar

Aset yang didukung
dataproc.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa apakah kolom softwareConfig.imageVersion di properti config dari Cluster lebih lama dari 1.3.95 atau merupakan versi image subminor yang lebih lama dari 1.4.77, 1.5.53, atau 2.0.27.

  • Pemindaian real-time: Ya

Temuan kerentanan set data

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Set Data BigQuery, dan termasuk dalam jenis detektor DATASET_SCANNER.

Tabel 7. Pemindai set data
Pendeteksi Ringkasan Setelan pemindaian aset
BigQuery table CMEK disabled

Nama kategori di API: BIGQUERY_TABLE_CMEK_DISABLED

Deskripsi temuan: Tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
bigquery.googleapis.com/Table

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa apakah kolom kmsKeyName di properti encryptionConfiguration kosong.

  • Pemindaian real-time: Ya
Dataset CMEK disabled

Nama kategori di API: DATASET_CMEK_DISABLED

Menemukan deskripsi: Set data BigQuery tidak dikonfigurasi untuk menggunakan CMEK default. Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
bigquery.googleapis.com/Dataset

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa apakah kolom kmsKeyName di properti defaultEncryptionConfiguration kosong.

  • Pemindaian real-time: Tidak
Public dataset

Nama kategori di API: PUBLIC_DATASET

Finding description: Set data dikonfigurasi agar terbuka untuk akses publik.

Tingkat harga: Premium atau Standar

Aset yang didukung
bigquery.googleapis.com/Dataset

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama allUsers atau allAuthenticatedUsers, yang memberikan akses publik.

  • Pemindaian real-time: Ya

Temuan kerentanan DNS

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Cloud DNS, dan termasuk dalam jenis detektor DNS_SCANNER.

Tabel 8. Pemindai DNS
Pendeteksi Ringkasan Setelan pemindaian aset
DNSSEC disabled

Nama kategori di API: DNSSEC_DISABLED

Menemukan deskripsi: DNSSEC dinonaktifkan untuk zona Cloud DNS.

Tingkat harga: Premium

Aset yang didukung
dns.googleapis.com/ManagedZone

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Memeriksa apakah kolom state dari properti dnssecConfig ditetapkan ke off.

  • Aset yang dikecualikan dari pemindaian: Zona Cloud DNS yang tidak bersifat publik
  • Pemindaian real-time: Ya
RSASHA1 for signing

Nama kategori di API: RSASHA1_FOR_SIGNING

Deskripsi penemuan: RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS.

Tingkat harga: Premium

Aset yang didukung
dns.googleapis.com/ManagedZone

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Memeriksa apakah objek defaultKeySpecs.algorithm dari properti dnssecConfig ditetapkan ke rsasha1.

  • Pemindaian real-time: Ya

Temuan kerentanan firewall

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi firewall, dan termasuk dalam jenis detektor FIREWALL_SCANNER.

Tabel 9. Pemindai firewall
Pendeteksi Ringkasan Setelan pemindaian aset
Egress deny rule not set

Nama kategori di API: EGRESS_DENY_RULE_NOT_SET

Deskripsi penemuan: Aturan penolakan traffic keluar tidak ditetapkan di firewall. Aturan penolakan traffic keluar harus ditetapkan untuk memblokir traffic keluar yang tidak diinginkan.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 7.2

Memeriksa apakah properti destinationRanges di firewall disetel ke 0.0.0.0/0 dan properti denied berisi pasangan nilai kunci, "IPProtocol": "all".

  • Input tambahan: Membaca firewall keluar untuk project dari penyimpanan
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan perubahan aturan firewall
Firewall rule logging disabled

Nama kategori di API: FIREWALL_RULE_LOGGING_DISABLED

Deskripsi penemuan: Logging aturan firewall dinonaktifkan. Logging aturan firewall harus diaktifkan agar Anda dapat mengaudit akses jaringan.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti logConfig di metadata firewall untuk melihat apakah properti kosong atau berisi pasangan nilai kunci "enable": false.

Open Cassandra port

Nama kategori di API: OPEN_CASSANDRA_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port Cassandra terbuka yang mengizinkan akses generik.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed di metadata firewall untuk protokol dan port berikut: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Pemindaian real-time: Ya
Open ciscosecure websm port

Nama kategori di API: OPEN_CISCOSECURE_WEBSM_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port CISCOSECURE_WEBSM terbuka yang mengizinkan akses umum.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed di metadata firewall untuk protokol dan port berikut: TCP:9090.

  • Pemindaian real-time: Ya
Open directory services port

Nama kategori di API: OPEN_DIRECTORY_SERVICES_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port DIRECTORY_SERVICES terbuka yang memungkinkan akses generik.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:445 dan UDP:445.

  • Pemindaian real-time: Ya
Open DNS port

Nama kategori di API: OPEN_DNS_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port DNS terbuka yang mengizinkan akses generik.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:53 dan UDP:53.

  • Pemindaian real-time: Ya
Open elasticsearch port

Nama kategori di API: OPEN_ELASTICSEARCH_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port ElastICSEARCH terbuka yang memungkinkan akses generik.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed di metadata firewall untuk protokol dan port berikut: TCP:9200, 9300.

  • Pemindaian real-time: Ya
Open firewall

Nama kategori di API: OPEN_FIREWALL

Deskripsi penemuan: Firewall dikonfigurasi agar terbuka untuk akses publik.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 1.2.1

Memeriksa properti sourceRanges dan allowed untuk salah satu dari dua konfigurasi:

  • Properti sourceRanges berisi 0.0.0.0/0 dan properti allowed berisi kombinasi aturan yang menyertakan protocol atau protocol:port, kecuali hal berikut:
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • Properti sourceRanges berisi kombinasi rentang IP yang menyertakan alamat IP non-pribadi dan properti allowed berisi kombinasi aturan yang mengizinkan semua port tcp atau semua port udp.
Open FTP port

Nama kategori di API: OPEN_FTP_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port FTP terbuka yang mengizinkan akses generik.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed di metadata firewall untuk protokol dan port berikut: TCP:21.

  • Pemindaian real-time: Ya
Open HTTP port

Nama kategori di API: OPEN_HTTP_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port HTTP terbuka yang memungkinkan akses generik.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed di metadata firewall untuk protokol dan port berikut: TCP:80.

  • Pemindaian real-time: Ya
Open LDAP port

Nama kategori di API: OPEN_LDAP_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port LDAP terbuka yang mengizinkan akses generik.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:389, 636 dan UDP:389.

  • Pemindaian real-time: Ya
Open Memcached port

Nama kategori di API: OPEN_MEMCACHED_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port MEMCACHED terbuka yang memungkinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:11211, 11214-11215 dan UDP:11211, 11214-11215.

  • Pemindaian real-time: Ya
Open MongoDB port

Nama kategori di API: OPEN_MONGODB_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port MONGODB terbuka yang mengizinkan akses generik.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed di metadata firewall untuk protokol dan port berikut: TCP:27017-27019.

  • Pemindaian real-time: Ya
Open MySQL port

Nama kategori di API: OPEN_MYSQL_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port MYSQL terbuka yang mengizinkan akses generik.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed di metadata firewall untuk protokol dan port berikut: TCP:3306.

  • Pemindaian real-time: Ya
Open NetBIOS port

Nama kategori di API: OPEN_NETBIOS_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port NETBIOS terbuka yang memungkinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:137-139 dan UDP:137-139.

  • Pemindaian real-time: Ya
Open OracleDB port

Nama kategori di API: OPEN_ORACLEDB_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port ORACLEDB terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:1521, 2483-2484 dan UDP:2483-2484.

  • Pemindaian real-time: Ya
Open pop3 port

Nama kategori di API: OPEN_POP3_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port POP3 terbuka yang memungkinkan akses generik.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed di metadata firewall untuk protokol dan port berikut: TCP:110.

  • Pemindaian real-time: Ya
Open PostgreSQL port

Nama kategori di API: OPEN_POSTGRESQL_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port PostgreSQL terbuka yang memungkinkan akses generik.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:5432 dan UDP:5432.

  • Pemindaian real-time: Ya
Open RDP port

Nama kategori di API: OPEN_RDP_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port RDP terbuka yang mengizinkan akses generik.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Memeriksa properti allowed dalam metadata firewall untuk protokol dan port berikut: TCP:3389 dan UDP:3389.

  • Pemindaian real-time: Ya
Open Redis port

Nama kategori di API: OPEN_REDIS_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port REDIS terbuka yang mengizinkan akses umum.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa apakah properti allowed di metadata firewall berisi protokol dan port berikut: TCP:6379.

  • Pemindaian real-time: Ya
Open SMTP port

Nama kategori di API: OPEN_SMTP_PORT

Deskripsi pencarian: Firewall dikonfigurasi agar memiliki port SMTP terbuka yang memungkinkan akses generik.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa apakah properti allowed di metadata firewall berisi protokol dan port berikut: TCP:25.

  • Pemindaian real-time: Ya
Open SSH port

Nama kategori di API: OPEN_SSH_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port SSH terbuka yang memungkinkan akses generik.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Memeriksa apakah properti allowed dalam metadata firewall berisi protokol dan port berikut: TCP:22 dan SCTP:22.

  • Pemindaian real-time: Ya
Open Telnet port

Nama kategori di API: OPEN_TELNET_PORT

Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port TELNET terbuka yang memungkinkan akses umum.

Tingkat harga: Premium atau Standar

Aset yang didukung
compute.googleapis.com/Firewall

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Memeriksa apakah properti allowed di metadata firewall berisi protokol dan port berikut: TCP:23.

  • Pemindaian real-time: Ya

Temuan kerentanan IAM

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Identity and Access Management (IAM), dan termasuk dalam jenis detektor IAM_SCANNER.

Tabel 10. Pemindai IAM
Pendeteksi Ringkasan Setelan pemindaian aset
Access Transparency disabled

Nama kategori di API: ACCESS_TRANSPARENCY_DISABLED

Menemukan deskripsi: Transparansi Akses Google Cloud dinonaktifkan untuk organisasi Anda. Transparansi Akses mencatat log saat karyawan Google Cloud mengakses project di organisasi Anda untuk memberikan dukungan. Aktifkan Transparansi Akses untuk mencatat siapa yang mengakses informasi Anda dari Google Cloud, kapan, dan mengapa.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14

Memeriksa apakah organisasi Anda telah mengaktifkan Transparansi Akses.

  • Pemindaian real-time: Tidak
Admin service account

Nama kategori di API: ADMIN_SERVICE_ACCOUNT

Menemukan deskripsi: Akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. Peran ini tidak boleh ditetapkan ke akun layanan yang dibuat pengguna.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

Memeriksa kebijakan izin IAM dalam metadata resource untuk setiap akun layanan yang dibuat pengguna (ditunjukkan dengan awalan iam.gserviceaccount.com), yang ditetapkan roles/Owner atau roles/Editor, atau ID peran yang berisi admin.

  • Aset yang dikecualikan dari pemindaian: Akun layanan Container Registry (containerregistry.iam.gserviceaccount.com) dan akun layanan Security Command Center (security-center-api.iam.gserviceaccount.com)
  • Pemindaian real-time: Ya, kecuali jika pembaruan IAM dilakukan pada folder
Essential Contacts Not Configured

Nama kategori di API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

Deskripsi penemuan: Organisasi Anda belum menetapkan orang atau grup untuk menerima notifikasi dari Google Cloud tentang peristiwa penting seperti serangan, kerentanan, dan insiden data dalam organisasi Google Cloud Anda. Sebaiknya tunjuk satu atau beberapa orang atau grup di organisasi bisnis Anda sebagai Kontak Penting.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

Memeriksa apakah kontak telah ditetapkan untuk kategori kontak penting berikut:

  • Legal
  • Keamanan
  • Penangguhan
  • Teknis

  • Pemindaian real-time: Tidak
KMS role separation

Nama kategori di API: KMS_ROLE_SEPARATION

Deskripsi penemuan: Pemisahan tugas tidak diterapkan, dan ada pengguna yang memiliki salah satu peran Cloud Key Management Service (Cloud KMS) berikut secara bersamaan: CryptoKey Encrypter/Decrypter, Encrypter, atau Decrypter.

Temuan ini tidak tersedia untuk aktivasi level project.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Memeriksa IAM mengizinkan kebijakan dalam metadata resource dan mengambil akun utama yang diberi salah satu peran berikut secara bersamaan: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, dan roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Pemindaian real-time: Ya
Non org IAM member

Nama kategori di API: NON_ORG_IAM_MEMBER

Menemukan deskripsi: Ada pengguna yang tidak menggunakan kredensial organisasi. Per CIS GCP Foundations 1.0, saat ini, hanya identitas dengan alamat email @gmail.com yang memicu detektor ini.

Tingkat harga: Premium atau Standar

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Membandingkan alamat email @gmail.com di kolom user di IAM, metadata kebijakan izin dengan daftar identitas yang disetujui untuk organisasi Anda.

  • Pemindaian real-time: Ya
Open group IAM member

Nama kategori di API: OPEN_GROUP_IAM_MEMBER

Deskripsi temuan: Akun Google Grup yang dapat digabungkan tanpa persetujuan akan digunakan sebagai akun utama kebijakan izin IAM.

Tingkat harga: Premium atau Standar

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa kebijakan IAM dalam metadata resource untuk semua binding yang berisi anggota (utama) yang diawali dengan group. Jika grup tersebut adalah grup terbuka, Security Health Analytics akan menghasilkan temuan ini.
  • Input tambahan: Membaca metadata Google Grup untuk memeriksa apakah grup yang diidentifikasi adalah grup terbuka.
  • Pemindaian real-time: Tidak
Over privileged service account user

Nama kategori di API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Menemukan deskripsi: Pengguna memiliki peran Service Account User atau Service Account Token Creator di level project, bukan untuk akun layanan tertentu.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Memeriksa kebijakan izin IAM dalam metadata resource untuk setiap akun utama yang diberi roles/iam.serviceAccountUser atau roles/iam.serviceAccountTokenCreator di level project.
  • Aset yang dikecualikan dari pemindaian: Akun layanan Cloud Build
  • Pemindaian real-time: Ya
Primitive roles used

Nama kategori di API: PRIMITIVE_ROLES_USED

Menemukan deskripsi: Pengguna memiliki salah satu peran dasar berikut:

  • Pemilik (roles/owner)
  • Editor (roles/editor)
  • Viewer (roles/viewer)

Peran ini terlalu permisif dan tidak boleh digunakan.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Memeriksa kebijakan izin IAM dalam metadata resource untuk setiap akun utama yang diberi peran roles/owner, roles/editor, atau roles/viewer.

  • Pemindaian real-time: Ya
Redis role used on org

Nama kategori di API: REDIS_ROLE_USED_ON_ORG

Deskripsi penemuan: Peran Redis IAM ditetapkan pada tingkat organisasi atau folder.

Temuan ini tidak tersedia untuk aktivasi level project.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama yang ditetapkan roles/redis.admin, roles/redis.editor, roles/redis.viewer di level organisasi atau folder.

  • Pemindaian real-time: Ya
Service account role separation

Nama kategori di API: SERVICE_ACCOUNT_ROLE_SEPARATION

Menemukan deskripsi: Pengguna telah diberi peran Service Account Admin dan Service Account User. Hal ini melanggar prinsip "Pemisahan Tugas".

Temuan ini tidak tersedia untuk aktivasi level project.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Memeriksa kebijakan izin IAM dalam metadata resource untuk semua akun utama yang diberi roles/iam.serviceAccountUser dan roles/iam.serviceAccountAdmin.
  • Pemindaian real-time: Ya
Service account key not rotated

Nama kategori di API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Menemukan deskripsi: Kunci akun layanan belum dirotasi selama lebih dari 90 hari.

Tingkat harga: Premium

Aset yang didukung
iam.googleapis.com/ServiceAccountKey

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7

Mengevaluasi stempel waktu pembuatan kunci yang diambil di properti validAfterTime dalam metadata kunci akun layanan.

  • Aset yang dikecualikan dari pemindaian: Kunci dan kunci akun layanan yang sudah tidak berlaku dan tidak dikelola oleh pengguna
  • Pemindaian real-time: Ya
User managed service account key

Nama kategori di API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Menemukan deskripsi: Pengguna mengelola kunci akun layanan.

Tingkat harga: Premium

Aset yang didukung
iam.googleapis.com/ServiceAccountKey

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4

Memeriksa apakah properti keyType dalam metadata kunci akun layanan ditetapkan ke User_Managed.

  • Pemindaian real-time: Ya

Temuan kerentanan KMS

Semua kerentanan jenis detektor ini berhubungan dengan konfigurasi Cloud KMS, dan termasuk dalam jenis detektor KMS_SCANNER.

Tabel 11. Pemindai KMS
Pendeteksi Ringkasan Setelan pemindaian aset
KMS key not rotated

Nama kategori di API: KMS_KEY_NOT_ROTATED

Menemukan deskripsi: Rotasi tidak dikonfigurasi pada kunci enkripsi Cloud KMS. Kunci harus dirotasi dalam jangka waktu 90 hari.

Tingkat harga: Premium

Aset yang didukung
cloudkms.googleapis.com/CryptoKey

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.8
  • CIS GCP Foundation 1.1: 1.10
  • CIS GCP Foundation 1.2: 1.10
  • CIS GCP Foundation 1.3: 1.10
  • CIS GCP Foundation 2.0: 1.10
  • NIST 800-53 R4: SC-12
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2013: A.10.1.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Memeriksa metadata resource untuk mengetahui keberadaan properti rotationPeriod atau nextRotationTime.

  • Aset yang dikecualikan dari pemindaian: Kunci dan kunci asimetris dengan versi utama yang dinonaktifkan atau dihancurkan
  • Pemindaian real-time: Ya
KMS project has owner

Nama kategori di API: KMS_PROJECT_HAS_OWNER

Menemukan deskripsi: Pengguna memiliki izin Pemilik di project yang memiliki kunci kriptografis.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 1.2: 1.11
  • CIS GCP Foundation 1.3: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-6, SC-12
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa kebijakan izin IAM dalam metadata project untuk akun utama yang ditetapkan roles/Owner.

  • Input tambahan: Membaca kunci kriptografis untuk project dari penyimpanan, mengajukan temuan hanya untuk project dengan kunci kripto
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan pada kebijakan izin IAM, bukan perubahan pada kunci KMS
KMS public key

Nama kategori di API: KMS_PUBLIC_KEY

Deskripsi penemuan: Kunci kriptografis Cloud KMS dapat diakses secara publik.

Tingkat harga: Premium

Aset yang didukung
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 1.9
  • CIS GCP Foundation 1.2: 1.9
  • CIS GCP Foundation 1.3: 1.9
  • CIS GCP Foundation 2.0: 1.9
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama allUsers atau allAuthenticatedUsers, yang memberikan akses publik.

  • Pemindaian real-time: Ya
Too many KMS users

Nama kategori di API: TOO_MANY_KMS_USERS

Deskripsi penemuan: Ada lebih dari tiga pengguna kunci kriptografis.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudkms.googleapis.com/CryptoKey

Perbaiki temuan ini

Standar kepatuhan:

  • PCI-DSS v3.2.1: 3.5.2
  • ISO-27001 v2013: A.9.2.3
Pemeriksaan IAM mengizinkan kebijakan untuk key ring, project, dan organisasi, serta mengambil akun utama dengan peran yang memungkinkannya mengenkripsi, mendekripsi, atau menandatangani data menggunakan kunci Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, dan roles/cloudkms.signerVerifier.
  • Input tambahan: Membaca versi cryptokey untuk kunci kripto dari penyimpanan, mengajukan temuan hanya untuk kunci dengan versi aktif. Detektor juga membaca key ring, project, dan organisasi IAM mengizinkan kebijakan dari penyimpanan
  • Pemindaian real-time: Ya

Mencatat temuan kerentanan dalam log

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi logging, dan termasuk dalam jenis detektor LOGGING_SCANNER.

Tabel 12. Pemindai logging
Pendeteksi Ringkasan Setelan pemindaian aset
Audit logging disabled

Nama kategori di API: AUDIT_LOGGING_DISABLED

Menemukan deskripsi: Logging audit telah dinonaktifkan untuk resource ini.

Temuan ini tidak tersedia untuk aktivasi level project.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.1
  • CIS GCP Foundation 1.1: 2.1
  • CIS GCP Foundation 1.2: 2.1
  • CIS GCP Foundation 1.3: 2.1
  • CIS GCP Foundation 2.0: 2.1
  • NIST 800-53 R4: AC-2, AU-2
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v3.2.1: 10.1, 10.2
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2013: A.12.4.1, A.16.1.7
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2

Memeriksa kebijakan izin IAM dalam metadata resource untuk mengetahui keberadaan objek auditLogConfigs.

  • Pemindaian real-time: Ya
Bucket logging disabled

Nama kategori di API: BUCKET_LOGGING_DISABLED

Menemukan deskripsi: Ada bucket penyimpanan tanpa mengaktifkan logging.

Tingkat harga: Premium

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 5.3

Memeriksa apakah kolom logBucket di properti logging bucket kosong.

  • Pemindaian real-time: Ya
Locked retention policy not set

Nama kategori di API: LOCKED_RETENTION_POLICY_NOT_SET

Menemukan deskripsi: Kebijakan retensi yang terkunci tidak ditetapkan untuk log.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 2.3
  • CIS GCP Foundation 1.2: 2.3
  • CIS GCP Foundation 1.3: 2.3
  • CIS GCP Foundation 2.0: 2.3
  • NIST 800-53 R4: AU-11
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 10.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.12.4.2, A.18.1.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa apakah kolom isLocked di properti retentionPolicy bucket ditetapkan ke true.

  • Input tambahan: Membaca sink log (filter log dan tujuan log) untuk bucket guna menentukan apakah bucket tersebut adalah bucket log atau tidak
  • Pemindaian real-time: Ya
Log not exported

Nama kategori di API: LOG_NOT_EXPORTED

Menemukan deskripsi: Ada resource yang tidak memiliki sink log yang sesuai yang dikonfigurasi.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.2
  • CIS GCP Foundation 1.1: 2.2
  • CIS GCP Foundation 1.2: 2.2
  • CIS GCP Foundation 1.3: 2.2
  • CIS GCP Foundation 2.0: 2.2
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2013: A.18.1.3
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.3

Mengambil objek logSink dalam sebuah project, memeriksa apakah kolom includeChildren ditetapkan ke true, kolom destination mencakup lokasi untuk menulis log, dan kolom filter diisi.

  • Input tambahan: Membaca sink log (filter log dan tujuan log) untuk bucket guna menentukan apakah bucket tersebut adalah bucket log atau tidak
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan jika ekspor log disiapkan di folder atau organisasi
Object versioning disabled

Nama kategori di API: OBJECT_VERSIONING_DISABLED

Finding description: Pembuatan versi objek tidak diaktifkan di bucket penyimpanan tempat sink dikonfigurasi.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.3
  • NIST 800-53 R4: AU-11
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3

Memeriksa apakah kolom enabled di properti versioning bucket ditetapkan ke true.

  • Aset yang dikecualikan dari pemindaian: Bucket Cloud Storage dengan kebijakan retensi yang terkunci
  • Input tambahan: Membaca sink log (filter log dan tujuan log) untuk bucket guna menentukan apakah bucket tersebut adalah bucket log atau tidak
  • Pemindaian real-time: Ya, tetapi hanya jika pembuatan versi objek berubah, bukan jika bucket log dibuat

Memantau temuan kerentanan

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi pemantauan, dan termasuk dalam jenis MONITORING_SCANNER. Semua properti temuan detektor Monitoring mencakup:

  • RecommendedLogFilter yang akan digunakan dalam membuat metrik log.
  • QualifiedLogMetricNames yang mencakup kondisi yang tercantum dalam filter log yang direkomendasikan.
  • AlertPolicyFailureReasons yang menunjukkan apakah project tidak memiliki kebijakan pemberitahuan yang dibuat untuk metrik log yang memenuhi syarat atau kebijakan pemberitahuan yang ada tidak memiliki setelan yang direkomendasikan.
Tabel 13. Pemindai pemantauan
Pendeteksi Ringkasan Setelan pemindaian aset
Audit config not monitored

Nama kategori di API: AUDIT_CONFIG_NOT_MONITORED

Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan Konfigurasi Audit.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.5
  • CIS GCP Foundation 1.1: 2.5
  • CIS GCP Foundation 1.2: 2.5
  • CIS GCP Foundation 1.3: 2.5
  • CIS GCP Foundation 2.0: 2.5
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*, dan jika resource.type ditentukan, maka nilainya adalah global. Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
Bucket IAM not monitored

Nama kategori di API: BUCKET_IAM_NOT_MONITORED

Deskripsi penemuan: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan izin IAM Cloud Storage.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.10
  • CIS GCP Foundation 1.1: 2.10
  • CIS GCP Foundation 1.2: 2.10
  • CIS GCP Foundation 1.3: 2.10
  • CIS GCP Foundation 2.0: 2.10
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions". Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
Custom role not monitored

Nama kategori di API: CUSTOM_ROLE_NOT_MONITORED

Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan Peran Kustom.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.6
  • CIS GCP Foundation 1.1: 2.6
  • CIS GCP Foundation 1.2: 2.6
  • CIS GCP Foundation 1.3: 2.6
  • CIS GCP Foundation 2.0: 2.6
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole"). Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
Firewall not monitored

Nama kategori di API: FIREWALL_NOT_MONITORED

Deskripsi penemuan: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan Firewall Jaringan Virtual Private Cloud (VPC).

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.7
  • CIS GCP Foundation 1.1: 2.7
  • CIS GCP Foundation 1.2: 2.7
  • CIS GCP Foundation 1.3: 2.7
  • CIS GCP Foundation 2.0: 2.7
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete"). Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
Network not monitored

Nama kategori di API: NETWORK_NOT_MONITORED

Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.9
  • CIS GCP Foundation 1.1: 2.9
  • CIS GCP Foundation 1.2: 2.9
  • CIS GCP Foundation 1.3: 2.9
  • CIS GCP Foundation 2.0: 2.9
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering"). Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
Owner not monitored

Nama kategori di API: OWNER_NOT_MONITORED

Menemukan deskripsi: Notifikasi dan metrik log tidak dikonfigurasi untuk memantau penetapan atau perubahan Kepemilikan Project.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.4
  • CIS GCP Foundation 1.1: 2.4
  • CIS GCP Foundation 1.2: 2.4
  • CIS GCP Foundation 1.3: 2.4
  • CIS GCP Foundation 2.0: 2.4
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner"), dan jika resource.type ditentukan, maka nilainya adalah global. Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
Route not monitored

Nama kategori di API: ROUTE_NOT_MONITORED

Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert"). Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan konfigurasi instance Cloud SQL.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete", dan jika resource.type ditentukan, maka nilainya adalah global. Detektor juga mencari resource alertPolicy yang sesuai, yang memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
  • Izin IAM tambahan: roles/monitoring.alertPolicyViewer
  • Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif
  • Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan

Temuan autentikasi multi-faktor

Detektor MFA_SCANNER mengidentifikasi kerentanan yang terkait dengan autentikasi multi-faktor untuk pengguna.

Tabel 14. Pemindai autentikasi multi-faktor
Pendeteksi Ringkasan Setelan pemindaian aset
MFA not enforced

Nama kategori di API: MFA_NOT_ENFORCED

Ada pengguna yang tidak menggunakan Verifikasi 2 Langkah.

Google Workspace memungkinkan Anda menentukan masa tenggang pendaftaran untuk pengguna baru. Selama periode tersebut, mereka harus mendaftar Verifikasi 2 Langkah. Pendeteksi ini membuat temuan untuk pengguna selama masa tenggang pendaftaran.

Temuan ini tidak tersedia untuk aktivasi level project.

Tingkat harga: Premium atau Standar

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 1.2
  • CIS GCP Foundation 1.1: 1.2
  • CIS GCP Foundation 1.2: 1.2
  • CIS GCP Foundation 1.3: 1.2
  • CIS GCP Foundation 2.0: 1.2
  • NIST 800-53 R4: IA-2
  • PCI-DSS v3.2.1: 8.3
  • ISO-27001 v2013: A.9.4.2

Mengevaluasi kebijakan pengelolaan identitas di organisasi dan setelan pengguna untuk akun terkelola di Cloud Identity.

  • Aset yang dikecualikan dari pemindaian: Unit organisasi memberikan pengecualian terhadap kebijakan
  • Input tambahan: Membaca data dari Google Workspace
  • Pemindaian real-time: Tidak

Temuan kerentanan jaringan

Semua kerentanan jenis detektor ini berhubungan dengan konfigurasi jaringan organisasi, dan termasuk dalam jenis NETWORK_SCANNER.

Tabel 15. Pemindai jaringan
Pendeteksi Ringkasan Setelan pemindaian aset
Default network

Nama kategori di API: DEFAULT_NETWORK

Menemukan deskripsi: Jaringan default ada dalam project.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Network

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.1
  • CIS GCP Foundation 1.1: 3.1
  • CIS GCP Foundation 1.2: 3.1
  • CIS GCP Foundation 1.3: 3.1
  • CIS GCP Foundation 2.0: 3.1
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Memeriksa apakah properti name di metadata jaringan ditetapkan ke default

  • Aset yang dikecualikan dari pemindaian: Project dengan Compute Engine API dinonaktifkan dan resource Compute Engine dalam status frozen
  • Pemindaian real-time: Ya
DNS logging disabled

Nama kategori di API: DNS_LOGGING_DISABLED

Menemukan deskripsi: Logging DNS di jaringan VPC tidak diaktifkan.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Network
dns.googleapis.com/Policy

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 2.12
  • CIS GCP Foundation 1.3: 2.12
  • CIS GCP Foundation 2.0: 2.12
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2, 8.6

Memeriksa semua policies yang terkait dengan jaringan VPC melalui kolom networks[].networkUrl, dan mencari setidaknya satu kebijakan yang menetapkan enableLogging ke true.

  • Aset yang dikecualikan dari pemindaian: Project dengan Compute Engine API dinonaktifkan dan resource Compute Engine dalam status frozen
  • Pemindaian real-time: Ya
Legacy network

Nama kategori di API: LEGACY_NETWORK

Deskripsi penemuan: Jaringan lama ada di dalam project.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Network

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.2
  • CIS GCP Foundation 1.1: 3.2
  • CIS GCP Foundation 1.2: 3.2
  • CIS GCP Foundation 1.3: 3.2
  • CIS GCP Foundation 2.0: 3.2
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Memeriksa metadata jaringan untuk menemukan properti IPv4Range.

  • Aset yang dikecualikan dari pemindaian: Project dengan Compute Engine API dinonaktifkan dan resource Compute Engine dalam status frozen
  • Pemindaian real-time: Ya
Load balancer logging disabled

Nama kategori di API: LOAD_BALANCER_LOGGING_DISABLED

Menemukan deskripsi: Logging dinonaktifkan untuk load balancer.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/BackendServices

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 2.0: 2.16
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2

Memeriksa apakah properti enableLogging dari layanan backend pada load balancer disetel ke true.

  • Pemindaian real-time: Ya

Temuan kerentanan Kebijakan Organisasi

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi batasan Kebijakan Organisasi, dan termasuk dalam jenis ORG_POLICY.

Tabel 16. Pemindai kebijakan organisasi
Pendeteksi Ringkasan Setelan pemindaian aset
Org policy Confidential VM policy

Nama kategori di API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Menemukan deskripsi: Resource Compute Engine tidak mematuhi kebijakan organisasi constraints/compute.restrictNonConfidentialComputing. Untuk mengetahui informasi selengkapnya tentang batasan kebijakan organisasi ini, lihat Menerapkan batasan kebijakan organisasi di Confidential VM.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa apakah properti enableConfidentialCompute dari instance Compute Engine ditetapkan ke true.

  • Aset yang dikecualikan dari pemindaian: Instance GKE
  • Izin IAM tambahan: permissions/orgpolicy.policy.get
  • Input tambahan: Membaca kebijakan organisasi yang efektif dari layanan kebijakan organisasi
  • Pemindaian real-time: Tidak
Org policy location restriction

Nama kategori di API: ORG_POLICY_LOCATION_RESTRICTION

Menemukan deskripsi: Resource Compute Engine tidak mematuhi batasan constraints/gcp.resourceLocations. Untuk mengetahui informasi selengkapnya tentang batasan kebijakan organisasi ini, lihat Menerapkan batasan kebijakan organisasi.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Tingkat harga: Premium

Aset yang didukung
Di baris berikut, lihat Aset yang didukung untuk ORG_POLICY_LOCATION_VIEWSION

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa properti listPolicy dalam metadata resource yang didukung untuk melihat daftar lokasi yang diizinkan atau ditolak.

  • Izin IAM tambahan: permissions/orgpolicy.policy.get
  • Input tambahan: Membaca kebijakan organisasi yang efektif dari layanan kebijakan organisasi
  • Pemindaian real-time: Tidak

Aset yang didukung untuk ORG_POLICY_LOCATION_VIEWSION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Aliran data
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Logging
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/DataLabelingJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 Karena aset Cloud KMS tidak dapat dihapus, aset tidak dianggap di luar region jika data aset telah dihancurkan.

2 Karena tugas impor Cloud KMS memiliki siklus proses yang terkontrol dan tidak dapat dihentikan lebih awal, ImportJob tidak dianggap di luar region jika tugas tersebut telah berakhir dan tidak dapat lagi digunakan untuk mengimpor kunci.

3 Karena siklus proses tugas Dataflow tidak dapat dikelola, Tugas tidak dianggap di luar region setelah mencapai status terminal (dihentikan atau dikuras), yang tidak dapat lagi digunakan untuk memproses data.

Temuan kerentanan Pub/Sub

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Pub/Sub, dan termasuk dalam jenis PUBSUB_SCANNER.

Tabel 17. Pemindai Pub/Sub
Pendeteksi Ringkasan Setelan pemindaian aset
Pubsub CMEK disabled

Nama kategori di API: PUBSUB_CMEK_DISABLED

Deskripsi penemuan: Topik Pub/Sub tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
pubsub.googleapis.com/Topic

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa kolom kmsKeyName untuk mengetahui nama resource CMEK Anda.

  • Pemindaian real-time: Ya

Temuan kerentanan SQL

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Cloud SQL, dan termasuk dalam jenis SQL_SCANNER.

Tabel 18. Pemindai SQL
Pendeteksi Ringkasan Setelan pemindaian aset
AlloyDB auto backup disabled

Nama kategori di API: ALLOYDB_AUTO_BACKUP_DISABLED

Deskripsi penemuan: Cluster AlloyDB untuk PostgreSQL tidak mengaktifkan pencadangan otomatis.

Tingkat harga: Premium

Aset yang didukung
alloydb.googleapis.com/Cluster

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: CP-9
  • ISO-27001 v2013: A.12.3.1
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Memeriksa apakah properti automated_backup_policy.enabled dalam metadata cluster AlloyDB untuk PostgreSQL ditetapkan ke true.

  • Aset yang dikecualikan dari pemindaian: Cluster sekunder AlloyDB untuk PostgreSQL
  • Pemindaian real-time: Ya
AlloyDB log min error statement severity

Nama kategori di API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Menemukan deskripsi: Flag database log_min_error_statement bagi instance AlloyDB untuk PostgreSQL tidak ditetapkan ke error atau nilai lain yang direkomendasikan.

Tingkat harga: Premium

Aset yang didukung
alloydb.googleapis.com/Instances

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Untuk memastikan cakupan jenis pesan yang memadai di log, keluarkan temuan jika kolom log_min_error_statement dari properti databaseFlags tidak ditetapkan ke salah satu nilai berikut: debug5, debug4, debug3, debug2, debug1, info, notice, warning, atau nilai default error.

  • Pemindaian real-time: Ya
AlloyDB log min messages

Nama kategori di API: ALLOYDB_LOG_MIN_MESSAGES

Menemukan deskripsi: Flag database log_min_messages bagi instance AlloyDB untuk PostgreSQL tidak ditetapkan ke warning atau nilai lain yang direkomendasikan.

Tingkat harga: Premium

Aset yang didukung
alloydb.googleapis.com/Instances

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Untuk memastikan cakupan jenis pesan yang memadai di log, keluarkan temuan jika kolom log_min_messages dari properti databaseFlags tidak ditetapkan ke salah satu nilai berikut: debug5, debug4, debug3, debug2, debug1, info, notice, atau nilai default warning.

  • Pemindaian real-time: Ya
AlloyDB log error verbosity

Nama kategori di API: ALLOYDB_LOG_ERROR_VERBOSITY

Menemukan deskripsi: Flag database log_error_verbosity bagi instance AlloyDB untuk PostgreSQL tidak ditetapkan ke default atau nilai lain yang direkomendasikan.

Tingkat harga: Premium

Aset yang didukung
alloydb.googleapis.com/Instances

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Untuk memastikan cakupan jenis pesan yang memadai di log, berikan temuan jika kolom log_error_verbosity dari properti databaseFlags tidak ditetapkan ke salah satu nilai berikut: verbose atau nilai default default.

  • Pemindaian real-time: Ya
Auto backup disabled

Nama kategori di API: AUTO_BACKUP_DISABLED

Deskripsi penemuan: Database Cloud SQL tidak mengaktifkan pencadangan otomatis.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.7
  • CIS GCP Foundation 1.2: 6.7
  • CIS GCP Foundation 1.3: 6.7
  • CIS GCP Foundation 2.0: 6.7
  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)
  • CIS Controls 8.0: 11.2

Memeriksa apakah properti backupConfiguration.enabled dari data Cloud SQL ditetapkan ke true.

  • Aset yang dikecualikan dari pemindaian: Replika Cloud SQL
  • Input tambahan: Membaca IAM mengizinkan kebijakan untuk ancestor dari penyimpanan aset Security Health Analytics
  • Pemindaian real-time: Ya
Public SQL instance

Nama kategori di API: PUBLIC_SQL_INSTANCE

Deskripsi penemuan: Instance database Cloud SQL menerima koneksi dari semua alamat IP.

Tingkat harga: Premium atau Standar

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 6.2
  • CIS GCP Foundation 1.1: 6.5
  • CIS GCP Foundation 1.2: 6.5
  • CIS GCP Foundation 1.3: 6.5
  • CIS GCP Foundation 2.0: 6.5
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa apakah properti authorizedNetworks pada instance Cloud SQL ditetapkan ke satu alamat IP atau rentang alamat IP.

  • Pemindaian real-time: Ya
SSL not enforced

Nama kategori di API: SSL_NOT_ENFORCED

Deskripsi penemuan: Instance database Cloud SQL tidak mengharuskan semua koneksi masuk untuk menggunakan SSL.

Tingkat harga: Premium atau Standar

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Memeriksa apakah properti sslMode dari instance Cloud SQL disetel ke mode SSL yang disetujui, ENCRYPTED_ONLY atau TRUSTED_CLIENT_CERTIFICATE_REQUIRED.

  • Pemindaian real-time: Ya
SQL CMEK disabled

Nama kategori di API: SQL_CMEK_DISABLED

Deskripsi penemuan: Instance database SQL tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa kolom kmsKeyName dalam objek diskEncryptionKey, dalam metadata instance, untuk mengetahui nama resource CMEK Anda.

  • Pemindaian real-time: Ya
SQL contained database authentication

Nama kategori di API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Menemukan deskripsi: Flag database contained database authentication bagi instance Cloud SQL untuk SQL Server tidak ditetapkan ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.3.2
  • CIS GCP Foundation 1.2: 6.3.7
  • CIS GCP Foundation 1.3: 6.3.7
  • CIS GCP Foundation 2.0: 6.3.7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci, "name": "contained database authentication", "value": "on", atau apakah diaktifkan secara default.

  • Pemindaian real-time: Ya
SQL cross DB ownership chaining

Nama kategori di API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Menemukan deskripsi: Flag database cross_db_ownership_chaining untuk instance Cloud SQL untuk SQL Server tidak ditetapkan ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.3.1
  • CIS GCP Foundation 1.2: 6.3.2
  • CIS GCP Foundation 1.3: 6.3.2
  • CIS GCP Foundation 2.0: 6.3.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "cross_db_ownership_chaining", "value": "on".

  • Pemindaian real-time: Ya
SQL external scripts enabled

Nama kategori di API: SQL_EXTERNAL_SCRIPTS_ENABLED

Menemukan deskripsi: Flag database external scripts enabled untuk instance Cloud SQL untuk SQL Server tidak ditetapkan ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.3.1
  • CIS GCP Foundation 1.3: 6.3.1
  • CIS GCP Foundation 2.0: 6.3.1
  • NIST 800-53 R5: CM-7, SI-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3
  • NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3
  • SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4
  • CIS Controls 8.0: 2.7

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "external scripts enabled", "value": "off".

  • Pemindaian real-time: Ya
SQL local infile

Nama kategori di API: SQL_LOCAL_INFILE

Menemukan deskripsi: Flag database local_infile untuk instance Cloud SQL untuk MySQL tidak ditetapkan ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.1.2
  • CIS GCP Foundation 1.2: 6.1.3
  • CIS GCP Foundation 1.3: 6.1.3
  • CIS GCP Foundation 2.0: 6.1.3
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 2.2.1
  • ISO-27001 v2022: A.8.8
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • CIS Controls 8.0: 16.7

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "local_infile", "value": "on".

  • Pemindaian real-time: Ya
SQL log checkpoints disabled

Nama kategori di API: SQL_LOG_CHECKPOINTS_DISABLED

Menemukan deskripsi: Flag database log_checkpoints untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.1
  • CIS GCP Foundation 1.2: 6.2.1

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_checkpoints", "value": "on".

  • Pemindaian real-time: Ya
SQL log connections disabled

Nama kategori di API: SQL_LOG_CONNECTIONS_DISABLED

Menemukan deskripsi: Flag database log_connections untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.2
  • CIS GCP Foundation 1.2: 6.2.3
  • CIS GCP Foundation 1.3: 6.2.2
  • CIS GCP Foundation 2.0: 6.2.2
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_connections", "value": "on".

  • Pemindaian real-time: Ya
SQL log disconnections disabled

Nama kategori di API: SQL_LOG_DISCONNECTIONS_DISABLED

Menemukan deskripsi: Flag database log_disconnections untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.3
  • CIS GCP Foundation 1.2: 6.2.4
  • CIS GCP Foundation 1.3: 6.2.3
  • CIS GCP Foundation 2.0: 6.2.3
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_disconnections", "value": "on".

  • Pemindaian real-time: Ya
SQL log duration disabled

Nama kategori di API: SQL_LOG_DURATION_DISABLED

Menemukan deskripsi: Flag database log_duration untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.5

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_duration", "value": "on".

  • Pemindaian real-time: Ya
SQL log error verbosity

Nama kategori di API: SQL_LOG_ERROR_VERBOSITY

Menemukan deskripsi: Flag database log_error_verbosity untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke default atau verbose.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.2
  • CIS GCP Foundation 1.3: 6.2.1
  • CIS GCP Foundation 2.0: 6.2.1
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Memeriksa apakah properti databaseFlags dari metadata instance untuk kolom log_error_verbosity ditetapkan ke default atau verbose.

  • Pemindaian real-time: Ya
SQL log lock waits disabled

Nama kategori di API: SQL_LOG_LOCK_WAITS_DISABLED

Menemukan deskripsi: Flag database log_lock_waits untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.4
  • CIS GCP Foundation 1.2: 6.2.6

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_lock_waits", "value": "on".

  • Pemindaian real-time: Ya
SQL log min duration statement enabled

Nama kategori di API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Menemukan deskripsi: Flag database log_min_duration_statement untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke "-1".

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.7
  • CIS GCP Foundation 1.2: 6.2.16
  • CIS GCP Foundation 1.3: 6.2.8
  • CIS GCP Foundation 2.0: 6.2.7
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_min_duration_statement", "value": "-1".

  • Pemindaian real-time: Ya
SQL log min error statement

Nama kategori di API: SQL_LOG_MIN_ERROR_STATEMENT

Menemukan deskripsi: Flag database log_min_error_statement untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan dengan tepat.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.5

Memeriksa apakah kolom log_min_error_statement dari properti databaseFlags ditetapkan ke salah satu nilai berikut: debug5, debug4, debug3, debug2, debug1, info, notice, warning, atau nilai default error.

  • Pemindaian real-time: Ya
SQL log min error statement severity

Nama kategori di API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Deskripsi penemuan: Flag database log_min_error_statement untuk instance Cloud SQL untuk PostgreSQL tidak memiliki tingkat keparahan yang sesuai.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.14
  • CIS GCP Foundation 1.3: 6.2.7
  • CIS GCP Foundation 2.0: 6.2.6
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Memeriksa apakah kolom log_min_error_statement dari properti databaseFlags ditetapkan ke salah satu nilai berikut: error, log, fatal, atau panic.

  • Pemindaian real-time: Ya
SQL log min messages

Nama kategori di API: SQL_LOG_MIN_MESSAGES

Menemukan deskripsi: Flag database log_min_messages untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke warning atau nilai lain yang direkomendasikan.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.13
  • CIS GCP Foundation 1.3: 6.2.6
  • CIS GCP Foundation 2.0: 6.2.5
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Untuk memastikan cakupan jenis pesan yang memadai di log, keluarkan temuan jika kolom log_min_messages dari properti databaseFlags tidak ditetapkan ke salah satu nilai berikut: debug5, debug4, debug3, debug2, debug1, info, notice, atau nilai default warning.

  • Pemindaian real-time: Ya
SQL log executor stats enabled

Nama kategori di API: SQL_LOG_EXECUTOR_STATS_ENABLED

Menemukan deskripsi: Flag database log_executor_stats untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.11

Memeriksa apakah properti databaseFlags dari metadata instance untuk kolom log_executor_stats ditetapkan ke on.

  • Pemindaian real-time: Ya
SQL log hostname enabled

Nama kategori di API: SQL_LOG_HOSTNAME_ENABLED

Menemukan deskripsi: Flag database log_hostname untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.8

Memeriksa apakah properti databaseFlags dari metadata instance untuk kolom log_hostname ditetapkan ke on.

  • Pemindaian real-time: Ya
SQL log parser stats enabled

Nama kategori di API: SQL_LOG_PARSER_STATS_ENABLED

Menemukan deskripsi: Flag database log_parser_stats untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.9

Memeriksa apakah properti databaseFlags dari metadata instance untuk kolom log_parser_stats ditetapkan ke on.

  • Pemindaian real-time: Ya
SQL log planner stats enabled

Nama kategori di API: SQL_LOG_PLANNER_STATS_ENABLED

Menemukan deskripsi: Flag database log_planner_stats untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.10

Memeriksa apakah properti databaseFlags dari metadata instance untuk kolom log_planner_stats ditetapkan ke on.

  • Pemindaian real-time: Ya
SQL log statement

Nama kategori di API: SQL_LOG_STATEMENT

Menemukan deskripsi: Flag database log_statement untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke ddl (semua pernyataan definisi data).

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.7
  • CIS GCP Foundation 1.3: 6.2.4
  • CIS GCP Foundation 2.0: 6.2.4
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Memeriksa apakah properti databaseFlags dari metadata instance untuk kolom log_statement ditetapkan ke ddl.

  • Pemindaian real-time: Ya
SQL log statement stats enabled

Nama kategori di API: SQL_LOG_STATEMENT_STATS_ENABLED

Menemukan deskripsi: Flag database log_statement_stats untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.2.12

Memeriksa apakah properti databaseFlags dari metadata instance untuk kolom log_statement_stats ditetapkan ke on.

  • Pemindaian real-time: Ya
SQL log temp files

Nama kategori di API: SQL_LOG_TEMP_FILES

Menemukan deskripsi: Flag database log_temp_files untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke "0".

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.2.6
  • CIS GCP Foundation 1.2: 6.2.15

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "log_temp_files", "value": "0".

  • Pemindaian real-time: Ya
SQL no root password

Nama kategori di API: SQL_NO_ROOT_PASSWORD

Deskripsi penemuan: Database Cloud SQL yang memiliki alamat IP publik tidak memiliki sandi yang dikonfigurasi untuk akun root. Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 6.3
  • CIS GCP Foundation 1.1: 6.1.1
  • CIS GCP Foundation 1.2: 6.1.1
  • CIS GCP Foundation 1.3: 6.1.1
  • CIS GCP Foundation 2.0: 6.1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 2.1
  • ISO-27001 v2013: A.8.2.3, A.9.4.2

Memeriksa apakah properti rootPassword untuk akun root kosong.

  • Izin IAM tambahan: roles/cloudsql.client
  • Input tambahan: Meminta instance live
  • Pemindaian real-time: Tidak
SQL public IP

Nama kategori di API: SQL_PUBLIC_IP

Deskripsi penemuan: Database Cloud SQL memiliki alamat IP publik.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.1: 6.6
  • CIS GCP Foundation 1.2: 6.6
  • CIS GCP Foundation 1.3: 6.6
  • CIS GCP Foundation 2.0: 6.2.9, 6.6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Memeriksa apakah jenis alamat IP database Cloud SQL ditetapkan ke Primary, yang menunjukkan bahwa database tersebut bersifat publik.

  • Pemindaian real-time: Ya
SQL remote access enabled

Nama kategori di API: SQL_REMOTE_ACCESS_ENABLED

Menemukan deskripsi: Flag database remote access bagi instance Cloud SQL untuk SQL Server tidak ditetapkan ke off.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.3.5
  • CIS GCP Foundation 1.3: 6.3.5
  • CIS GCP Foundation 2.0: 6.3.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "remote access", "value": "off".

  • Pemindaian real-time: Ya
SQL skip show database disabled

Nama kategori di API: SQL_SKIP_SHOW_DATABASE_DISABLED

Menemukan deskripsi: Flag database skip_show_database untuk instance Cloud SQL untuk MySQL tidak ditetapkan ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.1.2
  • CIS GCP Foundation 1.3: 6.1.2
  • CIS GCP Foundation 2.0: 6.1.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "skip_show_database", "value": "on".

  • Pemindaian real-time: Ya
SQL trace flag 3625

Nama kategori di API: SQL_TRACE_FLAG_3625

Menemukan deskripsi: Flag database 3625 (trace flag) bagi instance Cloud SQL untuk SQL Server tidak ditetapkan ke on.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.3.6
  • CIS GCP Foundation 2.0: 6.3.6
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "3625 (trace flag)", "value": "on".

  • Pemindaian real-time: Ya
SQL user connections configured

Nama kategori di API: SQL_USER_CONNECTIONS_CONFIGURED

Menemukan deskripsi: Flag database user connections untuk instance Cloud SQL untuk SQL Server dikonfigurasi.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.3.3
  • CIS GCP Foundation 1.3: 6.3.3
  • CIS GCP Foundation 2.0: 6.3.3
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "user connections", "value": "0".

  • Pemindaian real-time: Ya
SQL user options configured

Nama kategori di API: SQL_USER_OPTIONS_CONFIGURED

Menemukan deskripsi: Flag database user options untuk instance Cloud SQL untuk SQL Server dikonfigurasi.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 6.3.4
  • CIS GCP Foundation 1.3: 6.3.4
  • CIS GCP Foundation 2.0: 6.3.4
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Memeriksa properti databaseFlags metadata instance untuk pasangan nilai kunci "name": "user options", "value": "" (kosong).

  • Pemindaian real-time: Ya
SQL weak root password

Nama kategori di API: SQL_WEAK_ROOT_PASSWORD

Deskripsi pencarian: Database Cloud SQL yang memiliki alamat IP publik juga memiliki sandi lemah yang dikonfigurasi untuk akun root. Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
sqladmin.googleapis.com/Instance

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Membandingkan sandi untuk akun root database Cloud SQL Anda dengan daftar sandi umum.

  • Izin IAM tambahan: roles/cloudsql.client
  • Input tambahan: Meminta instance live
  • Pemindaian real-time: Tidak

Temuan kerentanan penyimpanan

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Bucket Cloud Storage, dan termasuk dalam jenis STORAGE_SCANNER.

Tabel 19. Pemindai penyimpanan
Pendeteksi Ringkasan Setelan pemindaian aset
Bucket CMEK disabled

Nama kategori di API: BUCKET_CMEK_DISABLED

Deskripsi penemuan: Bucket tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mendapatkan petunjuk, lihat Mengaktifkan dan menonaktifkan detektor.

Tingkat harga: Premium

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.

Memeriksa kolom encryption dalam metadata bucket untuk nama resource CMEK Anda.

  • Pemindaian real-time: Ya
Bucket policy only disabled

Nama kategori di API: BUCKET_POLICY_ONLY_DISABLED

Deskripsi penemuan: Akses level bucket seragam, yang sebelumnya disebut Khusus Kebijakan Bucket, tidak dikonfigurasi.

Tingkat harga: Premium

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa apakah properti uniformBucketLevelAccess pada bucket ditetapkan ke "enabled":false

  • Pemindaian real-time: Ya
Public bucket ACL

Nama kategori di API: PUBLIC_BUCKET_ACL

Deskripsi penemuan: Bucket Cloud Storage dapat diakses secara publik.

Tingkat harga: Premium atau Standar

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Memeriksa kebijakan IAM mengizinkan bucket untuk peran publik, allUsers atau allAuthenticatedUsers.

  • Pemindaian real-time: Ya
Public log bucket

Nama kategori di API: PUBLIC_LOG_BUCKET

Deskripsi penemuan: Bucket penyimpanan yang digunakan sebagai sink log dapat diakses secara publik.

Temuan ini tidak tersedia untuk aktivasi level project.

Tingkat harga: Premium atau Standar

Aset yang didukung
storage.googleapis.com/Bucket

Perbaiki temuan ini

Standar kepatuhan:

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

Memeriksa kebijakan IAM mengizinkan bucket untuk akun utama allUsers atau allAuthenticatedUsers, yang memberikan akses publik.

  • Input tambahan: Membaca sink log (filter log dan tujuan log) untuk bucket guna menentukan apakah bucket tersebut adalah bucket log atau tidak
  • Pemindaian real-time: Ya, tetapi hanya jika kebijakan IAM pada bucket berubah, bukan jika sink log diubah

Temuan kerentanan subnetwork

Semua kerentanan jenis detektor ini berhubungan dengan konfigurasi subnetwork organisasi, dan termasuk jenis SUBNETWORK_SCANNER.

Tabel 20. Pemindai subnetwork
Pendeteksi Ringkasan Setelan pemindaian aset
Flow logs disabled

Nama kategori di API: FLOW_LOGS_DISABLED

Menemukan deskripsi: Ada subnetwork VPC yang log alurnya dinonaktifkan.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Subnetwork

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.9
  • CIS GCP Foundation 1.1: 3.8
  • CIS GCP Foundation 1.2: 3.8
  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Memeriksa apakah properti enableFlowLogs subnetwork Compute Engine tidak ada atau disetel ke false.

  • Aset yang dikecualikan dari pemindaian: Akses VPC Serverless, subnetwork load balancer
  • Pemindaian real-time: Ya

Menemukan deskripsi: Untuk subnetwork VPC, Log Aliran VPC nonaktif atau tidak dikonfigurasi sesuai dengan rekomendasi CIS Benchmark 1.3. Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Subnetwork

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 3.8
  • CIS GCP Foundation 2.0: 3.8
  • NIST 800-53 R5: SI-4
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS Controls 8.0: 13.6, 8.2

Memeriksa apakah properti enableFlowLogs subnetwork VPC tidak ada atau disetel ke false. Jika Log Aliran VPC diaktifkan, periksa properti Aggregation Interval yang disetel ke 5 SEC, Include metadata yang ditetapkan ke true, Sample rate ke 100%.

  • Aset yang dikecualikan dari pemindaian: Akses VPC Serverless, subnetwork load balancer
  • Pemindaian real-time: Ya
Private Google access disabled

Nama kategori di API: PRIVATE_GOOGLE_ACCESS_DISABLED

Menemukan deskripsi: Ada subnetwork pribadi tanpa akses ke API publik Google.

Tingkat harga: Premium

Aset yang didukung
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Perbaiki temuan ini

Standar kepatuhan:

  • CIS GCP Foundation 1.0: 3.8

Memeriksa apakah properti privateIpGoogleAccess subnetwork Compute Engine disetel ke false.

  • Pemindaian real-time: Ya

Temuan Web Security Scanner

Pemindaian khusus dan terkelola Web Security Scanner mengidentifikasi jenis temuan berikut. Pada paket Standar, Web Security Scanner mendukung pemindaian kustom untuk aplikasi yang di-deploy dengan URL dan IP publik yang tidak berada di balik firewall.

Tabel 21. Temuan Web Security Scanner
Kategori Menemukan deskripsi 10 Teratas OWASP 2017 10 Top OWASP 2021
Accessible Git repository

Nama kategori di API: ACCESSIBLE_GIT_REPOSITORY

Repositori Git ditampilkan secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori GIT.

Tingkat harga: Standar

Perbaiki temuan ini

A5 A01
Accessible SVN repository

Nama kategori di API: ACCESSIBLE_SVN_REPOSITORY

Repositori SVN ditampilkan secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori SVN.

Tingkat harga: Standar

Perbaiki temuan ini

A5 A01
Cacheable password input

Nama kategori di API: CACHEABLE_PASSWORD_INPUT

Sandi yang dimasukkan pada aplikasi web dapat disimpan dalam cache browser biasa, bukan penyimpanan sandi yang aman.

Tingkat harga: Premium

Perbaiki temuan ini

A3 A04
Clear text password

Nama kategori di API: CLEAR_TEXT_PASSWORD

Sandi dikirimkan dalam teks yang jelas dan dapat disadap. Untuk mengatasi temuan ini, enkripsi sandi yang ditransmisikan melalui jaringan.

Tingkat harga: Standar

Perbaiki temuan ini

A3 A02
Insecure allow origin ends with validation

Nama kategori di API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi akhiran header permintaan Origin sebelum menampilkannya di dalam header respons Access-Control-Allow-Origin. Untuk mengatasi temuan ini, validasi bahwa domain root yang diharapkan adalah bagian dari nilai header Origin sebelum menampilkannya dalam header respons Access-Control-Allow-Origin. Untuk karakter pengganti subdomain, tambahkan titik ke domain root, misalnya .endsWith(".google.com").

Tingkat harga: Premium

Perbaiki temuan ini

A5 A01
Insecure allow origin starts with validation

Nama kategori di API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi awalan header permintaan Origin sebelum menampilkannya di dalam header respons Access-Control-Allow-Origin. Untuk mengatasi temuan ini, validasi bahwa domain yang diharapkan sepenuhnya cocok dengan nilai header Origin sebelum menunjukkannya di header respons Access-Control-Allow-Origin—misalnya, .equals(".google.com").

Tingkat harga: Premium

Perbaiki temuan ini

A5 A01
Invalid content type

Nama kategori di API: INVALID_CONTENT_TYPE

Resource yang dimuat tidak cocok dengan header HTTP Content-Type respons. Untuk mengatasi temuan ini, tetapkan header HTTP X-Content-Type-Options dengan nilai yang benar.

Tingkat harga: Standar

Perbaiki temuan ini

A6 A05
Invalid header

Nama kategori di API: INVALID_HEADER

Header keamanan mengalami kesalahan sintaksis dan diabaikan oleh browser. Untuk mengatasi temuan ini, setel header keamanan HTTP dengan benar.

Tingkat harga: Standar

Perbaiki temuan ini

A6 A05
Mismatching security header values

Nama kategori di API: MISMATCHING_SECURITY_HEADER_VALUES

Header keamanan memiliki nilai duplikat yang tidak cocok, yang mengakibatkan perilaku yang tidak ditentukan. Untuk mengatasi temuan ini, setel header keamanan HTTP dengan benar.

Tingkat harga: Standar

Perbaiki temuan ini

A6 A05
Misspelled security header name

Nama kategori di API: MISSPELLED_SECURITY_HEADER_NAME

Header keamanan salah eja dan akan diabaikan. Untuk mengatasi temuan ini, setel header keamanan HTTP dengan benar.

Tingkat harga: Standar

Perbaiki temuan ini

A6 A05
Mixed content

Nama kategori di API: MIXED_CONTENT

Resource ditayangkan melalui HTTP di halaman HTTPS. Untuk menyelesaikan temuan ini, pastikan semua resource disalurkan melalui HTTPS.

Tingkat harga: Standar

Perbaiki temuan ini

A6 A05
Outdated library

Nama kategori di API: OUTDATED_LIBRARY

Library yang memiliki kerentanan umum terdeteksi. Untuk mengatasi temuan ini, upgrade library ke versi yang lebih baru.

Tingkat harga: Standar

Perbaiki temuan ini

A9 A06
Server side request forgery

Nama kategori di API: SERVER_SIDE_REQUEST_FORGERY

Kerentanan pemalsuan permintaan sisi server (SSRF) terdeteksi. Untuk mengatasi temuan ini, gunakan daftar yang diizinkan untuk membatasi domain dan alamat IP yang dapat diminta aplikasi web.

Tingkat harga: Standar

Perbaiki temuan ini

Tidak berlaku A10
Session ID leak

Nama kategori di API: SESSION_ID_LEAK

Saat membuat permintaan lintas-domain, aplikasi web menyertakan ID sesi pengguna dalam header permintaan Referer-nya. Kerentanan ini memberikan akses domain penerima ke ID sesi, yang dapat digunakan untuk meniru identitas atau mengidentifikasi pengguna secara unik.

Tingkat harga: Premium

Perbaiki temuan ini

A2 A07
SQL injection

Nama kategori di API: SQL_INJECTION

Potensi kerentanan injeksi SQL terdeteksi. Untuk mengatasi temuan ini, gunakan kueri berparameter agar input pengguna tidak memengaruhi struktur kueri SQL.

Tingkat harga: Premium

Perbaiki temuan ini

A1 A03
Struts insecure deserialization

Nama kategori di API: STRUTS_INSECURE_DESERIALIZATION

Penggunaan versi Apache Struts yang rentan telah terdeteksi. Untuk mengatasi temuan ini, upgrade Apache Strut ke versi terbaru.

Tingkat harga: Premium

Perbaiki temuan ini

A8 A08
XSS

Nama kategori di API: XSS

Kolom dalam aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs (XSS). Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna.

Tingkat harga: Standar

Perbaiki temuan ini

A7 A03
XSS angular callback

Nama kategori di API: XSS_ANGULAR_CALLBACK

String yang disediakan pengguna tidak di-escape dan AngularJS dapat menginterpolasinya. Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna yang ditangani oleh framework Angular.

Tingkat harga: Standar

Perbaiki temuan ini

A7 A03
XSS error

Nama kategori di API: XSS_ERROR

Kolom dalam aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs. Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna.

Tingkat harga: Standar

Perbaiki temuan ini

A7 A03
XXE reflected file leakage

Nama kategori di API: XXE_REFLECTED_FILE_LEAKAGE

Kerentanan XML External Entity (XXE) terdeteksi. Kerentanan ini dapat menyebabkan aplikasi web membocorkan file pada host. Untuk mengatasi temuan ini, konfigurasikan parser XML untuk melarang entity eksternal.

Tingkat harga: Premium

Perbaiki temuan ini

A4 A05

Temuan dan perbaikan Deteksi Kerentanan Cepat

Deteksi Kerentanan Cepat mendeteksi kredensial yang lemah, penginstalan software yang tidak lengkap, dan kerentanan kritis lainnya yang memiliki kemungkinan besar untuk dieksploitasi. Layanan secara otomatis menemukan endpoint jaringan, protokol, port terbuka, layanan jaringan, dan paket software yang terinstal.

Temuan Deteksi Kerentanan Cepat adalah peringatan awal tentang kerentanan yang sebaiknya segera diperbaiki.

Untuk mengetahui informasi tentang cara melihat temuan, lihat Meninjau temuan di Security Command Center.

Pemindaian Deteksi Kerentanan Cepat mengidentifikasi jenis temuan berikut.

Tabel 23. Temuan dan perbaikan Deteksi Kerentanan Cepat
Jenis temuan Menemukan deskripsi 10 kode teratas versi OWASP
Temuan kredensial yang lemah
WEAK_CREDENTIALS Detektor ini memeriksa kredensial yang lemah menggunakan metode brute force ncrack.

Layanan yang didukung: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM

Perbaikan: Menerapkan kebijakan sandi yang kuat. Buat kredensial unik untuk layanan Anda dan hindari penggunaan kata-kata kamus dalam sandi.

2021
A07

2017
A2
Temuan antarmuka yang terekspos
ELASTICSEARCH_API_EXPOSED Elasticsearch API memungkinkan pemanggil melakukan kueri arbitrer, menulis dan mengeksekusi skrip, serta menambahkan dokumen lain ke layanan.

Perbaikan: Hapus akses langsung ke Elasticsearch API dengan mengarahkan permintaan melalui aplikasi, atau membatasi akses hanya untuk pengguna yang diautentikasi. Untuk mengetahui informasi selengkapnya, lihat Setelan keamanan di Elasticsearch.

2021
A01, A05

2017
A5, A6
EXPOSED_GRAFANA_ENDPOINT

Pada Grafana 8.0.0 sampai 8.3.0, tanpa autentikasi, pengguna dapat mengakses endpoint yang memiliki kerentanan directory traversal sehingga dapat membaca file apa pun di server tanpa autentikasi. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-43798.

Perbaikan: Patch Grafana atau mengupgrade Grafana ke versi yang lebih baru. Untuk informasi selengkapnya, lihat Grafana path traversal.

2021
A06, A07

2017
A2, A9
EXPOSED_METABASE

Metabase versi x.40.0 hingga x.40.4, sebuah platform analisis data open source, memiliki kerentanan dalam dukungan peta GeoJSON kustom dan potensi penyertaan file lokal, termasuk variabel lingkungan. URL tidak divalidasi sebelum dimuat. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-41277.

Perbaikan: Upgrade ke rilis pemeliharaan 0.40.5 atau yang lebih baru atau 1.40.5 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Validasi URL GeoJSON dapat mengekspos file server dan variabel lingkungan kepada pengguna yang tidak diberi otorisasi.

2021
A06

2017
A3, A9
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT Detektor ini memeriksa apakah endpoint Actuator sensitif dari aplikasi Spring Boot terekspos. Beberapa endpoint default, seperti /heapdump, mungkin mengekspos informasi sensitif. Endpoint lain, seperti /env, dapat menyebabkan eksekusi kode jarak jauh. Saat ini, hanya /heapdump yang dicentang.

Perbaikan: Nonaktifkan akses ke endpoint Aktuator sensitif. Untuk mengetahui informasi selengkapnya, lihat Mengamankan Endpoint HTTP.

2021
A01, A05

2017
A5, A6
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API Detektor ini memeriksa apakah Hadoop Yarn ResourceManager API, yang mengontrol resource komputasi dan penyimpanan cluster Hadoop, terekspos dan memungkinkan eksekusi kode yang tidak diautentikasi.

Perbaikan: Gunakan daftar kontrol akses dengan API.

2021
A01, A05

2017
A5, A6
JAVA_JMX_RMI_EXPOSED Java Management Extension (JMX) memungkinkan pemantauan dan diagnostik jarak jauh untuk aplikasi Java. Menjalankan JMX dengan endpoint Pemanggilan Metode Jarak Jauh yang tidak dilindungi memungkinkan pengguna jarak jauh membuat javax.management.loading.MLet MBean dan menggunakannya untuk membuat MB baru dari URL arbitrer.

Perbaikan: Untuk mengonfigurasi pemantauan jarak jauh dengan benar, lihat Pemantauan dan Pengelolaan Menggunakan Teknologi JMX.

2021
A01, A05

2017
A5, A6
JUPYTER_NOTEBOOK_EXPOSED_UI Detektor ini memeriksa apakah Jupyter Notebook yang tidak diautentikasi terekspos. Jupyter memungkinkan eksekusi kode jarak jauh sesuai desain pada mesin host. Jupyter Notebook yang tidak diautentikasi membuat VM hosting berisiko mengalami eksekusi kode jarak jauh.

Perbaikan: Tambahkan autentikasi token ke server Jupyter Notebook Anda, atau gunakan versi Jupyter Notebook yang lebih baru yang menggunakan autentikasi token secara default.

2021
A01, A05

2017
A5, A6
KUBERNETES_API_EXPOSED Kubernetes API diekspos dan dapat diakses oleh pemanggil yang tidak diautentikasi. Hal ini memungkinkan eksekusi kode arbitrer di cluster Kubernetes.

Perbaikan: Mewajibkan autentikasi untuk semua permintaan API. Untuk mengetahui informasi selengkapnya, lihat panduan Mengautentikasi Kubernetes API.

2021
A01, A05

2017
A5, A6
UNFINISHED_WORDPRESS_INSTALLATION Pendeteksi ini memeriksa apakah penginstalan WordPress belum selesai. Penginstalan WordPress yang belum selesai akan menampilkan halaman /wp-admin/install.php, yang memungkinkan penyerang menyetel sandi admin dan, mungkin, menyusupi sistem.

Perbaikan: Selesaikan penginstalan WordPress.

2021
A05

2017
A6
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE Pendeteksi ini memeriksa adanya instance Jenkins yang tidak diautentikasi dengan mengirimkan ping pemeriksaan ke endpoint /view/all/newJob sebagai pengunjung anonim. Instance Jenkins yang telah diautentikasi menampilkan formulir createItem, yang memungkinkan pembuatan tugas arbitrer yang dapat mengakibatkan eksekusi kode jarak jauh.

Perbaikan: Ikuti panduan Jenkins tentang mengelola keamanan untuk memblokir akses yang tidak diautentikasi.

2021
A01, A05

2017
A5, A6
Temuan software yang rentan
APACHE_HTTPD_RCE

Kecacatan ditemukan pada Server HTTP Apache 2.4.49 yang memungkinkan penyerang menggunakan serangan path traversal untuk memetakan URL ke file di luar root dokumen yang diharapkan dan melihat sumber file yang ditafsirkan, seperti skrip CGI. Isu ini diketahui dieksploitasi di alam liar. Masalah ini mempengaruhi Apache 2.4.49 dan 2.4.50 tetapi tidak versi sebelumnya. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, lihat:

  1. Data CVE CVE-2021-41773
  2. Kerentanan Apache HTTP Server 2.4

Perbaikan: Lindungi file di luar root dokumen dengan mengonfigurasi perintah "require all denied" di Server HTTP Apache.

2021
A01, A06

2017
A5, A9
APACHE_HTTPD_SSRF

Penyerang dapat membuat URI ke server web Apache yang menyebabkan mod_proxy meneruskan permintaan ke server asal yang dipilih oleh penyerang. Masalah ini memengaruhi server HTTP Apache 2.4.48 dan versi sebelumnya. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, lihat:

  1. Data CVE CVE-2021-40438
  2. Kerentanan Apache HTTP Server 2.4

Perbaikan: Upgrade server HTTP Apache ke versi yang lebih baru.

2021
A06, A10

2017
A9
CONSUL_RCE

Penyerang dapat mengeksekusi kode arbitrer di server Consul karena instance Consul dikonfigurasi dengan -enable-script-checks yang disetel ke true dan Consul HTTP API tidak aman serta dapat diakses melalui jaringan. Di Consul 0.9.0 dan yang lebih lama, pemeriksaan skrip diaktifkan secara default. Untuk informasi selengkapnya, lihat Melindungi Konsul dari Risiko RCE dalam Konfigurasi Tertentu. Untuk memeriksa kerentanan ini, Deteksi Kerentanan Cepat mendaftarkan layanan pada instance Consul menggunakan endpoint REST /v1/health/service, yang kemudian akan menjalankan salah satu hal berikut:

  1. Perintah curl ke server jarak jauh di luar jaringan. Penyerang dapat menggunakan perintah curl untuk memindahkan data secara tidak sah dari server.
  2. Perintah printf. Deteksi Kerentanan Cepat kemudian memverifikasi output perintah menggunakan endpoint REST /v1/health/service.

Setelah pemeriksaan, Deteksi Kerentanan Cepat akan membersihkan dan membatalkan pendaftaran layanan menggunakan endpoint REST /v1/agent/service/deregister/.

Perbaikan: Menetapkan pemeriksaan enable-script ke false dalam konfigurasi instance Console.

2021
A05, A06

2017
A6, A9
DRUID_RCE

Apache Druid mencakup kemampuan untuk mengeksekusi kode JavaScript yang disediakan pengguna yang disematkan dalam berbagai jenis permintaan. Fungsionalitas ini dimaksudkan untuk digunakan di lingkungan dengan kepercayaan tinggi, dan dinonaktifkan secara default. Namun, di Druid 0.20.0 dan versi sebelumnya, pengguna terautentikasi dapat mengirim permintaan yang dibuat khusus yang memaksa Druid menjalankan kode JavaScript yang disediakan pengguna untuk permintaan itu, apa pun konfigurasi servernya. Ini dapat dimanfaatkan untuk mengeksekusi kode pada mesin target dengan hak istimewa proses server Druid. Untuk mengetahui informasi selengkapnya, lihat Detail CVE-2021-25646.

Perbaikan: Upgrade Apache Druid ke versi yang lebih baru.

2021
A05, A06

2017
A6, A9
DRUPAL_RCE

Kategori ini mencakup dua kerentanan di Drupal. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan.

Versi Drupal sebelum 7.58, 8.x sebelum 8.3.9, 8.4.x sebelum 8.4.6, dan 8.5.x sebelum 8.5.1 rentan terhadap eksekusi kode jarak jauh pada permintaan AJAX Form API.

Perbaikan: Upgrade ke versi Drupal alternatif.

2021
A06

2017
A9
Drupal versi 8.5.x sebelum 8.5.11 dan 8.6.x sebelum 8.6.10 rentan terhadap eksekusi kode jarak jauh jika modul RESTful Web Service atau JSON:API diaktifkan. Kerentanan ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi dengan menggunakan permintaan POST kustom.

Perbaikan: Upgrade ke versi Drupal alternatif.

2021
A06

2017
A9
FLINK_FILE_DISCLOSURE Kerentanan pada Apache Flink versi 1.11.0, 1.11.1, dan 1.11.2 memungkinkan penyerang membaca file apa pun di sistem file lokal JobManager melalui antarmuka REST dari proses JobManager. Akses dibatasi pada file yang dapat diakses oleh proses JobManager.

Perbaikan: Jika instance Flink Anda terekspos, upgrade ke Flink 1.11.3 atau 1.12.0.

2021
A01, A05, A06

2017
A5, A6, A9
GITLAB_RCE

Di GitLab Community Edition (CE) dan Enterprise Edition (EE) versi 11.9 dan yang lebih baru, GitLab tidak memvalidasi file gambar yang diteruskan ke parser file dengan benar. Penyerang dapat mengeksploitasi kerentanan ini untuk eksekusi perintah jarak jauh.

Perbaikan: Upgrade ke GitLab CE atau EE rilis 13.10.3, 13.9.6, dan 13.8.8 atau yang lebih baru. Untuk informasi selengkapnya, lihat Tindakan diperlukan oleh pelanggan yang dikelola sendiri sebagai respons terhadap CVE-2021-22205.

2021
A06

2017
A9
GoCD_RCE

Di GoCD 21.2.0 dan yang lebih lama, ada endpoint yang dapat diakses tanpa autentikasi. Endpoint ini memiliki kerentanan directory traversal yang memungkinkan pengguna membaca file apa pun di server tanpa autentikasi.

Perbaikan: Upgrade ke versi 21.3.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Catatan rilis GoCD 21.3.0.

2021
A06, A07

2017
A2, A9
JENKINS_RCE Jenkins versi 2.56 dan yang lebih lama, serta 2.46.1 LTS dan yang lebih lama rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang tidak diautentikasi menggunakan objek Java serial yang berbahaya.

Perbaikan: Menginstal versi Jenkins alternatif.

2021
A06, A08

2017
A8, A9
JOOMLA_RCE

Kategori ini mencakup dua kerentanan di Joomla. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan.

Joomla versi 1.5.x, 2.x, dan 3.x sebelum 3.4.6 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu dengan header buatan yang berisi objek PHP serial.

Perbaikan: Instal versi Joomla alternatif.

2021
A06, A08

2017
A8, A9
Joomla versi 3.0.0 hingga 3.4.6 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu dengan mengirimkan permintaan POST yang berisi objek PHP serial yang dibuat.

Perbaikan: Instal versi Joomla alternatif.

2021
A06

2017
A9
LOG4J_RCE

Pada Apache Log4j2 2.14.1 dan yang lebih lama, fitur JNDI yang digunakan dalam konfigurasi, pesan log, dan parameter tidak melindungi dari LDAP yang dikontrol penyerang serta endpoint terkait JNDI lainnya. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-44228.

Perbaikan: Untuk informasi perbaikan, lihat Kerentanan Keamanan Apache Log4j.

2021
A06

2017
A9
MANTISBT_PRIVILEGE_ESCALATION MantisBT melalui versi 2.3.0 memungkinkan reset sandi arbitrer dan akses admin yang tidak diautentikasi dengan memberikan nilai confirm_hash kosong ke verify.php.

Perbaikan: Update MantisBT ke versi yang lebih baru atau ikuti petunjuk Mantis untuk menerapkan perbaikan keamanan penting.

2021
A06

2017
A9
OGNL_RCE

Instance Confluence Server dan Pusat Data berisi kerentanan injeksi OGNL yang memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode arbitrer. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-26084.

Perbaikan: Untuk informasi perbaikan, lihat Injeksi OGNL Server Webwork Server - CVE-2021-26084.

2021
A03

2017
A1
OPENAM_RCE

Server OpenAM 14.6.2 dan versi yang lebih lama serta server AM ForgeRock 6.5.3 dan yang lebih lama memiliki kerentanan deserialisasi Java pada parameter jato.pageSession di beberapa halaman. Eksploitasi tersebut tidak memerlukan autentikasi, dan eksekusi kode jarak jauh dapat dipicu dengan mengirimkan satu permintaan /ccversion/* yang dibuat ke server. Kerentanan ini ada karena penggunaan Sun ONE Application. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-35464.

Perbaikan: Upgrade ke versi yang lebih baru. Untuk informasi tentang perbaikan ForgeRock, lihat AM Security Advisory #202104.

2021
A06

2017
A9
ORACLE_WEBLOGIC_RCE

Versi produk Oracle WebLogic Server tertentu dari Oracle Fusion Middleware (komponen: Console) memiliki kerentanan, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan yang mudah dieksploitasi ini memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan melalui HTTP untuk menyusupi Oracle WebLogic Server. Serangan yang berhasil pada kerentanan ini dapat mengakibatkan pengambilalihan Oracle WebLogic Server. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14882.

Perbaikan: Untuk informasi patch, lihat Saran Update Patch Penting Oracle - Oktober 2020.

2021
A06, A07

2017
A2, A9
PHPUNIT_RCE Versi PHPUnit sebelum 5.6.3 memungkinkan eksekusi kode jarak jauh dengan satu permintaan POST yang tidak diautentikasi.

Perbaikan: Upgrade ke versi PHPUnit yang lebih baru.

2021: A05
2017: A6
PHP_CGI_RCE PHP sebelum 5.3.12, dan versi 5.4.x sebelum 5.4.2, jika dikonfigurasi sebagai skrip CGI, memungkinkan eksekusi kode jarak jauh. Kode yang rentan tidak dapat menangani dengan benar string kueri yang tidak memiliki karakter = (sama dengan tanda). Hal ini memungkinkan penyerang menambahkan opsi command line yang dijalankan di server.

Perbaikan: Instal versi PHP alternatif.

2021
A05, A06

2017
A6, A9
PORTAL_RCE Deserialisasi data yang tidak tepercaya dalam versi Liferay Portal sebelum 7.2.1 CE GA2 memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer melalui layanan web JSON.

Perbaikan: Upgrade ke versi Portal Liferay yang lebih baru.

2021
A06, A08

2017
A8, A9
REDIS_RCE

Jika instance Redis tidak memerlukan autentikasi untuk mengeksekusi perintah admin, penyerang mungkin dapat mengeksekusi kode arbitrer.

Perbaikan: Mengonfigurasi Redis untuk mewajibkan autentikasi.

2021
A01, A05

2017
A5, A6
SOLR_FILE_EXPOSED

Autentikasi tidak diaktifkan di Apache Solr, server penelusuran open source. Jika Apache Solr tidak memerlukan autentikasi, penyerang dapat langsung membuat permintaan untuk mengaktifkan konfigurasi tertentu, dan pada akhirnya mengimplementasikan pemalsuan permintaan sisi server (SSRF) atau membaca file arbitrer.

Perbaikan: Upgrade ke versi Apache Solr alternatif.

2021
A07, A10

2017
A2
SOLR_RCE Apache Solr versi 5.0.0 hingga Apache Solr 8.3.1 rentan terhadap eksekusi kode jarak jauh melalui VelocityResponseWriter jika params.resource.loader.enabled disetel ke true. Hal ini memungkinkan penyerang membuat parameter yang berisi template Velocity yang berbahaya.

Perbaikan: Upgrade ke versi Apache Solr alternatif.

2021
A06

2017
A9
STRUTS_RCE

Kategori ini mencakup tiga kerentanan di Apache Struts. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan.

Versi Apache Struts sebelum 2.3.32 dan 2.5.x sebelum 2.5.10.1 rentan terhadap eksekusi kode jarak jauh. Kerentanan dapat dipicu oleh penyerang yang tidak diautentikasi dan menyediakan header Content-Type yang dibuat.

Perbaikan: Instal versi Apache Struts alternatif.

2021
A06

2017
A9
Plugin REST di Apache Struts versi 2.1.1 hingga 2.3.x sebelum 2.3.34 dan 2.5.x sebelum 2.5.13 rentan terhadap eksekusi kode jarak jauh saat melakukan deserialisasi payload XML yang dibuat.

Perbaikan: Instal versi Apache Struts alternatif.

2021
A06, A08

2017
A8, A9
Apache Struts versi 2.3 hingga 2.3.34 dan 2.5 hingga 2.5.16 rentan terhadap eksekusi kode jarak jauh saat alwaysSelectFullNamespace disetel ke true dan konfigurasi tindakan tertentu lainnya tersedia.

Perbaikan: Instal versi 2.3.35 atau 2.5.17.

2021
A06

2017
A9
TOMCAT_FILE_DISCLOSURE Apache Tomcat versi 9.x sebelum 9.0.31, 8.x sebelum 8.5.51, 7.x sebelum 7.0.100, dan semua 6.x rentan terhadap pengungkapan kode sumber dan konfigurasi melalui konektor Protokol Apache JServ yang terekspos. Dalam beberapa kasus, hal ini dimanfaatkan untuk menjalankan eksekusi kode jarak jauh jika upload file diizinkan.

Perbaikan: Upgrade ke versi Apache Tomcat alternatif.

2021
A06

2017
A3, A9
VBULLETIN_RCE Server vBulletin yang menjalankan versi 5.0.0 hingga 5.5.4 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi menggunakan parameter kueri dalam permintaan routestring.

Perbaikan: Upgrade ke versi Server vCenter VMware alternatif.

2021
A03, A06

2017
A1, A9
VCENTER_RCE VMware vCenter Server versi 7.x sebelum 7.0 U1c, 6.7 sebelum 6.7 U3l dan 6.5 sebelum 6.5 U3n rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang mengupload file Java Server Pages yang telah dibuat ke direktori yang dapat diakses web, lalu memicu eksekusi file tersebut.

Perbaikan: Upgrade ke versi Server vCenter VMware alternatif.

2021
A06

2017
A9
WEBLOGIC_RCE

Beberapa versi produk Oracle WebLogic Server dari Oracle Fusion Middleware (komponen: Console) memiliki kerentanan eksekusi kode jarak jauh, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan ini terkait dengan CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14883.

Perbaikan: Untuk informasi patch, lihat Saran Update Patch Penting Oracle - Oktober 2020.

2021
A06, A07

2017
A2, A9

Temuan pemberi rekomendasi IAM

Tabel berikut mencantumkan temuan Security Command Center yang dihasilkan oleh pemberi rekomendasi IAM.

Setiap temuan pemberi rekomendasi IAM berisi rekomendasi khusus untuk menghapus atau mengganti peran yang mencakup izin berlebihan dari akun utama di lingkungan Google Cloud Anda.

Temuan yang dihasilkan oleh pemberi rekomendasi IAM sesuai dengan rekomendasi yang muncul di Google Cloud Console pada halaman IAM project, folder, atau organisasi yang terpengaruh.

Untuk mengetahui informasi selengkapnya tentang integrasi pemberi rekomendasi IAM dengan Security Command Center, lihat Sumber keamanan.

Temuan pemberi rekomendasi IAM
Pendeteksi Ringkasan
IAM role has excessive permissions

Nama kategori di API: IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

Deskripsi penemuan: Pemberi rekomendasi IAM mendeteksi akun layanan yang memiliki satu atau beberapa peran IAM yang memberikan izin berlebihan ke akun pengguna.

Tingkat harga: Premium

Aset yang didukung:

Perbaiki temuan ini :

Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:

  1. Di bagian Langkah berikutnya pada detail temuan di Konsol Google Cloud, salin dan tempel URL untuk halaman IAM ke kolom URL browser dan tekan Enter. Halaman IAM akan dimuat.
  2. Di dekat bagian atas halaman IAM di sebelah kanan, klik Lihat rekomendasi dalam tabel. Rekomendasi ditampilkan di tabel.
  3. Di kolom Insight keamanan, klik rekomendasi apa pun yang berkaitan dengan izin berlebih. Panel detail rekomendasi akan terbuka.
  4. Tinjau rekomendasi tindakan yang dapat Anda lakukan untuk menyelesaikan masalah tersebut.
  5. Klik Terapkan.

Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan ke INACTIVE dalam waktu 24 jam.

Service agent role replaced with basic role

Nama kategori di API: SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

Deskripsi penemuan: Pemberi rekomendasi IAM mendeteksi bahwa peran IAM default asli yang diberikan kepada agen layanan telah diganti dengan salah satu peran IAM dasar: Pemilik, Editor, atau Viewer. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan.

Tingkat harga: Premium

Aset yang didukung:

Perbaiki temuan ini :

Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:

  1. Di bagian Langkah berikutnya pada detail temuan di Konsol Google Cloud, salin dan tempel URL untuk halaman IAM ke kolom URL browser dan tekan Enter. Halaman IAM akan dimuat.
  2. Di dekat bagian atas halaman IAM di sebelah kanan, klik Lihat rekomendasi dalam tabel. Rekomendasi ditampilkan di tabel.
  3. Di kolom Insight keamanan, klik izin apa pun yang berkaitan dengan izin berlebih. Panel detail rekomendasi akan terbuka.
  4. Tinjau izin yang berlebih.
  5. Klik Terapkan.

Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan ke INACTIVE dalam waktu 24 jam.

Service agent granted basic role

Nama kategori di API: SERVICE_AGENT_GRANTED_BASIC_ROLE

Deskripsi penemuan: Pemberi rekomendasi IAM mendeteksi IAM bahwa agen layanan diberi salah satu peran IAM dasar: Pemilik, Editor, atau Viewer. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan.

Tingkat harga: Premium

Aset yang didukung:

Perbaiki temuan ini :

Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:

  1. Di bagian Langkah berikutnya pada detail temuan di Konsol Google Cloud, salin dan tempel URL untuk halaman IAM ke kolom URL browser dan tekan Enter. Halaman IAM akan dimuat.
  2. Di dekat bagian atas halaman IAM di sebelah kanan, klik Lihat rekomendasi dalam tabel. Rekomendasi ditampilkan di tabel.
  3. Di kolom Insight keamanan, klik izin apa pun yang berkaitan dengan izin berlebih. Panel detail rekomendasi akan terbuka.
  4. Tinjau izin yang berlebih.
  5. Klik Terapkan.

Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan ke INACTIVE dalam waktu 24 jam.

Unused IAM role

Nama kategori di API: UNUSED_IAM_ROLE

Deskripsi penemuan: Pemberi rekomendasi IAM mendeteksi akun pengguna yang memiliki peran IAM yang tidak digunakan dalam 90 hari terakhir.

Tingkat harga: Premium

Aset yang didukung:

Perbaiki temuan ini :

Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:

  1. Di bagian Langkah berikutnya pada detail temuan di Konsol Google Cloud, salin dan tempel URL untuk halaman IAM ke kolom URL browser dan tekan Enter. Halaman IAM akan dimuat.
  2. Di dekat bagian atas halaman IAM di sebelah kanan, klik Lihat rekomendasi dalam tabel. Rekomendasi ditampilkan di tabel.
  3. Di kolom Insight keamanan, klik izin apa pun yang berkaitan dengan izin berlebih. Panel detail rekomendasi akan terbuka.
  4. Tinjau izin yang berlebih.
  5. Klik Terapkan.

Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan ke INACTIVE dalam waktu 24 jam.

Temuan layanan postur keamanan

Tabel berikut mencantumkan temuan Security Command Center yang dihasilkan oleh layanan postur keamanan.

Setiap temuan layanan postur keamanan mengidentifikasi instance penyimpangan dari postur keamanan yang Anda tentukan.

Temuan postur keamanan
Temuan Ringkasan
SHA Canned Module Drifted

Nama kategori di API: SECURITY_POSTURE_DETECTOR_DRIFT

Menemukan deskripsi: Layanan postur keamanan mendeteksi perubahan pada detektor Security Health Analytics yang terjadi di luar pembaruan postur.

Tingkat harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan tersebut agar setelan pendeteksi dalam postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui detektor Security Health Analytics atau memperbarui postur dan deployment postur.

Untuk mengembalikan perubahan, perbarui detektor Security Health Analytics di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Untuk menyetujui perubahan, selesaikan hal berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.
SHA Custom Module Drifted

Nama kategori di API: SECURITY_POSTURE_DETECTOR_DRIFT

Menemukan deskripsi: Layanan postur keamanan mendeteksi perubahan pada modul kustom Security Health Analytics yang terjadi di luar update postur.

Tingkat harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan tersebut agar setelan modul kustom dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui modul kustom Security Health Analytics atau memperbarui deployment dan postur.

Untuk mengembalikan perubahan, perbarui modul kustom Security Health Analytics di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Mengupdate modul kustom.

Untuk menyetujui perubahan, selesaikan hal berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.
SHA Custom Module Deleted

Nama kategori di API: SECURITY_POSTURE_DETECTOR_DELETE

Menemukan deskripsi: Layanan postur keamanan mendeteksi bahwa modul kustom Security Health Analytics telah dihapus. Penghapusan ini terjadi di luar pembaruan postur.

Tingkat harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan tersebut agar setelan modul kustom dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui modul kustom Security Health Analytics atau memperbarui deployment dan postur.

Untuk mengembalikan perubahan, perbarui modul kustom Security Health Analytics di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Mengupdate modul kustom.

Untuk menyetujui perubahan, selesaikan hal berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.
Org Policy Canned Constraint Drifted

Nama kategori di API: SECURITY_POSTURE_POLICY_DRIFT

Menemukan deskripsi: Layanan postur keamanan mendeteksi perubahan pada kebijakan organisasi yang terjadi di luar update postur.

Tingkat harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan tersebut agar definisi kebijakan organisasi dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk mengatasi temuan ini: Anda dapat memperbarui kebijakan organisasi atau memperbarui postur dan postur deployment.

Untuk mengembalikan perubahan, perbarui kebijakan organisasi di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Membuat dan mengedit kebijakan.

Untuk menyetujui perubahan, selesaikan hal berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.
Org Policy Canned Constraint Deleted

Nama kategori di API: SECURITY_POSTURE_POLICY_DELETE

Menemukan deskripsi: Layanan postur keamanan mendeteksi bahwa kebijakan organisasi telah dihapus. Penghapusan ini terjadi di luar pembaruan postur.

Tingkat harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan tersebut agar definisi kebijakan organisasi dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk mengatasi temuan ini: Anda dapat memperbarui kebijakan organisasi atau memperbarui postur dan postur deployment.

Untuk mengembalikan perubahan, perbarui kebijakan organisasi di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Membuat dan mengedit kebijakan.

Untuk menyetujui perubahan, selesaikan hal berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.
Org Policy Custom Constraint Drifted

Nama kategori di API: SECURITY_POSTURE_POLICY_DRIFT

Menemukan deskripsi: Layanan postur keamanan mendeteksi perubahan pada kebijakan organisasi kustom yang terjadi di luar update postur.

Tingkat harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan tersebut agar definisi kebijakan organisasi kustom dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi khusus atau memperbarui postur dan postur deployment.

Untuk mengembalikan perubahan, perbarui kebijakan organisasi kustom di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui batasan kustom.

Untuk menyetujui perubahan, selesaikan hal berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.
Org Policy Custom Constraint Deleted

Nama kategori di API: SECURITY_POSTURE_POLICY_DELETE

Menemukan deskripsi: Layanan postur keamanan mendeteksi bahwa kebijakan organisasi kustom telah dihapus. Penghapusan ini terjadi di luar pembaruan postur.

Tingkat harga: Premium

Perbaiki temuan ini :

Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan tersebut agar definisi kebijakan organisasi kustom dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi khusus atau memperbarui postur dan postur deployment.

Untuk mengembalikan perubahan, perbarui kebijakan organisasi kustom di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui batasan kustom.

Untuk menyetujui perubahan, selesaikan hal berikut:

  1. Perbarui file posture.yaml dengan perubahan tersebut.
  2. Jalankan perintah gcloud scc postures update. Untuk mengetahui petunjuknya, lihat Memperbarui postur.
  3. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

VM Manager

VM Manager adalah serangkaian alat yang dapat digunakan untuk mengelola sistem operasi untuk fleet virtual machine (VM) besar yang menjalankan Windows dan Linux di Compute Engine.

Jika Anda mengaktifkan VM Manager dengan Security Command Center Premium di tingkat organisasi, VM Manager akan menulis temuan dari laporan kerentanannya, yang sedang dalam pratinjau, ke Security Command Center. Laporan ini mengidentifikasi kerentanan dalam sistem operasi yang diinstal pada VM, termasuk Kerentanan dan Eksposur Umum (CVE).

Untuk menggunakan VM Manager dengan aktivasi level project Security Command Center Premium, aktifkan Security Command Center Standar di organisasi induk.

Laporan kerentanan tidak tersedia untuk Security Command Center Standar.

Temuan ini menyederhanakan proses penggunaan fitur Kepatuhan Patch VM Manager yang sedang dalam pratinjau. Dengan fitur ini, Anda dapat melakukan pengelolaan patch di tingkat organisasi di semua project.

Tingkat keparahan temuan kerentanan yang diterima dari VM Manager selalu CRITICAL atau HIGH.

Temuan Pengelola VM

Semua kerentanan ini berhubungan dengan paket sistem operasi yang terinstal di VM Compute Engine yang didukung.

Tabel 24. Laporan kerentanan VM Manager
Pendeteksi Ringkasan Setelan pemindaian aset Standar kepatuhan
OS vulnerability

Nama kategori di API: OS_VULNERABILITY

Deskripsi penemuan: VM Manager mendeteksi kerentanan dalam paket sistem operasi (OS) yang terinstal untuk VM Compute Engine.

Tingkat harga: Premium

Aset yang didukung
compute.googleapis.com/Instance

Perbaiki temuan ini

Laporan kerentanan VM Manager menjelaskan kerentanan-kerentanan dalam paket sistem operasi yang terinstal untuk VM Compute Engine, termasuk Kerentanan dan Eksposur Umum (CVE).

Untuk mengetahui daftar lengkap sistem operasi yang didukung, lihat Detail sistem operasi.

Temuan muncul di Security Command Center segera setelah kerentanan terdeteksi. Laporan kerentanan di VM Manager dibuat sebagai berikut:

  • Untuk sebagian besar kerentanan dalam paket OS yang diinstal, OS Config API akan menghasilkan laporan kerentanan dalam waktu beberapa menit setelah perubahan.
  • Untuk CVE, OS Config API menghasilkan laporan kerentanan dalam waktu tiga hingga empat jam setelah CVE dipublikasikan ke OS.

Memperbaiki temuan Pengelola VM

Temuan OS_VULNERABILITY menunjukkan bahwa VM Manager menemukan kerentanan dalam paket sistem operasi yang diinstal di VM Compute Engine.

Untuk memperbaiki temuan ini, lakukan hal berikut:

  1. Buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Jika perlu, pilih organisasi atau project Google Cloud Anda.

    Pemilih project

  3. Di subbagian Category pada Quick filters, pilih kerentanan OS. Hasil kueri temuan difilter agar hanya menampilkan temuan kerentanan OS.

  4. Di kolom Kategori pada daftar Hasil kueri temuan, klik nama kategori temuan yang Anda perbaiki. Halaman detail untuk kerentanan OS akan terbuka.

  5. Klik tab JSON. JSON untuk temuan ini ditampilkan.

  6. Salin nilai kolom externalUri. Nilai ini adalah URI untuk halaman Info OS dari instance VM Compute Engine tempat sistem operasi yang rentan diinstal.

  7. Terapkan semua patch yang sesuai untuk OS yang ditampilkan di bagian Info dasar. Untuk mengetahui petunjuk tentang cara men-deploy patch, lihat Membuat tugas patch.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Meninjau temuan di konsol Google Cloud

Gunakan prosedur berikut untuk meninjau temuan di Konsol Google Cloud:

  1. Buka halaman Findings Security Command Center di Konsol Google Cloud.

    Buka Temuan

  2. Jika perlu, pilih organisasi atau project Google Cloud Anda.

    Pemilih project

  3. Di bagian Quick filters, pada subbagian Source display name, pilih VM Manager.

    Tabel diisi dengan temuan VM Manager.

  4. Untuk melihat detail temuan tertentu, klik nama temuan di bagian Category. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.

  5. Pada tab Ringkasan, tinjau informasi tentang temuan tersebut, termasuk informasi tentang hal yang terdeteksi, resource yang terpengaruh, dan lainnya.

Untuk mengetahui informasi tentang cara memperbaiki temuan Pengelola VM, lihat Memperbaiki temuan Pengelola VM.

Menonaktifkan temuan Pengelola VM

Anda mungkin ingin menyembunyikan beberapa atau semua temuan VM Manager di Security Command Center jika tidak relevan dengan persyaratan keamanan Anda.

Anda dapat menyembunyikan temuan Pengelola VM dengan membuat aturan penonaktifan dan menambahkan atribut kueri khusus untuk temuan Pengelola VM yang ingin Anda sembunyikan.

Untuk membuat aturan penonaktifan VM Manager menggunakan Konsol Google Cloud, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Findings Security Command Center.

    Buka Temuan

  2. Jika perlu, pilih organisasi atau project Google Cloud Anda.

    Pemilih project

  3. Klik Opsi penonaktifan, lalu pilih Buat aturan penonaktifan.

  4. Masukkan ID aturan bisukan. Nilai ini wajib diisi.

  5. Masukkan Nonaktifkan deskripsi aturan yang memberikan konteks terkait alasan temuan dibisukan. Nilai ini bersifat opsional, tetapi direkomendasikan.

  6. Konfirmasi cakupan aturan penonaktifan dengan memeriksa nilai Resource induk.

  7. Di kolom Findings query, buat pernyataan kueri dengan mengklik Add filter. Atau, Anda dapat mengetik pernyataan kueri secara manual.

    1. Pada dialog Select filter, pilih Finding > Source display name > VM Manager.
    2. Klik Terapkan.
    3. Ulangi hingga kueri yang dibisukan berisi semua atribut yang ingin Anda sembunyikan.

      Misalnya, jika Anda ingin menyembunyikan ID CVE tertentu di temuan kerentanan VM Manager, pilih Vulnerability > CVE ID, lalu pilih ID CVE yang ingin Anda sembunyikan.

      Kueri temuan terlihat mirip dengan berikut ini:

      Menonaktifkan temuan Pengelola VM

  8. Klik Lihat pratinjau temuan yang cocok.

    Tabel akan menampilkan temuan yang cocok dengan kueri Anda.

  9. Klik Save.

Sensitive Data Protection

Bagian ini menjelaskan temuan kerentanan yang dihasilkan Perlindungan Data Sensitif, standar kepatuhan yang didukung, dan cara memulihkan temuan tersebut.

Perlindungan Data Sensitif juga mengirimkan temuan pengamatan ke Security Command Center. Untuk mengetahui informasi selengkapnya tentang temuan pengamatan dan Perlindungan Data Sensitif, lihat Perlindungan Data Sensitif.

Untuk mengetahui informasi tentang cara melihat temuan, lihat Meninjau temuan Perlindungan Data Sensitif di Konsol Google Cloud.

Layanan penemuan Perlindungan Data Sensitif membantu Anda menentukan apakah variabel lingkungan Cloud Functions Anda berisi secret, seperti sandi, token autentikasi, dan kredensial Google Cloud. Untuk mengetahui daftar lengkap jenis rahasia yang dideteksi oleh Perlindungan Data Sensitif dalam fitur ini, lihat Kredensial dan rahasia.

Tabel 25. Temuan dan perbaikan Perlindungan Data Sensitif
Jenis temuan Menemukan deskripsi Standar kepatuhan
Secrets in environment variables

Nama kategori di API:
SECRETS_IN_ENVIRONMENT_VARIABLES
Detektor ini memeriksa ada tidaknya secret di variabel lingkungan Cloud Functions.

Perbaikan: Hapus secret dari variabel lingkungan dan simpan di Secret Manager.

CIS GCP Foundation 1.3: 1.18

CIS GCP Foundation 2.0: 1.18

Sejak penemuan rahasia di Perlindungan Data Sensitif diaktifkan, diperlukan waktu hingga 12 jam untuk menyelesaikan pemindaian awal variabel lingkungan. Selanjutnya, Sensitive Data Protection memindai variabel lingkungan setiap 24 jam. Dalam praktiknya, pemindaian dapat dijalankan lebih sering dari itu.

Untuk mengaktifkan pendeteksi ini, lihat Melaporkan rahasia di variabel lingkungan ke Security Command Center dalam dokumentasi Perlindungan Data Sensitif.

Pengontrol Kebijakan

Pengontrol Kebijakan memungkinkan penerapan dan penerapan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda yang terdaftar sebagai keanggotaan fleet. Kebijakan ini berfungsi sebagai pengaman dan dapat membantu praktik terbaik, keamanan, dan pengelolaan kepatuhan cluster dan fleet Anda.

Halaman ini tidak mencantumkan semua temuan Pengontrol Kebijakan individual, tetapi informasi tentang temuan class Misconfiguration yang ditulis Pengontrol Kebijakan ke Security Command Center sama dengan pelanggaran cluster yang didokumentasikan untuk setiap paket Pengontrol Kebijakan. Dokumentasi untuk setiap jenis temuan Pengontrol Kebijakan ada dalam paket Pengontrol Kebijakan berikut:

Kemampuan ini tidak kompatibel dengan perimeter layanan Kontrol Layanan VPC di sekitar Stackdriver API.

Menemukan dan memperbaiki temuan Pengontrol Kebijakan

Kategori Pengontrol Kebijakan sesuai dengan nama batasan yang tercantum dalam dokumentasi paket Pengontrol Kebijakan. Misalnya, temuan require-namespace-network-policies menunjukkan bahwa namespace melanggar kebijakan bahwa setiap namespace dalam cluster memiliki NetworkPolicy.

Untuk memperbaiki temuan, lakukan hal berikut:

  1. Buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Jika perlu, pilih organisasi atau project Google Cloud Anda.

    Pemilih project

  3. Di subbagian Kategori pada Filter cepat, pilih nama Pengontrol Kebijakan yang menurut Anda ingin diperbaiki. Hasil kueri temuan difilter agar hanya menampilkan temuan untuk kategori tersebut.

  4. Di kolom Kategori pada daftar Hasil kueri temuan, klik nama kategori temuan yang Anda perbaiki. Halaman detail untuk temuan itu akan terbuka.

  5. Pada tab Ringkasan, tinjau informasi tentang temuan tersebut, termasuk informasi tentang hal yang terdeteksi, resource yang terpengaruh, dan lainnya.

  6. Dalam judul Langkah berikutnya, tinjau informasi tentang cara memperbaiki temuan, termasuk link ke dokumentasi Kubernetes tentang masalah tersebut.

Langkah selanjutnya