Detektoren von Security Health Analytics und Web Security Scanner generieren Ergebnisse zu Sicherheitslücken, die in Security Command Center verfügbar sind. Wann? sind sie in Security Command Center aktiviert, wie VM Manager, generieren Schwachstellen Ergebnisse.
Ihre Fähigkeit, Ergebnisse anzuzeigen und zu bearbeiten, Dies wird durch Ihre IAM-Rollen und -Berechtigungen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) bestimmt. zugewiesen sind. Weitere Informationen zu IAM-Rollen in Security Command Center finden Sie unter Zugriffssteuerung.
Detektoren und Compliance
Security Command Center überwacht die Compliance mit Detektoren, die den Kontrollen eines Wide-Systems von Sicherheitsstandards.
Für jeden unterstützten Sicherheitsstandard Security Command Center eine Teilmenge der Steuerelemente überprüft. Für die geprüften Steuerelemente wird in Security Command Center angezeigt, wie viele Passagen übergeben werden. Für die nicht bestandene Kontrollen haben, zeigt Security Command Center eine Liste der Ergebnisse an, und beschreiben die fehlerhaften Einstellungen.
CIS überprüft und zertifiziert die Zuordnungen von Security Command Center alle unterstützten Detektoren Version der CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance Zuordnungen dienen nur zu Referenzzwecken.
Security Command Center regelmäßig werden neue Benchmark-Versionen und -Standards unterstützt. Älter -Versionen werden weiterhin unterstützt, werden aber irgendwann verworfen. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten verfügbaren Standard zu verwenden.
Mit der Service für den Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und die für Ihr Unternehmen gelten. Nachdem Sie einen Sicherheitsstatus erstellt haben, die sich auf die Compliance Ihres Unternehmens auswirken könnten.
Weitere Informationen zum Verwalten der Compliance finden Sie unter Einhaltung von Sicherheitsstandards bewerten und melden
Unterstützte Sicherheitsstandards in Google Cloud
Security Command Center Ordnet Detektoren für Google Cloud einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:
- CIS Controls 8.0 (Center for Information Security)
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0
- CIS Kubernetes Benchmark Version 1.5.1
- Cloud Controls Matrix (CCM) 4
- US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- Internationale Organisation für Normung (ISO 27001, 2022 und 2013)
- Landesweite Institute of Standards and Technology (NIST) 800-53 R5 und R4
- NIST CSF 1.0
- Webanwendung öffnen Security Project (OWASP) Top Ten, 2021 und 2017
- Zahlung PCI-DSS (Card Industry Data Security Standard) 4.0 und 3.2.1
- System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)
Von AWS unterstützte Sicherheitsstandards
Security Command Center ordnet Detektoren für Amazon Web Services (AWS) einer oder mehreren der folgenden Compliance-Anforderungen zu Standards:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 und 3.2.1
- SOC 2 2017 TSC
Eine Anleitung zum Aufrufen und Exportieren von Compliance-Berichten finden Sie unter Abschnitt Compliance in Security Command Center in der Google Cloud Console verwenden
Ergebnisdeaktivierung nach Abhilfe
Nachdem Sie eine Sicherheitslücke oder eine fehlerhafte Konfiguration behoben haben,
Security Command Center-Dienst, der das Ergebnis erkannt hat, wird automatisch festgelegt
den Status des Ergebnisses auf INACTIVE
, wenn der Erkennungsdienst das nächste Mal
nach dem Ergebnis suchen. Wie lange Security Command Center benötigt, um ein
Das korrigierte Ergebnis für INACTIVE
hängt vom Zeitplan des Scans ab, der
das Ergebnis erkennt.
Die Security Command Center-Dienste haben auch den Status einer Sicherheitslücke festgelegt.
oder eine fehlerhafte Konfiguration an INACTIVE
, wenn ein Scan erkennt,
Ressource, die vom Ergebnis betroffen ist, wird gelöscht.
Weitere Informationen zu Scanintervallen finden Sie in den folgenden Themen:
Ergebnisse von Security Health Analytics
Detektoren von Security Health Analytics überwachen einen Teil der Ressourcen aus Cloud Asset Inventory (CAI), wobei sie Benachrichtigungen über Ressourcenänderungen und Richtlinienänderungen der Identitäts- und Zugriffsverwaltung (IAM) erhalten. Einige Detektoren rufen Daten ab, indem sie Google Cloud APIs direkt aufrufen, wie in Tabellen weiter unten auf dieser Seite angegeben.
Weitere Informationen zu Security Health Analytics, Scanplänen und den Security Health Analytics unterstützt sowohl integrierte als auch benutzerdefinierte Moduldetektoren, Siehe Übersicht über Security Health Analytics.
In den folgenden Tabellen werden die Detektoren von Security Health Analytics, die unterstützten Assets und Compliance-Standards, die für Scans verwendeten Einstellungen und die generierten Ergebnistypen beschrieben. Sie können Ergebnisse nach verschiedenen Attributen filtern, indem Sie auf der Security Command Center-Seite Vulnerabilities (Sicherheitslücken) in der Google Cloud Console.
Anleitungen zum Beheben von Problemen und zum Schutz Ihrer Ressourcen finden Sie unter Probleme von Security Health Analytics beheben
Ergebnisse zu Sicherheitslücken beim API-Schlüssel
Der Detektor API_KEY_SCANNER
identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
API key APIs unrestricted
Kategoriename in der API: |
Ergebnisbeschreibung: API-Schlüssel werden zu häufig verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft das Attribut
|
API key apps unrestricted
Kategoriename in der API: |
Ergebnisbeschreibung: API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft des Attribut
|
API key exists
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft alle API-Schlüssel ab, die zu einem Projekt gehören.
|
API key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft den im Attribut
|
Ergebnisse zu Sicherheitslücken in Cloud Asset Inventory
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud Asset Inventory
Konfigurationen und gehören zum Typ CLOUD_ASSET_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Cloud Asset API disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Google Cloud-Ressourcen und IAM erfassen Richtlinien von Cloud Asset Inventory ermöglichen Sicherheitsanalysen, Nachverfolgung von Ressourcenänderungen und Compliance-Audits. Wir empfehlen, den Cloud Asset Inventory-Dienst für alle Projekte zu aktivieren. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der Cloud Asset Inventory-Dienst aktiviert ist.
|
Ergebnisse zu Sicherheitslücken bei Compute-Images
Der Detektor COMPUTE_IMAGE_SCANNER
identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Public Compute image
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Compute Engine-Image ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
Der COMPUTE_INSTANCE_SCANNER
-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.
COMPUTE_INSTANCE_SCANNER
-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Der Name solcher Instanzen beginnt mit "gke-" und kann von Nutzern nicht bearbeitet werden. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Confidential Computing disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Confidential Computing ist auf Compute Engine-Instanzen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Compute project wide SSH keys allowed
Kategoriename in der API: |
Ergebnisbeschreibung: Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
Compute Secure Boot disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen. Preisstufe: Premium Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Attribut
|
Compute serial ports enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Serielle Ports sind für eine Instanz aktiviert und ermöglichen Verbindungen zur seriellen Konsole der Instanz. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
Default service account used
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Disk CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Feld
|
Disk CSEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Sonderfalldetektor. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
Full API access
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft das Feld
|
HTTP load balancer
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Bestimmt, ob die Eigenschaft
|
IP forwarding enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die IP-Weiterleitung ist für Instanzen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
OS login disabled
Kategoriename in der API: |
Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
Public IP address
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz hat eine öffentliche IP-Adresse. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Shielded VM disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Auf dieser Instanz ist Shielded VM deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Weak SSL policy
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Instanz hat eine schwache SSL-Richtlinie. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob
|
Ergebnisse zu Container-Sicherheitslücken
Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Alpha cluster enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Alphacluster-Features sind für einen GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Auto repair disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das automatische Reparaturfeature eines GKE-Clusters, das Knoten in einem fehlerfreien, laufenden Zustand hält, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Auto upgrade disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Feature für automatische Upgrades eines GKE-Clusters, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Binary authorization disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Binärautorisierung ist entweder im GKE-Cluster oder im Die Richtlinie zur Binärautorisierung ist so konfiguriert, dass alle Images bereitgestellt werden können. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüfen Sie Folgendes:
|
Cluster logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Logging ist für einen GKE-Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Cluster monitoring disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Monitoring ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Cluster private Google access disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Clusterhosts sind nicht so konfiguriert, dass nur private interne IP-Adressen für den Zugriff auf Google APIs verwendet werden. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Cluster secrets encryption disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Cluster shielded nodes disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Shielded GKE-Knoten sind für einen Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
COS not used
Kategoriename in der API: |
Ergebnisbeschreibung: Compute Engine-VMs nutzen nicht Container-Optimzed OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Integrity monitoring disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Integritätsmonitoring ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Intranode visibility disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
IP alias disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Legacy authorization enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Legacy-Autorisierung ist in GKE-Clustern aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Legacy metadata enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Legacy-Metadaten sind für GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Master authorized networks disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Autorisierte Control Plane Authorized Networks ist in GKE-Clustern nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Network policy disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Netzwerkrichtlinie ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
Nodepool boot CMEK disabled
Kategoriename in der API: |
Beschreibung: Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Attribut
|
Nodepool secure boot disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Secure Boot ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Over privileged account
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkonto hat in einem Cluster übermäßig Zugriff auf das Projekt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Wertet das Attribut
|
Over privileged scopes
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Knotendienstkonto hat große Zugriffsbereiche. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der im Attribut config.oauthScopes eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich des Dienstkontos ist: https://www.googleapis.com/auth/devstorage.read_only , https://www.googleapis.com/auth/logging.write oder https://www.googleapis.com/auth/monitoring .
|
Pod security policy disabled
Kategoriename in der API: |
Ergebnisbeschreibung: PodSecurityPolicy ist in einem GKE-Cluster deaktiviert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Private cluster disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen GKE-Cluster ist ein privater Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Release channel disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein GKE-Cluster ist nicht auf eine Release-Version abonniert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Web UI enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die GKE-Web-UI (Dashboard) ist aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
Workload Identity disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Workload Identity ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Dataproc-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Dataproc und gehören zum Detektortyp DATAPROC_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Dataproc CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dataproc-Cluster wurde ohne Verschlüsselungskonfiguration erstellt CMEK. Bei CMEK verpacken Schlüssel, die Sie in Cloud Key Management Service erstellen und verwalten, die Schlüssel, Google Cloud verschlüsselt Ihre Daten und gibt Ihnen so mehr Kontrolle über den Zugriff auf Ihre Daten. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Dataproc image outdated
Kategoriename in der API: |
Ergebnis-Beschreibung: Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228) und CVE-2021-45046). Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft, ob das Feld
|
Ergebnisse zu Dataset-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
BigQuery table CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Dataset CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein BigQuery-Dataset ist nicht für die Verwendung eines standardmäßigen CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Public dataset
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dataset ist für den öffentlichen Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu DNS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
DNSSEC disabled
Kategoriename in der API: |
Ergebnisbeschreibung: DNSSEC ist für Cloud DNS-Zonen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
RSASHA1 for signing
Kategoriename in der API: |
Ergebnisbeschreibung: RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Objekt
|
Ergebnisse zu Firewall-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Egress deny rule not set
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Firewall wurde keine Regel für ausgehenden Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Firewall rule logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Logging von Firewallregeln ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open Cassandra port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CASSANDRA-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open ciscosecure websm port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open directory services port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DIRECTORY_SERVICE-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open DNS port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DNS-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open elasticsearch port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ELASTICSEARCH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open firewall
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie öffentlich zugänglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die Attribute
|
Open FTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen FTP-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open HTTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open LDAP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open Memcached port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open MongoDB port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open MySQL port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen MySQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open NetBIOS port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open OracleDB port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open pop3 port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open PostgreSQL port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open RDP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
Open Redis port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Open SMTP port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Open SSH port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Open Telnet port
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu IAM-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Access Transparency disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Google Cloud Access Transparency ist für Ihre Organisation deaktiviert. Access Transparency wenn Google Cloud-Mitarbeiter auf Projekte in Ihrer Organisation zugreifen, zu unterstützen. Aktivieren Sie Access Transparency, um zu protokollieren, wer von Google Cloud ist auf Ihre Informationen zugreifen, wann und warum. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob Access Transparency für Ihre Organisation aktiviert ist.
|
Admin service account
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkonto hat die Berechtigung Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle vom Nutzer erstellten Dienstkonten (angezeigt durch das Präfix iam.gserviceaccount.com), denen
|
Essential Contacts Not Configured
Kategoriename in der API: |
Ergebnisbeschreibung: Ihre Organisation hat keine Person oder Gruppe festgelegt, von der Benachrichtigungen gesendet werden sollen Google Cloud über wichtige Ereignisse wie Angriffe, Sicherheitslücken und Datenvorfälle informieren innerhalb Ihrer Google Cloud-Organisation. Wir empfehlen, dass Sie Wichtiger Kontakt: Eine oder mehrere Personen oder Gruppen in Ihrer Unternehmensorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob ein Kontakt für die folgenden wichtigen Kontaktkategorien angegeben ist:
|
KMS role separation
Kategoriename in der API: |
Ergebnisbeschreibung: Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) hat: CryptoKey-Verschlüsseler/Entschlüsseler, Entschlüsseler oder Verschlüsseler. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft IAM-Zulassungsrichtlinien in Ressourcenmetadaten und ruft Hauptkonten ab, denen gleichzeitig eine der folgenden Rollen zugewiesen ist: roles/cloudkms.cryptoKeyEncrypterDecrypter , roles/cloudkms.cryptoKeyEncrypter und roles/cloudkms.cryptoKeyDecrypter , roles/cloudkms.signer , roles/cloudkms.signerVerifier , roles/cloudkms.publicKeyViewer .
|
Non org IAM member
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 lösen derzeit nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Vergleicht @gmail.com-E-Mail-Adressen im Feld
|
Open group IAM member
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft die IAM-Richtlinie in Ressourcenmetadaten auf alle Bindungen, die ein Mitglied (Hauptkonto) mit dem Präfix group enthalten. Wenn die Gruppe eine offene Gruppe ist, generiert Security Health Analytics dieses Ergebnis.
|
Over privileged service account user
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene, statt für ein bestimmtes Dienstkonto. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf alle Hauptkonten, denen roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator auf Projektebene zugewiesen ist.
|
Primitive roles used
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat eine der folgenden einfachen Rollen:
Diese Rollen sind zu moderat und sollten nicht verwendet werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in der Ressource
für alle Hauptkonten, denen ein
|
Redis role used on org
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets
Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf Hauptkonten, denen
|
Service account role separation
Kategoriename in der API: |
Ergebnisbeschreibung: Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung". Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen sowohl roles/iam.serviceAccountUser als auch roles/iam.serviceAccountAdmin zugewiesen ist.
|
Service account key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Wertet den Zeitstempel der Schlüsselerstellung aus, der im Attribut
|
User managed service account key
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer verwaltet einen Dienstkontoschlüssel. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu KMS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
KMS key not rotated
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Verschlüsselungsschlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft Ressourcenmetadaten auf das Vorhandensein von
|
KMS project has owner
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Projektmetadaten auf Hauptkonten, denen
|
KMS public key
Kategoriename in der API: |
Ergebnisbeschreibung: Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Too many KMS users
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft IAM-Zulassungsrichtlinien auf Schlüsselbunde, Projekte und Organisationen und ruft Hauptkonten mit Rollen ab, mit denen sie Daten mithilfe von Cloud KMS-Schlüsseln verschlüsseln, entschlüsseln oder signieren können: roles/owner , roles/cloudkms.cryptoKeyEncrypterDecrypter , roles/cloudkms.cryptoKeyEncrypter , roles/cloudkms.cryptoKeyDecrypter , roles/cloudkms.signer und roles/cloudkms.signerVerifier .
|
Ergebnisse zu Logging-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Audit logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Audit-Logging wurde für diese Ressource deaktiviert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf das Vorhandensein eines
|
Bucket logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt einen Storage-Bucket ohne aktiviertes Logging. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Locked retention policy not set
Kategoriename in der API: |
Ergebnisbeschreibung: Für Logs ist keine gesperrte Aufbewahrungsrichtlinie festgelegt. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Log not exported
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Ressource ist keine geeignete Logsenke konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets
Compliance standards:
|
Ruft ein
|
Object versioning disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Ergebnisse zu Monitoring-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER
. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:
- Den
RecommendedLogFilter
, der beim Erstellen der Logmesswerte verwendet werden soll. - Die
QualifiedLogMetricNames
, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken. - Die
AlertPolicyFailureReasons
, die angeben, ob für das Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder ob die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Audit config not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Audit-Konfigurationsänderungen konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Bucket IAM not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen der Cloud Storage-IAM-Berechtigungen konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Custom role not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen benutzerdefinierter Rollen konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Firewall not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an VPC-Netzwerk-Firewallregeln konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Network not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Owner not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Route not monitored
Kategoriename in der API: |
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
SQL instance not monitored
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud SQL-Instanzen konfiguriert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Ergebnisse zur Multi-Faktor-Authentifizierung
Der MFA_SCANNER
-Detektor erkennt Sicherheitslücken bei der Multi-Faktor-Authentifizierung für Nutzer.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
MFA not enforced
Kategoriename in der API: |
Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. Sie können in Google Workspace einen Kulanzzeitraum für die Registrierung für neue Nutzer festlegen. in dem sie sich für die Bestätigung in zwei Schritten anmelden müssen. Dieser Detektor erstellt Ergebnisse für Nutzer während des Kulanzzeitraums für die Registrierung. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Wertet Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity aus.
|
Ergebnisse zu Netzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Default network
Kategoriename in der API: |
Ergebnisbeschreibung: Das Standardnetzwerk ist in einem Projekt vorhanden. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
DNS logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft alle
|
Legacy network
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Legacy-Netzwerk ist in einem Projekt vorhanden. Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs
|
Load balancer logging disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Logging ist für den Load-Balancer deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Sicherheitslücken in Organisationsrichtlinien
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Org policy Confidential VM policy
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing . Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien in Confidential VM durchsetzen.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft, ob das Attribut
|
Org policy location restriction
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Einschränkung constraints/gcp.resourceLocations . Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien durchsetzen.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Attribut
|
Unterstützte Assets für ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Protokollierung
Pub/Sub
Vertex AI
Artifact Registry 1 Da Cloud KMS-Assets nicht gelöscht werden können, gilt das Asset nicht als außerhalb der Region, wenn die Daten des Assets zerstört wurden. 2 Da Cloud KMS-Importjobs einen gesteuerten Lebenszyklus haben und nicht vorzeitig beendet werden können, gilt ein ImportJob nicht als außerhalb der Region, wenn er abgelaufen ist und nicht mehr verwendet werden kann, um Schlüssel zu importieren. 3 Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, gilt ein Job nicht als außerhalb der Region, wenn er einen Endstatus (beendet oder per Drain beendet) erreicht hat, in dem er nicht mehr zur Verarbeitung von Daten verwendet werden kann. |
Pub/Sub-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Pub/Sub-Konfigurationen und gehören zum Typ PUBSUB_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Pubsub CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Feld
|
Ergebnisse zu SQL-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
AlloyDB auto backup disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen AlloyDB for PostgreSQL-Cluster sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Überprüft, ob der
|
AlloyDB backups disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Für einen AlloyDB for PostgreSQL-Cluster sind keine Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob
|
AlloyDB CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein AlloyDB-Cluster ist nicht verschlüsselt mit vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs). Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
AlloyDB log min error statement severity
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine ausreichende Abdeckung der Nachrichtentypen in den Logs sicherzustellen, wird ein Ergebnis ausgegeben, wenn das Ereignis
Das Feld
|
AlloyDB log min messages
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine ausreichende Abdeckung der Nachrichtentypen in den Logs sicherzustellen, wird ein Ergebnis ausgegeben, wenn das Ereignis
Das Feld
|
AlloyDB log error verbosity
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine ausreichende Abdeckung der Nachrichtentypen in den Logs sicherzustellen, wird ein Ergebnis ausgegeben, wenn das Ereignis
Das Feld
|
AlloyDB public IP
Kategoriename in der API: |
Ergebnisbeschreibung: Eine AlloyDB for PostgreSQL-Datenbankinstanz hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
AlloyDB SSL not enforced
Kategoriename in der API: |
Ergebnisbeschreibung: Eine AlloyDB for PostgreSQL-Datenbankinstanz dass nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüfen Sie, ob das Attribut
|
Auto backup disabled
Kategoriename in der API: |
Ergebnisbeschreibung: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Public SQL instance
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob für das Attribut
|
SSL not enforced
Kategoriename in der API: |
Ergebnisbeschreibung: Für eine Cloud SQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
SQL CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Eine SQL-Datenbankinstanz wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Feld
|
SQL contained database authentication
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL cross DB ownership chaining
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL external scripts enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL local infile
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log checkpoints disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log connections disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log disconnections disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log duration disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log error verbosity
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log lock waits disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log min duration statement enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL log min error statement
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
SQL log min error statement severity
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log min messages
Kategoriename in der API: |
Ergebnisbeschreibung:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine ausreichende Abdeckung der Nachrichtentypen in den Logs sicherzustellen, wird ein Ergebnis ausgegeben, wenn das Ereignis
Das Feld
|
SQL log executor stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log hostname enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log parser stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log planner stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log statement
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log statement stats enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
SQL log temp files
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL no root password
Kategoriename in der API: |
Ergebnisbeschreibung:Eine Cloud SQL-Datenbank mit dass eine öffentliche IP-Adresse das für das Root-Konto konfiguriert ist. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
SQL public IP
Kategoriename in der API: |
Ergebnisbeschreibung: Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der IP-Adresstyp einer Cloud SQL-Datenbank auf
|
SQL remote access enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL skip show database disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL trace flag 3625
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL user connections configured
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL user options configured
Kategoriename in der API: |
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
SQL weak root password
Kategoriename in der API: |
Ergebnisbeschreibung:Eine Cloud SQL-Datenbank mit Eine öffentliche IP-Adresse hat auch ein schwaches Passwort für das Root-Konto konfiguriert ist. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Vergleicht das Passwort für das Root-Konto der Cloud SQL-Datenbank mit einer Liste gängiger Passwörter.
|
Ergebnisse zu Speichersicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Bucket CMEK disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüft das Feld
|
Bucket policy only disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Der einheitliche Zugriff auf Bucket-Ebene, zuvor "Nur Bucket-Richtlinie" genannt, ist nicht konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Public bucket ACL
Kategoriename in der API: |
Ergebnisbeschreibung: Ein Cloud Storage-Bucket ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets auf
öffentliche Rollen,
|
Public log bucket
Kategoriename in der API: |
Ergebnisbeschreibung: Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets für die Hauptkonten
|
Ergebnisse zu Subnetzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER
.
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
Flow logs disabled
Kategoriename in der API: |
Ergebnisbeschreibung: In einem VPC-Subnetzwerk sind Flusslogs deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Flow logs settings not recommended
Kategoriename in der API: |
Ergebnisbeschreibung: In einem VPC-Subnetzwerk sind VPC-Flusslogs entweder deaktiviert oder nicht gemäß CIS Benchmark 1.3-Empfehlungen konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Private Google access disabled
Kategoriename in der API: |
Ergebnisbeschreibung: Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
AWS-Ergebnisse
Detektor | Fazit | Asset-Scaneinstellungen |
---|---|---|
AWS Cloud Shell Full Access Restricted
Kategoriename in der API: |
Ergebnisbeschreibung: AWS Cloud Shell ist eine bequeme Möglichkeit, CLI-Befehle für AWS-Dienste auszuführen. Eine verwaltete IAM-Richtlinie („AWSCloudShellFullAccess“) bietet vollständigen Zugriff auf Cloud Shell und ermöglicht das Hochladen und Herunterladen von Dateien zwischen dem lokalen System eines Nutzers und der CloudShell-Umgebung. In der Cloud Shell-Umgebung verfügt ein Nutzer über sudo-Berechtigungen und kann auf das Internet zugreifen. Es ist also möglich, Software zur Dateiübertragung zu installieren und Daten von Cloud Shell auf externe Internetserver zu verschieben. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass der Zugriff auf AWSCloudShellFullAccess eingeschränkt ist
|
Access Keys Rotated Every 90 Days or Less
Kategoriename in der API: |
Ergebnisbeschreibung: Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, mit denen programmatische Anfragen an AWS signiert werden. AWS-Nutzer benötigen eigene Zugriffsschlüssel, um programmatische Aufrufe an AWS über die AWS-Befehlszeile (AWS CLI), Tools for Windows PowerShell, die AWS SDKs oder direkte HTTP-Aufrufe mithilfe der APIs für einzelne AWS-Dienste auszuführen. Es wird empfohlen, alle Zugriffsschlüssel regelmäßig zu rotieren. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass Zugriffsschlüssel mindestens alle 90 Tage rotiert werden
|
All Expired Ssl Tls Certificates Stored Aws Iam Removed
Kategoriename in der API: |
Ergebnisbeschreibung: Um HTTPS-Verbindungen zu Ihrer Website oder Anwendung in AWS zu ermöglichen, benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können ACM oder IAM verwenden, um Serverzertifikate zu speichern und bereitzustellen. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass alle abgelaufenen SSL-/TLS-Zertifikate entfernt werden, die in AWS IAM gespeichert sind
|
Autoscaling Group Elb Healthcheck Required
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob Ihre Autoscaling-Gruppen, die mit einem Load-Balancer verknüpft sind, Systemdiagnosen des Elastic Load Balancing verwenden. Dadurch wird sichergestellt, dass die Gruppe den Zustand einer Instanz anhand zusätzlicher Tests ermitteln kann, die vom Load-Balancer bereitgestellt werden. Die Verwendung von Systemdiagnosen für Elastic Load Balancing kann die Verfügbarkeit von Anwendungen unterstützen, die EC2-Autoscaling-Gruppen verwenden. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob alle mit einem Load Balancer verknüpften Autoscaling-Gruppen Systemdiagnosen verwenden
|
Auto Minor Version Upgrade Feature Enabled Rds Instances
Kategoriename in der API: |
Ergebnisbeschreibung: Achten Sie darauf, dass für RDS-Datenbankinstanzen das Flag „Auto Minor Version Upgrade“ (Automatisches Nebenversionsupgrade) aktiviert ist, damit während des angegebenen Wartungsfensters automatisch Nebenversionen von Engine-Upgrades erhalten werden. So können RDS-Instanzen die neuen Funktionen, Fehlerkorrekturen und Sicherheitspatches für ihre Datenbankmodule erhalten. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass das automatische Upgrade von Nebenversionen für RDS-Instanzen aktiviert ist
|
Aws Config Enabled All Regions
Kategoriename in der API: |
Ergebnisbeschreibung: AWS Config ist ein Webdienst, der die Konfigurationsverwaltung unterstützter AWS-Ressourcen in Ihrem Konto ausführt und Ihnen Protokolldateien bereitstellt. Die aufgezeichneten Informationen umfassen das Konfigurationselement (AWS-Ressource), Beziehungen zwischen Konfigurationselementen (AWS-Ressourcen) und alle Konfigurationsänderungen zwischen Ressourcen. Es wird empfohlen, AWS Config in allen Regionen zu aktivieren. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass AWS Config in allen Regionen aktiviert ist
|
Aws Security Hub Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Der Sicherheits-Hub erfasst Sicherheitsdaten aus AWS-Konten, -Diensten und unterstützten Produkten von Drittanbietern. So können Sie Ihre Sicherheitstrends analysieren und Sicherheitsprobleme mit der höchsten Priorität ermitteln. Wenn Sie Security Hub aktivieren, beginnt er damit, Ergebnisse aus von Ihnen aktivierten AWS-Diensten wie Amazon GuardDuty, Amazon Inspector und Amazon Macie zu verarbeiten, zu aggregieren, zu organisieren und zu priorisieren. Sie können auch Integrationen in Sicherheitsprodukte von AWS-Partnern aktivieren. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass AWS Security Hub aktiviert ist
|
Cloudtrail Logs Encrypted Rest Using Kms Cmks
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe für ein Konto aufzeichnet und diese Logs Nutzern und Ressourcen gemäß IAM-Richtlinien zur Verfügung stellt. AWS Key Management Service (KMS) ist ein verwalteter Dienst, mit dem Sie die Verschlüsselungsschlüssel erstellen und steuern können, die zum Verschlüsseln von Kontodaten verwendet werden. Außerdem werden Hardwaresicherheitsmodule (HSMs) verwendet, um die Sicherheit von Verschlüsselungsschlüsseln zu schützen. CloudTrail-Logs können so konfiguriert werden, dass sie die serverseitige Verschlüsselung (SSE) und vom Kunden erstellte KMS-Masterschlüssel (Customer-Managed Master Keys, CMK) nutzen, um CloudTrail-Logs weiter zu schützen. Es wird empfohlen, CloudTrail für die Verwendung von SSE-KMS zu konfigurieren. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass CloudTrail-Logs im Ruhezustand mit KMS-CMKs verschlüsselt werden
|
Cloudtrail Log File Validation Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Bei der Validierung der CloudTrail-Logdatei wird eine digital signierte Digestdatei erstellt, die einen Hash jedes Logs enthält, das CloudTrail in S3 schreibt. Diese Digest-Dateien können verwendet werden, um festzustellen, ob eine Logdatei nach der Bereitstellung des Logs durch CloudTrail geändert, gelöscht oder unverändert wurde. Es wird empfohlen, die Dateivalidierung für alle CloudTrails zu aktivieren. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass die Validierung der CloudTrail-Logdatei aktiviert ist
|
Cloudtrail Trails Integrated Cloudwatch Logs
Kategoriename in der API: |
Ergebnisbeschreibung: AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe in einem bestimmten AWS-Konto aufzeichnet. Die aufgezeichneten Informationen umfassen die Identität des API-Aufrufers, den Zeitpunkt des API-Aufrufs, die Quell-IP-Adresse des API-Aufrufers, die Anfrageparameter und die vom AWS-Dienst zurückgegebenen Antwortelemente. CloudTrail verwendet Amazon S3 für die Speicherung und Übermittlung von Logdateien, sodass die Protokolldateien dauerhaft gespeichert werden. Neben der Erfassung von CloudTrail-Logs in einem bestimmten S3-Bucket zur Langzeitanalyse kann eine Echtzeitanalyse durchgeführt werden. Dazu muss CloudTrail so konfiguriert werden, dass Logs an CloudWatch-Logs gesendet werden. Für einen Weg, der in allen Regionen in einem Konto aktiviert ist, sendet CloudTrail Logdateien aus allen diesen Regionen an eine CloudWatch-Log-Loggruppe. Es wird empfohlen, CloudTrail-Logs an CloudWatch-Logs zu senden. Hinweis: Mit dieser Empfehlung soll sichergestellt werden, dass die AWS-Kontoaktivitäten erfasst, überwacht und entsprechend gemeldet werden. CloudWatch Logs bietet hierfür eine native Möglichkeit mithilfe von AWS-Diensten, schließt die Verwendung einer alternativen Lösung jedoch nicht aus. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass CloudTrail-Pfade in CloudWatch-Logs eingebunden sind
|
Cloudwatch Alarm Action Check
Kategoriename in der API: |
Ergebnisbeschreibung: Hiermit wird geprüft, ob bei Amazon Cloudwatch Aktionen definiert wurden, wenn ein Alarm zwischen den Status „OK“ und „ALARM“ wechselt und "INSUFFICIENT_DATA". Die Konfiguration von Aktionen für den ALARM-Status in Amazon CloudWatch-Alarmen ist sehr wichtig, um eine sofortige Reaktion auszulösen, wenn Schwellenwerte für überwachte Metriken überschritten werden. Wecker haben mindestens eine Aktion. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob für CloudWatch-Alarme mindestens eine Alarmaktion, eine INSUFFICIENT_DATA-Aktion oder eine OK-Aktion aktiviert ist.
|
Cloudwatch Log Group Encrypted
Kategoriename in der API: |
Ergebnisbeschreibung: Durch diese Prüfung wird sichergestellt, dass CloudWatch-Logs mit KMS konfiguriert sind. Loggruppendaten werden immer in CloudWatch-Logs verschlüsselt. Standardmäßig verwendet CloudWatch Logs für die inaktiven Logdaten die serverseitige Verschlüsselung. Alternativ können Sie AWS Key Management Service für diese Verschlüsselung verwenden. In diesem Fall erfolgt die Verschlüsselung mit einem AWS KMS-Schlüssel. Die Verschlüsselung mit AWS KMS ist auf Loggruppenebene aktiviert. Dazu wird ein KMS-Schlüssel mit einer Loggruppe verknüpft, entweder beim Erstellen der Loggruppe oder nachdem sie vorhanden ist. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob alle Loggruppen in Amazon CloudWatch-Logs mit KMS verschlüsselt sind
|
CloudTrail CloudWatch Logs Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Diese Steuerung prüft, ob CloudTrail-Pfade für das Senden von Logs an CloudWatch-Logs konfiguriert sind. Das Steuerelement schlägt fehl, wenn die Eigenschaft „CloudWatchLogsLogGroupArn“ des Pfads leer ist. CloudTrail zeichnet AWS API-Aufrufe auf, die in einem bestimmten Konto ausgeführt werden. Die aufgezeichneten Informationen umfassen Folgendes:
CloudTrail verwendet Amazon S3 zum Speichern und Bereitstellen von Logdateien. Sie können CloudTrail-Logs zur Langzeitanalyse in einem bestimmten S3-Bucket erfassen. Für Echtzeitanalysen können Sie CloudTrail so konfigurieren, dass Logs an CloudWatch-Logs gesendet werden. Für einen Weg, der in allen Regionen in einem Konto aktiviert ist, sendet CloudTrail Protokolldateien aus allen diesen Regionen an eine CloudWatch Logs-Loggruppe. Der Sicherheits-Hub empfiehlt, CloudTrail-Logs an CloudWatch-Logs zu senden. Mit dieser Empfehlung soll sichergestellt werden, dass Kontoaktivitäten erfasst, überwacht und entsprechend gemeldet werden. Sie können CloudWatch-Logs verwenden, um dies mit Ihren AWS-Diensten einzurichten. Diese Empfehlung schließt nicht aus, dass eine andere Lösung verwendet werden kann. Das Senden von CloudTrail-Logs an CloudWatch-Logs ermöglicht das Logging von Aktivitäten in Echtzeit und des Verlaufs basierend auf Nutzer, API, Ressource und IP-Adresse. Auf diese Weise können Sie Alarme und Benachrichtigungen für ungewöhnliche oder empfindliche Kontoaktivitäten einrichten. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob alle CloudTrail-Pfade für das Senden von Logs an AWS CloudWatch konfiguriert sind
|
No AWS Credentials in CodeBuild Project Environment Variables
Kategoriename in der API: |
Ergebnisbeschreibung: Damit wird geprüft, ob das Projekt die Umgebungsvariablen Die Anmeldedaten für die Authentifizierung Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob alle Projekte, die die Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY enthalten, nicht im Klartext vorliegen
|
Codebuild Project Source Repo Url Check
Kategoriename in der API: |
Ergebnisbeschreibung: Damit wird geprüft, ob die Bitbucket-Quell-Repository-URL eines AWS CodeBuild-Projekts persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Die Kontrolle schlägt fehl, wenn die Bitbucket-Quell-Repository-URL persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Anmeldedaten sollten nicht im Klartext gespeichert oder übertragen werden und nicht in der URL des Quell-Repositorys erscheinen. Anstelle von persönlichen Zugriffstokens oder Anmeldedaten sollten Sie in CodeBuild auf Ihren Quellanbieter zugreifen und die URL des Quell-Repositorys so ändern, dass sie nur den Pfad zum Speicherort des Bitbucket-Repositorys enthält. Die Verwendung von persönlichen Zugriffstokens oder Anmeldedaten kann zu unbeabsichtigten Datenlecks oder unbefugtem Zugriff führen. Preisstufe: Unternehmen Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüfen Sie, ob alle Projekte, die GitHub oder Bitbucket als Quelle nutzen, OAuth verwenden
|
Credentials Unused 45 Days Greater Disabled
Kategoriename in der API: |
Ergebnisbeschreibung: AWS IAM-Nutzer können mit verschiedenen Arten von Anmeldedaten auf AWS-Ressourcen zugreifen, z. B. Passwörter oder Zugriffsschlüssel. Es wird empfohlen, alle Anmeldedaten, die in den letzten 45 Tagen nicht verwendet wurden, zu deaktivieren oder zu entfernen. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass Anmeldedaten, die seit mindestens 45 Tagen nicht verwendet wurden, deaktiviert werden
|
Default Security Group Vpc Restricts All Traffic
Kategoriename in der API: |
Ergebnisbeschreibung: Eine VPC umfasst eine Standardsicherheitsgruppe, deren Anfangseinstellungen den gesamten eingehenden Traffic ablehnen, den gesamten ausgehenden Traffic zulassen und den gesamten Traffic zwischen Instanzen zulassen, die der Sicherheitsgruppe zugewiesen sind. Wenn Sie beim Starten einer Instanz keine Sicherheitsgruppe angeben, wird die Instanz automatisch dieser Standardsicherheitsgruppe zugewiesen. Sicherheitsgruppen bieten eine zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, den gesamten Traffic durch die Standard-Sicherheitsgruppe einzuschränken. Die Standard-VPC in jeder Region sollte entsprechend aktualisiert werden. Alle neu erstellten VPCs enthalten automatisch eine Standardsicherheitsgruppe, die behoben werden muss, um dieser Empfehlung zu entsprechen. HINWEIS:Bei der Implementierung dieser Empfehlung ist das VPC-Fluss-Logging von unschätzbarem Wert, um den Portzugriff mit den geringsten Berechtigungen zu bestimmen, der für ein ordnungsgemäßes Funktionieren der Systeme erforderlich ist, da es alle Annahmen und Ablehnungen von Paketen unter den aktuellen Sicherheitsgruppen protokollieren kann. Dies reduziert die primäre Hürde für das Engineering mit den geringsten Berechtigungen erheblich: Es werden die von Systemen in der Umgebung benötigte Mindestanzahl von Ports ermittelt. Auch wenn die Empfehlung für das VPC-Fluss-Logging in dieser Benchmark nicht als dauerhafte Sicherheitsmaßnahme übernommen wird, sollte sie während jeder Phase der Erkennung und Entwicklung für Sicherheitsgruppen mit den geringsten Berechtigungen verwendet werden. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt
|
Dms Replication Not Public
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob AWS DMS-Replikationsinstanzen öffentlich sind. Dazu wird der Wert des Felds Eine private Replikationsinstanz hat eine private IP-Adresse, auf die Sie außerhalb des Replikationsnetzwerks nicht zugreifen können. Eine Replikationsinstanz sollte eine private IP-Adresse haben, wenn sich die Quell- und die Zieldatenbank im selben Netzwerk befinden. Das Netzwerk muss außerdem über VPN, AWS Direct Connect oder VPC-Peering mit der VPC der Replikationsinstanz verbunden sein. Weitere Informationen zu öffentlichen und privaten Replikationsinstanzen finden Sie unter Öffentliche und private Replikationsinstanzen im Nutzerhandbuch für den AWS Database Migration Service. Achten Sie außerdem darauf, dass nur autorisierte Nutzer Zugriff auf die Konfiguration Ihrer AWS DMS-Instanz haben. Schränken Sie dazu die IAM-Berechtigungen zum Ändern von AWS DMS-Einstellungen und -Ressourcen. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob Replikationsinstanzen von AWS Database Migration Service öffentlich sind
|
Do Setup Access Keys During Initial User Setup All Iam Users Console
Kategoriename in der API: |
Ergebnisbeschreibung: In der AWS-Konsole sind beim Erstellen eines neuen IAM-Nutzers standardmäßig keine Kästchen ausgewählt. Beim Erstellen der IAM-Nutzeranmeldedaten müssen Sie festlegen, welche Art von Zugriff sie benötigen. Programmatischer Zugriff: Der IAM-Nutzer muss möglicherweise API-Aufrufe ausführen, die AWS CLI oder die Tools for Windows PowerShell verwenden. Erstellen Sie in diesem Fall einen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für diesen Nutzer. Zugriff auf AWS Management Console: Wenn der Nutzer Zugriff auf die AWS Management Console benötigt, erstellen Sie ein Passwort für den Nutzer. Preisstufe: Unternehmen Compliance standards:
|
Richten Sie während der anfänglichen Nutzereinrichtung für alle IAM-Nutzer, die ein Console-Passwort haben, keine Zugriffsschlüssel ein
|
Dynamodb Autoscaling Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob eine Amazon DynamoDB-Tabelle ihre Lese- und Schreibkapazität nach Bedarf skalieren kann. Diese Steuerung gilt, wenn die Tabelle entweder den On-Demand-Kapazitätsmodus oder den Bereitstellungsmodus mit konfiguriertem Autoscaling verwendet. Durch die bedarfsgerechte Skalierung der Kapazität werden Ausnahmen gedrosselt, wodurch die Verfügbarkeit Ihrer Anwendungen aufrechterhalten wird. DynamoDB-Tabellen im On-Demand-Kapazitätsmodus werden nur durch die Standardtabellenkontingente für den DynamoDB-Durchsatz begrenzt. Wenn Sie diese Kontingente erhöhen möchten, können Sie ein Support-Ticket über den AWS-Support einreichen. DynamoDB-Tabellen im bereitgestellten Modus mit Autoscaling passen die bereitgestellte Durchsatzkapazität dynamisch in Reaktion auf Traffic-Muster an. Weitere Informationen zur DynamoDB-Anfragedrosselung finden Sie im Amazon DynamoDB-Entwicklerhandbuch unter „Anfragedrosselung und Burst-Kapazität“. Preisstufe: Unternehmen Compliance standards:
|
DynamoDB-Tabellen sollten die Kapazität gemäß Nachfrage automatisch skalieren
|
Dynamodb In Backup Plan
Kategoriename in der API: |
Ergebnisbeschreibung: Mit diesem Steuerelement wird ausgewertet, ob eine DynamoDB-Tabelle durch einen Sicherungsplan abgedeckt ist. Die Steuerung schlägt fehl, wenn eine DynamoDB-Tabelle nicht durch einen Sicherungsplan abgedeckt ist. Mit diesem Steuerelement werden nur DynamoDB-Tabellen im Status AKTIV ausgewertet. Sicherungen helfen Ihnen bei der schnelleren Wiederherstellung nach einem Sicherheitsvorfall. Außerdem stärken sie die Ausfallsicherheit Ihrer Systeme. Wenn Sie DynamoDB-Tabellen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen. Preisstufe: Unternehmen Compliance standards:
|
Für DynamoDB-Tabellen sollte es einen Sicherungsplan geben
|
Dynamodb Pitr Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Wiederherstellung zu einem bestimmten Zeitpunkt ist einer der verfügbaren Mechanismen zum Sichern von DynamoDB-Tabellen. Eine Sicherung zu einem bestimmten Zeitpunkt wird 35 Tage lang gespeichert. Wenn Sie eine längere Aufbewahrung benötigen, lesen Sie in der AWS-Dokumentation den Abschnitt Geplante Sicherungen für Amazon DynamoDB mit AWS Backup einrichten. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob die Wiederherstellung zu einem bestimmten Zeitpunkt für alle AWS DynamoDB-Tabellen aktiviert ist
|
Dynamodb Table Encrypted Kms
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob alle DynamoDB-Tabellen mit einem vom Kunden verwalteten KMS-Schlüssel (nicht standardmäßig) verschlüsselt sind. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob alle DynamoDB-Tabellen mit AWS Key Management Service (KMS) verschlüsselt sind
|
Ebs Optimized Instance
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die EBS-Optimierung für die EBS-optimierbaren EC2-Instanzen aktiviert ist Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob die EBS-Optimierung für alle Instanzen aktiviert ist, die diese unterstützen
|
Ebs Snapshot Public Restorable Check
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Kontrolle schlägt fehl, wenn Amazon EBS-Snapshots von jemandem wiederhergestellt werden können. EBS-Snapshots werden verwendet, um die Daten auf Ihren EBS-Volumes zu einem bestimmten Zeitpunkt in Amazon S3 zu sichern. Sie können die Snapshots verwenden, um vorherige Status von EBS-Volumes wiederherzustellen. Es ist selten akzeptabel, eine Momentaufnahme mit der Öffentlichkeit zu teilen. In der Regel wurde die Entscheidung, einen Snapshot öffentlich freizugeben, irrtümlicherweise oder ohne umfassende Kenntnisse über die Auswirkungen getroffen. So wird sichergestellt, dass das Teilen dieser Inhalte vollständig geplant und beabsichtigt war. Preisstufe: Unternehmen Compliance standards:
|
Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein
|
Ebs Volume Encryption Enabled All Regions
Kategoriename in der API: |
Ergebnisbeschreibung: Elastic Compute Cloud (EC2) unterstützt die Verschlüsselung ruhender Daten, wenn der Elastic Block Store-Dienst (EBS) verwendet wird. Wenn diese Option standardmäßig deaktiviert ist, wird das Erzwingen der Verschlüsselung bei der Erstellung eines EBS-Volumes unterstützt. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass die EBS-Volume-Verschlüsselung in allen Regionen aktiviert ist
|
Ec2 Instances In Vpc
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon VPC bietet mehr Sicherheitsfunktionen als EC2 Classic. Es wird empfohlen, dass alle Knoten zu einer Amazon VPC gehören. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass alle Instanzen zu einer VPC gehören
|
Ec2 Instance No Public Ip
Kategoriename in der API: |
Ergebnisbeschreibung: Bei EC2-Instanzen mit öffentlicher IP-Adresse besteht ein erhöhtes Risiko einer Manipulation. Es wird empfohlen, EC2-Instanzen nicht mit einer öffentlichen IP-Adresse zu konfigurieren. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass keine Instanz eine öffentliche IP-Adresse hat
|
Ec2 Managedinstance Association Compliance Status Check
Kategoriename in der API: |
Ergebnisbeschreibung: Eine State Manager-Verknüpfung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. Die Konfiguration definiert den Status, den Sie auf Ihren Instanzen beibehalten möchten. Beispielsweise kann eine Verknüpfung angeben, dass auf Ihren Instanzen Antivirensoftware installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen werden müssen. EC2-Instanzen, die eine Verknüpfung mit AWS Systems Manager haben, werden von Systems Manager verwaltet, was das Anwenden von Patches, das Beheben von Fehlkonfigurationen und das Reagieren auf Sicherheitsereignisse erleichtert. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie den Compliancestatus der AWS Systems Manager-Verknüpfung
|
Ec2 Managedinstance Patch Compliance Status Check
Kategoriename in der API: |
Ergebnisbeschreibung: Mit diesem Steuerelement wird geprüft, ob der Status der AWS Systems Manager-Verknüpfungscompliance COMPLIANT oder NON_COMPLIANT ist, nachdem die Verknüpfung auf einer Instanz ausgeführt wurde. Die Steuerung schlägt fehl, wenn der Compliancestatus der Verknüpfung NON_COMPLIANT ist. Eine State Manager-Verknüpfung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. Die Konfiguration definiert den Status, den Sie auf Ihren Instanzen beibehalten möchten. Beispielsweise kann eine Verknüpfung angeben, dass auf Ihren Instanzen Antivirensoftware installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen werden müssen. Nachdem Sie eine oder mehrere State Manager-Verknüpfungen erstellt haben, stehen Ihnen sofort Informationen zum Compliancestatus zur Verfügung. Sie können den Compliancestatus in der Console oder als Reaktion auf AWS CLI-Befehle oder entsprechende Systems Manager API-Aktionen ansehen. Bei Verknüpfungen wird unter „Konfigurationscompliance“ der Compliancestatus angezeigt („Konform“ oder „Nicht konform“). Außerdem wird der Schweregrad angezeigt, der der Verknüpfung zugewiesen ist, z. B. „Kritisch“ oder „Mittel“. Weitere Informationen zur Compliance der State Manager-Verknüpfung finden Sie im AWS Systems Manager-Nutzerhandbuch unter Informationen zur Einhaltung der State Manager-Verknüpfung. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie den Status der AWS Systems Manager-Patchcompliance
|
Ec2 Metadata Service Allows Imdsv2
Kategoriename in der API: |
Ergebnisbeschreibung: Beim Aktivieren des Metadatendienstes auf AWS EC2-Instanzen können Nutzer entweder den Instanzmetadatendienst Version 1 (IMDSv1; eine Anfrage/Antwort-Methode) oder den Instanzmetadatendienst Version 2 (IMDSv2; eine sitzungsorientierte Methode) verwenden. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass der EC2-Metadatendienst nur IMDSv2 zulässt
|
Ec2 Volume Inuse Check
Kategoriename in der API: |
Ergebnisbeschreibung: Erkennen und Entfernen nicht angehängter (nicht verwendeter) Elastic Block Store-Volumes (EBS-Volumes) in Ihrem AWS-Konto, um die Kosten Ihrer monatlichen AWS-Rechnung zu senken. Das Löschen nicht verwendeter EBS-Volumes verringert auch das Risiko, dass vertrauliche/sensible Daten Ihr Unternehmen verlassen. Außerdem prüft diese Steuerung auch, ob archivierte EC2-Instanzen zum Löschen von Volumes bei der Beendigung konfiguriert sind. EC2-Instanzen sind standardmäßig so konfiguriert, dass sie die Daten in allen mit der Instanz verknüpften EBS-Volumes und das Root-EBS-Volume der Instanz löschen. Alle Nicht-Root-EBS-Volumes, die beim Start oder während der Ausführung an die Instanz angehängt sind, bleiben jedoch standardmäßig nach der Beendigung erhalten. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob EBS-Volumes an EC2-Instanzen angehängt und zum Löschen bei Instanzbeendigung konfiguriert sind
|
Efs Encrypted Check
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon EFS unterstützt zwei Formen der Verschlüsselung für Dateisysteme: die Verschlüsselung von Daten bei der Übertragung und die Verschlüsselung ruhender Daten. Dadurch wird geprüft, ob für alle EFS-Dateisysteme die Verschlüsselung ruhender Daten für alle aktivierten Regionen im Konto konfiguriert ist. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob EFS zum Verschlüsseln von Dateidaten mit KMS konfiguriert ist
|
Efs In Backup Plan
Kategoriename in der API: |
Ergebnisbeschreibung: In den Best Practices für Amazon wird empfohlen, Sicherungen für Ihre Elastic File Systems (EFS) zu konfigurieren. Dadurch wird in allen EFS in jeder aktivierten Region in Ihrem AWS-Konto nach aktivierten Sicherungen gesucht. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob EFS-Dateisysteme in AWS-Sicherungsplänen enthalten sind
|
Elb Acm Certificate Required
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob der klassische Load Balancer HTTPS/SSL-Zertifikate verwendet, die von AWS Certificate Manager (ACM) bereitgestellt werden. Die Steuerung schlägt fehl, wenn der mit dem HTTPS/SSL-Listener konfigurierte klassische Load Balancer kein von ACM bereitgestelltes Zertifikat verwendet. Zum Erstellen eines Zertifikats können Sie entweder ACM oder ein Tool verwenden, das die SSL- und TLS-Protokolle unterstützt, z. B. OpenSSL. Security Hub empfiehlt, dass Sie ACM verwenden, um Zertifikate für Ihren Load-Balancer zu erstellen oder zu importieren. ACM lässt sich in klassische Load Balancer einbinden, sodass Sie das Zertifikat auf Ihrem Load Balancer bereitstellen können. Außerdem sollten Sie diese Zertifikate automatisch verlängern. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob alle klassischen Load Balancer SSL-Zertifikate verwenden, die von AWS Certificate Manager bereitgestellt wurden
|
Elb Deletion Protection Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob für einen Application Load Balancer der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn der Löschschutz nicht konfiguriert ist. Aktivieren Sie den Löschschutz, um den Application Load Balancer vor dem Löschen zu schützen. Preisstufe: Unternehmen Compliance standards:
|
Der Löschschutz für Application Load Balancer sollte aktiviert sein
|
Elb Logging Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob Logging für den Application Load Balancer und den klassischen Load Balancer aktiviert ist. Die Steuerung schlägt fehl, wenn access_logs.s3.enabled auf „false“ gesetzt ist. Elastic Load Balancing bietet Zugriffslogs, die detaillierte Informationen über Anfragen erfassen, die an Ihren Load-Balancer gesendet werden. Jedes Protokoll enthält Informationen wie die Uhrzeit, zu der die Anfrage eingegangen ist, die IP-Adresse des Clients, Latenzen, Anfragepfade und Serverantworten. Sie können diese Zugriffslogs verwenden, um Traffic-Muster zu analysieren und Probleme zu beheben. Weitere Informationen finden Sie unter Zugriffslogs für Ihren klassischen Load Balancer im Nutzerhandbuch für klassische Load Balancer. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob Logging für klassische und Application Load Balancer aktiviert ist
|
Elb Tls Https Listeners Only
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Prüfung wird sichergestellt, dass alle klassischen Load Balancer für die Verwendung einer sicheren Kommunikation konfiguriert sind. Ein Listener ist ein Prozess, der nach Verbindungsanfragen sucht. Sie ist mit einem Protokoll und einem Port für Frontend-Verbindungen (Client zu Load-Balancer) sowie einem Protokoll und einem Port für Backend-Verbindungen (Load-Balancer zu Instanz) konfiguriert. Informationen zu den Ports, Protokollen und Listener-Konfigurationen, die von Elastic Load Balancing unterstützt werden, finden Sie unter Listener für Ihren klassischen Load Balancer. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob SSL- oder HTTPS-Listener für alle klassischen Load Balancer konfiguriert sind
|
Encrypted Volumes
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die angehängten EBS-Volumes verschlüsselt sind. Um diese Prüfung zu bestehen, müssen EBS-Volumes aktiv und verschlüsselt sein. Wenn das EBS-Volume nicht angehängt ist, unterliegt es dieser Prüfung nicht. Für eine zusätzliche Sicherheitsebene der sensiblen Daten in EBS-Volumes sollten Sie die EBS-Verschlüsselung inaktiver Daten aktivieren. Die Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Ressourcen, bei der Sie keine eigene Schlüsselverwaltungsinfrastruktur erstellen, pflegen und schützen müssen. Zum Erstellen verschlüsselter Volumes und Snapshots werden KMS-Schlüssel verwendet. Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie unter Amazon EBS-Verschlüsselung im Amazon EC2-Benutzerhandbuch für Linux-Instanzen. Preisstufe: Unternehmen Compliance standards:
|
Ruhende Daten von angehängten Amazon EBS-Volumes sollten verschlüsselt sein
|
Encryption At Rest Enabled Rds Instances
Kategoriename in der API: |
Ergebnisbeschreibung: Mit Amazon RDS verschlüsselte DB-Instanzen verwenden den branchenüblichen AES-256-Verschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, auf dem Ihre Amazon RDS DB-Instanzen gehostet werden. Nach der Verschlüsselung Ihrer Daten führt Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent mit minimaler Auswirkung auf die Leistung durch. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass die Verschlüsselung ruhender Daten für RDS-Instanzen aktiviert ist
|
Encryption Enabled Efs File Systems
Kategoriename in der API: |
Ergebnisbeschreibung: EFS-Daten sollten im inaktiven Zustand mit AWS KMS (Key Management Service) verschlüsselt werden. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass die Verschlüsselung für EFS-Dateisysteme aktiviert ist
|
Iam Password Policy
Kategoriename in der API: |
Ergebnisbeschreibung: AWS ermöglicht benutzerdefinierte Passwortrichtlinien in Ihrem AWS-Konto, um Komplexitätsanforderungen und obligatorische Rotationszeiträume für die IAM-Nutzer festzulegen. Passwörter. Wenn Sie keine benutzerdefinierte Passwortrichtlinie festlegen, müssen die IAM-Nutzerpasswörter der AWS-Standard-Passwortrichtlinie entsprechen. In den Best Practices für die AWS-Sicherheit werden die folgenden Anforderungen an die Komplexität von Passwörtern empfohlen:
Mit diesem Steuerelement werden alle angegebenen Anforderungen der Passwortrichtlinie geprüft. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob die Richtlinie für Kontopasswörter für IAM-Nutzer den angegebenen Anforderungen entspricht
|
Iam Password Policy Prevents Password Reuse
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Passwortrichtlinien können die Wiederverwendung eines bestimmten Passworts durch denselben Nutzer verhindern. Es wird empfohlen, die Wiederverwendung von Passwörtern durch die Passwortrichtlinie zu verhindern. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert
|
Iam Password Policy Requires Minimum Length 14 Greater
Kategoriename in der API: |
Ergebnisbeschreibung: Passwortrichtlinien werden teilweise verwendet, um Anforderungen an die Komplexität von Passwörtern durchzusetzen. Mit IAM-Passwortrichtlinien können Sie dafür sorgen, dass Passwörter mindestens eine bestimmte Länge haben. Die Passwortrichtlinie sollte eine Mindestpasswortlänge von 14 Zeichen voraussetzen. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass die IAM-Passwortrichtlinie eine Mindestlänge von 14 Zeichen verlangt
|
Iam Policies Allow Full Administrative Privileges Attached
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Richtlinien dienen dazu, Nutzern, Gruppen oder Rollen Berechtigungen zu gewähren. Es wird empfohlen und gilt als standardmäßige Sicherheitsempfehlung, die geringste Berechtigung zu gewähren, also nur die Berechtigungen zu gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Bestimmen Sie, was Nutzer tun müssen, und erstellen Sie dann Richtlinien, mit denen Nutzer nur diese Aufgaben ausführen können, anstatt vollständige Administratorberechtigungen zu erteilen. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass keine IAM-Richtlinien angehängt sind, die uneingeschränkte „*:*“-Administratorberechtigungen gewähren
|
Iam Users Receive Permissions Groups
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Nutzern wird über IAM-Richtlinien Zugriff auf Dienste, Funktionen und Daten gewährt. Es gibt vier Möglichkeiten, Richtlinien für einen Nutzer zu definieren: 1) Direktes Bearbeiten der Nutzerrichtlinien (Inline- oder Nutzerrichtlinie) 2) Direktes Hinzufügen einer Richtlinie zu einem Nutzer 3) Fügen Sie den Nutzer einer IAM-Gruppe mit einer verknüpften Richtlinie hinzu. 4) Fügen Sie den Nutzer einer IAM-Gruppe mit einer Inline-Richtlinie hinzu. Es wird nur die dritte Implementierung empfohlen. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass IAM-Nutzer Berechtigungen nur über Gruppen erhalten
|
Iam User Group Membership Check
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Nutzer sollten immer Teil einer IAM-Gruppe sein, um die Best Practices für die IAM-Sicherheit einzuhalten. Durch das Hinzufügen von Nutzern zu einer Gruppe können Richtlinien für verschiedene Nutzertypen freigegeben werden. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob IAM-Nutzer Mitglieder von mindestens einer IAM-Gruppe sind
|
Iam User Mfa Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Die Multi-Faktor-Authentifizierung (MFA) ist eine Best Practice, bei der Nutzernamen und Passwörter zusätzlich geschützt werden. Wenn sich ein Nutzer bei der MFA in der AWS-Verwaltungskonsole anmeldet, muss er einen zeitkritischen Authentifizierungscode angeben, der von einem registrierten virtuellen oder physischen Gerät bereitgestellt wird. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob für AWS IAM-Nutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert ist
|
Iam User Unused Credentials Check
Kategoriename in der API: |
Ergebnisbeschreibung: Damit wird nach IAM-Passwörtern oder aktiven Zugriffschlüsseln gesucht, die in den letzten 90 Tagen nicht verwendet wurden. In den Best Practices wird empfohlen, alle Anmeldedaten zu entfernen, zu deaktivieren oder zu rotieren, die 90 Tage oder länger nicht verwendet wurden. So können Anmeldedaten, die mit einem manipulierten oder nicht mehr genutzten Konto verknüpft sind, schneller verwendet werden. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob alle AWS IAM-Nutzer Passwörter oder aktive Zugriffsschlüssel haben, die in der unter „maxCredentialUsageAge“ angegebenen Anzahl von Tagen nicht verwendet wurden (Standardeinstellung: 90)
|
Kms Cmk Not Scheduled For Deletion
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Einstellung wird geprüft, ob KMS-Schlüssel zum Löschen vorgemerkt sind. Die Kontrolle schlägt fehl, wenn ein KMS-Schlüssel zum Löschen vorgemerkt ist. KMS-Schlüssel können nach dem Löschen nicht wiederhergestellt werden. Daten, die mit einem KMS-Schlüssel verschlüsselt wurden, sind auch dauerhaft nicht wiederherstellbar, wenn der KMS-Schlüssel gelöscht wird. Wenn wichtige Daten mit einem KMS-Schlüssel verschlüsselt wurden, der zum Löschen vorgemerkt ist, sollten Sie die Daten entschlüsseln oder unter einem neuen KMS-Schlüssel neu verschlüsseln, es sei denn, Sie führen absichtlich eine kryptografische Löschung aus. Wenn ein KMS-Schlüssel zum Löschen vorgemerkt ist, wird eine obligatorische Wartezeit erzwungen, damit das Löschen rückgängig gemacht werden kann, falls der Löschvorgang irrtümlich geplant wurde. Die standardmäßige Wartezeit beträgt 30 Tage, kann aber auf bis zu 7 Tage reduziert werden, wenn der KMS-Schlüssel zum Löschen vorgemerkt ist. Während der Wartezeit kann das geplante Löschen abgebrochen werden und der KMS-Schlüssel wird nicht gelöscht. Weitere Informationen zum Löschen von KMS-Schlüsseln finden Sie unter KMS-Schlüssel löschen im AWS Key Management Service-Entwicklerhandbuch. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie alle CMKs darauf, dass sie nicht zum Löschen geplant sind
|
Lambda Concurrency Check
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob für die Lambda-Funktion ein Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Die Regel ist NON_COMPLIANT, wenn die Lambda-Funktion nicht mit einem Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Preisstufe: Unternehmen Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüfen Sie, ob für Lambda-Funktionen das Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist
|
Lambda Dlq Check
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob eine Lambda-Funktion mit einer Dead-Letter-Warteschlange konfiguriert ist. Die Regel ist NON_COMPLIANT, wenn die Lambda-Funktion nicht mit einer Dead-Letter-Warteschlange konfiguriert ist. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob Lambda-Funktionen mit einer Dead-Letter-Warteschlange konfiguriert sind
|
Lambda Function Public Access Prohibited
Kategoriename in der API: |
Ergebnisbeschreibung: In den Best Practices von AWS wird empfohlen, die Lambda-Funktion nicht öffentlich zugänglich zu machen. Mit dieser Richtlinie werden alle Lambda-Funktionen geprüft, die in allen aktivierten Regionen in Ihrem Konto bereitgestellt werden. Sie schlägt fehl, wenn sie den öffentlichen Zugriff nicht zulassen. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob die an die Lambda-Funktion angehängte Richtlinie den öffentlichen Zugriff verhindert
|
Lambda Inside Vpc
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob sich eine Lambda-Funktion in einer VPC befindet. Möglicherweise werden fehlgeschlagene Ergebnisse für Lambda@Edge-Ressourcen angezeigt. Die Konfiguration des VPC-Subnetz-Routings wird nicht ausgewertet, um die öffentliche Erreichbarkeit zu bestimmen. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob Lambda-Funktionen in einer VPC vorhanden sind
|
Mfa Delete Enabled S3 Buckets
Kategoriename in der API: |
Ergebnisbeschreibung: Sobald MFA Delete für Ihren vertraulichen und klassifizierten S3-Bucket aktiviert ist, müssen Nutzer zwei Authentifizierungsformen haben. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass MFA-Löschungen für S3-Buckets aktiviert sind
|
Mfa Enabled Root User Account
Kategoriename in der API: |
Ergebnisbeschreibung: Der „Stamm“ Nutzerkonto ist der privilegierteste Nutzer in einem AWS-Konto. Mit der Multi-Faktor-Authentifizierung (MFA) wird der Nutzername und das Passwort zusätzlich geschützt. Wenn MFA aktiviert ist, wird ein Nutzer bei der Anmeldung auf einer AWS-Website aufgefordert, seinen Nutzernamen und sein Passwort sowie einen Authentifizierungscode von seinem AWS-MFA-Gerät einzugeben. Hinweis: Wenn virtuelle MFA für „Root“ verwendet wird Konten verwenden, wird empfohlen, das verwendete Gerät KEIN persönliches Gerät zu verwenden, sondern ein zweckbestimmtes Mobilgerät (Tablet oder Telefon), das unabhängig von individuellen Geräten verwaltet und geschützt wird. („nicht persönliche virtuelle MFA“) verringern das Risiko, den Zugriff auf die MFA zu verlieren, wenn ein Gerät verloren geht, ein Gerät eingetauscht wird oder die Person, die das Gerät besitzt, nicht mehr im Unternehmen beschäftigt ist. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass MFA für das Root-Nutzerkonto aktiviert ist
|
Multi Factor Authentication Mfa Enabled All Iam Users Console
Kategoriename in der API: |
Ergebnisbeschreibung: Die Multi-Faktor-Authentifizierung (MFA) bietet zusätzliche Sicherheit bei der Authentifizierung, die über herkömmliche Anmeldedaten hinausgeht. Wenn MFA aktiviert ist, wird ein Nutzer bei der Anmeldung in der AWS-Konsole aufgefordert, seinen Nutzernamen und sein Passwort sowie einen Authentifizierungscode von seinem physischen oder virtuellen MFA-Token einzugeben. Es wird empfohlen, MFA für alle Konten zu aktivieren, die ein Konsolenpasswort haben. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer mit einem Konsolenpasswort aktiviert ist
|
No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration
Kategoriename in der API: |
Ergebnisbeschreibung: Die NACL-Funktion (Network Access Control List) bietet zustandslose Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, keine NACL uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zu erlauben, z. B. SSH an Port Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass keine Netzwerk-ACLs eingehenden Traffic von 0.0.0.0/0 an Remote-Server-Verwaltungsports zulassen
|
No Root User Account Access Key Exists
Kategoriename in der API: |
Ergebnisbeschreibung: Der „Stamm“ Nutzerkonto ist der privilegierteste Nutzer in einem AWS-Konto. AWS-Zugriffsschlüssel ermöglichen programmatischen Zugriff auf ein bestimmtes AWS-Konto. Es wird empfohlen, alle Zugriffsschlüssel, die mit dem Stammverzeichnis verknüpft sind, Nutzerkonto gelöscht werden soll. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden ist
|
No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, keine Sicherheitsgruppe zu erlauben, uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zu erlauben, z. B. SSH an Port Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von 0.0.0.0/0 an Remote-Serververwaltungsports zulassen
|
No Security Groups Allow Ingress 0 Remote Server Administration
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zulassen, z. B. SSH an Port Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von ::/0 an Remote-Serververwaltungsports zulassen
|
One Active Access Key Available Any Single Iam User
Kategoriename in der API: |
Ergebnisbeschreibung: Zugriffsschlüssel sind langfristige Anmeldedaten für einen IAM-Nutzer oder das AWS-Konto „Root“ Nutzer. Sie können Zugriffsschlüssel verwenden, um programmatische Anfragen an die AWS CLI oder AWS API zu signieren (direkt oder mithilfe des AWS SDK). Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass für jeden einzelnen IAM-Nutzer nur ein aktiver Zugriffsschlüssel verfügbar ist
|
Public Access Given Rds Instance
Kategoriename in der API: |
Ergebnisbeschreibung: Achten Sie darauf, dass in Ihrem AWS-Konto bereitgestellte RDS-Datenbankinstanzen unbefugten Zugriff einschränken, um Sicherheitsrisiken zu minimieren. Wenn Sie den Zugriff auf öffentlich zugängliche RDS-Datenbankinstanzen einschränken möchten, müssen Sie das Flag „Öffentlich zugänglich“ der Datenbank deaktivieren und die mit der Instanz verknüpfte VPC-Sicherheitsgruppe aktualisieren. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass RDS-Instanzen keine öffentliche Zugriffsberechtigung gewährt wird
|
Rds Enhanced Monitoring Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das erweiterte Monitoring bietet über einen in der Instanz installierten Agent Echtzeitmesswerte zum Betriebssystem, auf dem die RDS-Instanz ausgeführt wird. Weitere Informationen finden Sie unter Betriebssystemmesswerte mit erweitertem Monitoring überwachen. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob erweitertes Monitoring für alle RDS-Datenbankinstanzen aktiviert ist
|
Rds Instance Deletion Protection Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das Aktivieren des Instanzlöschungsschutzes ist eine zusätzliche Schutzebene vor versehentlichem Löschen der Datenbank oder vor dem Löschen durch eine nicht autorisierte Entität. Wenn der Löschschutz aktiviert ist, kann eine RDS-Datenbankinstanz nicht gelöscht werden. Bevor eine Löschanfrage erfolgreich sein kann, muss der Löschschutz deaktiviert werden. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob für alle RDS-Instanzen der Löschschutz aktiviert ist
|
Rds In Backup Plan
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dieser Prüfung wird bewertet, ob Amazon RDS DB-Instanzen durch einen Sicherungsplan abgedeckt sind. Diese Kontrolle schlägt fehl, wenn eine RDS-Datenbankinstanz nicht durch einen Sicherungsplan abgedeckt ist. AWS Backup ist ein vollständig verwalteter Sicherungsdienst, der die Sicherung von Daten für alle AWS-Dienste zentralisiert und automatisiert. Mit AWS Backup können Sie Sicherungsrichtlinien erstellen, die als Sicherungspläne bezeichnet werden. Mit diesen Plänen können Sie Ihre Sicherungsanforderungen definieren, z. B. wie oft Ihre Daten gesichert werden sollen und wie lange diese Sicherungen aufbewahrt werden sollen. Wenn Sie RDS-Datenbankinstanzen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen. Preisstufe: Unternehmen Compliance standards:
|
Für die RDS-Datenbankinstanzen sollte es einen Sicherungsplan geben
|
Rds Logging Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob die folgenden Logs von Amazon RDS aktiviert und an CloudWatch gesendet werden. Für RDS-Datenbanken sollten relevante Logs aktiviert sein. Das Datenbank-Logging bietet detaillierte Datensätze zu Anfragen an RDS. Datenbanklogs können bei Sicherheits- und Zugriffsaudits hilfreich sein und bei der Diagnose von Verfügbarkeitsproblemen helfen. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob exportierte Logs für alle RDS-Datenbankinstanzen aktiviert sind
|
Rds Multi Az Support
Kategoriename in der API: |
Ergebnisbeschreibung: RDS-Datenbankinstanzen sollten für mehrere Verfügbarkeitszonen (Availability Zones, AZs) konfiguriert sein. Dadurch wird die Verfügbarkeit der gespeicherten Daten sichergestellt. Multi-AZ-Bereitstellungen ermöglichen einen automatischen Failover bei Problemen mit der Verfügbarkeit der Verfügbarkeitszone und während der regelmäßigen RDS-Wartung. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob die Hochverfügbarkeit für alle RDS-Datenbankinstanzen aktiviert ist
|
Redshift Cluster Configuration Check
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird nach wesentlichen Elementen eines Redshift-Clusters gesucht: Verschlüsselung ruhender Daten, Logging und Knotentyp. Diese Konfigurationselemente sind für die Wartung eines sicheren und beobachtbaren Redshift-Clusters wichtig. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob für alle Redshift-Cluster die Verschlüsselung ruhender Daten, das Logging und der Knotentyp konfiguriert sind.
|
Redshift Cluster Maintenancesettings Check
Kategoriename in der API: |
Ergebnisbeschreibung: Automatische Upgrades der Hauptversion finden je nach Wartungsfenster statt Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob für alle Redshift-Cluster „allowVersionUpgrade“ aktiviert ist und Werte für „preferredMaintenanceWindow“ sowie „automatedSnapshotRetentionPeriod“ festgelegt sind
|
Redshift Cluster Public Access Check
Kategoriename in der API: |
Ergebnisbeschreibung: Das PubliclyAccessible-Attribut der Amazon Redshift-Clusterkonfiguration gibt an, ob der Cluster öffentlich zugänglich ist. Wenn für den Cluster „PubliclyAccessible“ auf „true“ festgelegt ist, handelt es sich um eine mit dem Internet verbundene Instanz mit einem öffentlich auflösbaren DNS-Namen, der in eine öffentliche IP-Adresse aufgelöst wird. Wenn der Cluster nicht öffentlich zugänglich ist, handelt es sich um eine interne Instanz mit einem DNS-Namen, der in eine private IP-Adresse aufgelöst wird. Wenn Ihr Cluster nicht öffentlich zugänglich sein soll, sollte er nicht mit PubliclyAccessible auf „true“ konfiguriert werden. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob Redshift-Cluster öffentlich zugänglich sind
|
Restricted Common Ports
Kategoriename in der API: |
Ergebnisbeschreibung: Hiermit wird geprüft, ob uneingeschränkter eingehender Traffic für die Sicherheitsgruppen für die angegebenen Ports mit dem höchsten Risiko zugänglich ist. Diese Steuerung schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Traffic von „0.0.0.0/0“ zulässt oder '::/0' für diese Ports. Der uneingeschränkte Zugriff (0.0.0.0/0) erhöht das Risiko von schädlichen Aktivitäten wie Hacking, Denial-of-Service-Angriffen und Datenverlust. Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten eingehenden Zugriff auf die folgenden Ports zulassen:
Preisstufe: Unternehmen Compliance standards:
|
Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen
|
Restricted Ssh
Kategoriename in der API: |
Ergebnisbeschreibung: Sicherheitsgruppen bieten ein zustandsorientiertes Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. CIS empfiehlt, keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf Port 22 zu erlauben. Durch das Entfernen uneingeschränkter Verbindungen zu Remote-Konsolendiensten wie SSH wird das Risiko eines Servers verringert. Preisstufe: Unternehmen Compliance standards:
|
Sicherheitsgruppen sollten keinen eingehenden Traffic von 0.0.0.0/0 an Port 22 zulassen
|
Rotation Customer Created Cmks Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die automatische Schlüsselrotation für jeden Schlüssel aktiviert ist und mit der Schlüssel-ID des vom Kunden erstellten AWS KMS-Schlüssels übereinstimmt. Die Regel ist NON_COMPLIANT, wenn die AWS Config-Recorder-Rolle für eine Ressource nicht die Berechtigung kms:describeKey hat. Preisstufe: Unternehmen Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Achten Sie darauf, dass die Rotation für vom Kunden erstellte CMKs aktiviert ist
|
Rotation Customer Created Symmetric Cmks Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Mit dem AWS Key Management Service (KMS) können Kunden den Sicherungsschlüssel rotieren. Dabei handelt es sich um im KMS gespeichertes Schlüsselmaterial, das mit der Schlüssel-ID des vom Kunden erstellten Masterschlüssels (Customer Created Customer Master Key, CMK) verknüpft ist. Er ist der Sicherungsschlüssel, der für kryptografische Vorgänge wie Verschlüsselung und Entschlüsselung verwendet wird. Bei der automatischen Schlüsselrotation werden derzeit alle vorherigen Sicherungsschlüssel beibehalten, sodass die Entschlüsselung verschlüsselter Daten transparent erfolgen kann. Es wird empfohlen, die CMK-Schlüsselrotation für symmetrische Schlüssel zu aktivieren. Die Schlüsselrotation kann für einen asymmetrischen CMK nicht aktiviert werden. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass die Rotation für vom Kunden erstellte symmetrische CMKs aktiviert ist
|
Routing Tables Vpc Peering Are Least Access
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob Routingtabellen für VPC-Peering mit dem Hauptkonto der geringsten Berechtigung konfiguriert sind. Preisstufe: Unternehmen Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Achten Sie darauf, dass Routingtabellen für VPC-Peering den geringsten Zugriff gewähren
|
S3 Account Level Public Access Blocks
Kategoriename in der API: |
Ergebnisbeschreibung: Der öffentliche Zugriff von Amazon S3 Block bietet Einstellungen für Zugangspunkte, Buckets und Konten, mit denen Sie den öffentlichen Zugriff auf Amazon S3-Ressourcen verwalten können. Standardmäßig ist bei neuen Buckets, Zugangspunkten und Objekten kein öffentlicher Zugriff möglich. Preisstufe: Unternehmen Compliance standards: Diese Ergebniskategorie ist keinen Steuerelementen von Compliancestandards zugeordnet. |
Prüfen Sie, ob die erforderlichen S3-Einstellungen zum Blockieren des öffentlichen Zugriffs auf Kontoebene konfiguriert sind
|
S3 Buckets Configured Block Public Access Bucket And Account Settings
Kategoriename in der API: |
Ergebnisbeschreibung: Amazon S3 bietet Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass S3-Buckets mit
|
S3 Bucket Access Logging Enabled Cloudtrail S3 Bucket
Kategoriename in der API: |
Ergebnisbeschreibung: Das S3-Bucket-Zugriffs-Logging generiert ein Log, das Zugriffsdatensätze für jede Anfrage an Ihren S3-Bucket enthält. Ein Zugriffslogeintrag enthält Details zur Anfrage, z. B. den Anfragetyp, die in der Anfrage angegebenen Ressourcen sowie Datum und Uhrzeit der Verarbeitung der Anfrage. Es wird empfohlen, das Bucket-Zugriffs-Logging im CloudTrail S3-Bucket zu aktivieren. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass das S3-Bucket-Zugriffs-Logging im CloudTrail S3-Bucket aktiviert ist
|
S3 Bucket Logging Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Das AWS S3-Serverzugriffs-Logging zeichnet Zugriffsanfragen auf Storage-Buckets auf, was für Sicherheitsaudits nützlich ist. Standardmäßig ist das Serverzugriffs-Logging für S3-Buckets nicht aktiviert. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob Logging für alle S3-Buckets aktiviert ist
|
S3 Bucket Policy Set Deny Http Requests
Kategoriename in der API: |
Ergebnisbeschreibung: Auf Amazon S3-Bucket-Ebene können Sie Berechtigungen über eine Bucket-Richtlinie konfigurieren, sodass die Objekte nur über HTTPS zugänglich sind. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass die S3-Bucket-Richtlinie auf Ablehnen von HTTP-Anfragen festgelegt ist
|
S3 Bucket Replication Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dieses Steuerelement prüft, ob für einen Amazon S3-Bucket die regionsübergreifende Replikation aktiviert ist. Die Steuerung schlägt fehl, wenn für den Bucket keine regionsübergreifende Replikation oder die Replikation für dieselbe Region ebenfalls aktiviert ist. Replikation ist das automatische, asynchrone Kopieren von Objekten zwischen Buckets in derselben oder in verschiedenen AWS-Regionen. Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen oder mehrere Ziel-Buckets kopiert. In den Best Practices von AWS wird die Replikation für Quell- und Ziel-Buckets empfohlen, die demselben AWS-Konto gehören. Neben der Verfügbarkeit sollten Sie Einstellungen zur Härtung anderer Systeme in Betracht ziehen. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob die regionsübergreifende Replikation für S3-Buckets aktiviert ist
|
S3 Bucket Server Side Encryption Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Dadurch wird geprüft, ob für Ihren S3-Bucket entweder die Standardverschlüsselung von Amazon S3 aktiviert ist oder ob die S3-Bucket-Richtlinie „put-object“-Anfragen ohne serverseitige Verschlüsselung explizit ablehnt. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass alle S3-Buckets die Verschlüsselung ruhender Daten verwenden
|
S3 Bucket Versioning Enabled
Kategoriename in der API: |
Ergebnisbeschreibung: Mit Amazon S3 können Sie mehrere Varianten eines Objekts im selben Bucket speichern und die Wiederherstellung nach unbeabsichtigten Nutzeraktionen und Anwendungsfehlern vereinfachen. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob die Versionsverwaltung für alle S3-Buckets aktiviert ist
|
S3 Default Encryption Kms
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob die Amazon S3-Buckets mit AWS Key Management Service (AWS KMS) verschlüsselt sind Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob alle Buckets mit KMS verschlüsselt sind
|
Sagemaker Notebook Instance Kms Key Configured
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein AWS KMS-Schlüssel (AWS Key Management Service) für eine Amazon SageMaker-Notebookinstanz konfiguriert ist. Die Regel ist NON_COMPLIANT bei "KmsKeyId" ist für die SageMaker-Notebookinstanz nicht angegeben. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob für alle SageMaker-Notebookinstanzen die Verwendung von KMS konfiguriert ist
|
Sagemaker Notebook No Direct Internet Access
Kategoriename in der API: |
Ergebnisbeschreibung: Prüfen Sie, ob der direkte Internetzugriff für eine SageMaker-Notebookinstanz deaktiviert ist. Dazu wird geprüft, ob das Feld „DirectInternetAccess“ für die Notebookinstanz deaktiviert ist. Wenn Sie Ihre SageMaker-Instanz ohne VPC konfigurieren, ist der direkte Internetzugriff für Ihre Instanz standardmäßig aktiviert. Konfigurieren Sie Ihre Instanz mit einer VPC und ändern Sie die Standardeinstellung in „Deaktivieren – Zugriff auf das Internet über eine VPC“. Sie benötigen einen Internetzugang, um Modelle über ein Notebook zu trainieren oder zu hosten. Für den Internetzugriff muss Ihre VPC ein NAT-Gateway haben und Ihre Sicherheitsgruppe ausgehende Verbindungen zulässt. Weitere Informationen zum Verbinden einer Notebookinstanz mit Ressourcen in einer VPC finden Sie im Amazon SageMaker-Entwicklerleitfaden unter „Notebookinstanz mit Ressourcen in einer VPC verbinden“. Achten Sie außerdem darauf, dass nur autorisierte Nutzer auf Ihre SageMaker-Konfiguration zugreifen können. Nutzer einschränken IAM-Berechtigungen zum Ändern von SageMaker-Einstellungen und -Ressourcen. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob der direkte Internetzugriff für alle Amazon SageMaker-Notebookinstanzen deaktiviert ist
|
Secretsmanager Rotation Enabled Check
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein in AWS Secrets Manager gespeichertes Secret mit automatischer Rotation konfiguriert ist. Die Steuerung schlägt fehl, wenn das Secret nicht mit automatischer Rotation konfiguriert ist. Wenn Sie einen benutzerdefinierten Wert für den Parameter Mit Secret Manager können Sie den Sicherheitsstatus Ihrer Organisation verbessern. Secrets umfassen Datenbankanmeldedaten, Passwörter und API-Schlüssel von Drittanbietern. Mit Secret Manager können Sie Secrets zentral speichern, sie automatisch verschlüsseln, den Zugriff auf Secrets steuern sowie Secrets sicher und automatisch rotieren. Secrets Manager kann Secrets rotieren. Mithilfe der Rotation können Sie langfristige Secrets durch kurzfristige ersetzen. Durch die Rotation von Secrets wird beschränkt, wie lange ein nicht autorisierter Nutzer ein manipuliertes Secret verwenden kann. Aus diesem Grund sollten Sie Ihre Secrets häufig rotieren. Weitere Informationen zur Rotation finden Sie unter AWS Secrets Manager-Secrets rotieren im AWS Secrets Manager-Nutzerhandbuch. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob für alle AWS Secrets Manager-Secrets die Rotation aktiviert ist
|
Sns Encrypted Kms
Kategoriename in der API: |
Ergebnisbeschreibung: Prüft, ob ein SNS-Thema im inaktiven Zustand mit AWS KMS verschlüsselt wird. Die Steuerelemente schlagen fehl, wenn ein SNS-Thema keinen KMS-Schlüssel für die serverseitige Verschlüsselung (SSE) verwendet. Durch die Verschlüsselung ruhender Daten verringert sich das Risiko, dass auf dem Laufwerk gespeicherte Daten von einem nicht bei AWS authentifizierten Nutzer aufgerufen werden. Außerdem werden weitere Zugriffskontrollen hinzugefügt, um den Zugriff nicht autorisierter Nutzer auf die Daten zu begrenzen. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. Für eine zusätzliche Sicherheitsebene sollten SNS-Themen im Ruhezustand verschlüsselt werden. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob alle SNS-Themen mit KMS verschlüsselt sind
|
Vpc Default Security Group Closed
Kategoriename in der API: |
Ergebnisbeschreibung: Hier wird geprüft, ob die Standardsicherheitsgruppe einer VPC eingehenden oder ausgehenden Traffic zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Traffic zulässt. Die Regeln für die Standardsicherheitsgruppe lassen den gesamten ausgehenden und eingehenden Traffic von Netzwerkschnittstellen (und den zugehörigen Instanzen) zu, die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, nicht die Standardsicherheitsgruppe zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Einstellung der Regeln für die Standardsicherheitsgruppe so ändern, dass ein- und ausgehender Traffic eingeschränkt wird. Dies verhindert unbeabsichtigten Traffic, wenn die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2-Instanzen konfiguriert wird. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt
|
Vpc Flow Logging Enabled All Vpcs
Kategoriename in der API: |
Ergebnisbeschreibung: VPC-Flusslogs sind ein Feature, mit dem Sie Informationen über den IP-Traffic erfassen können, der in Ihrer VPC an Netzwerkschnittstellen ein- und ausgeht. Nachdem Sie ein Flusslog erstellt haben, können Sie die zugehörigen Daten in Amazon CloudWatch Logs ansehen und abrufen. Es wird empfohlen, VPC-Flusslogs für das Paket „Ablehnungen“ zu aktivieren für VPCs. Preisstufe: Unternehmen Compliance standards:
|
Achten Sie darauf, dass VPC-Fluss-Logging in allen VPCs aktiviert ist
|
Vpc Sg Open Only To Authorized Ports
Kategoriename in der API: |
Ergebnisbeschreibung: Mit diesem Steuerelement wird geprüft, ob eine Amazon EC2-Sicherheitsgruppe uneingeschränkten eingehenden Traffic von nicht autorisierten Ports zulässt. Der Kontrollstatus wird wie folgt bestimmt: Wenn Sie den Standardwert für „AuthorizedTcpPorts“ verwenden, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem anderen Port als den Ports 80 und 443 zulässt. Wenn Sie benutzerdefinierte Werte für „authorizedTcpPorts“ oder „authorizedUdpPorts“ angeben, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem nicht aufgeführten Port zulässt. Wenn kein Parameter verwendet wird, schlägt die Steuerung für alle Sicherheitsgruppen mit einer Regel für uneingeschränkten eingehenden Traffic fehl. Sicherheitsgruppen bieten eine zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS. Regeln für Sicherheitsgruppen sollten dem Prinzip der geringsten Berechtigung folgen. Uneingeschränkter Zugriff (IP-Adresse mit dem Suffix /0) erhöht das Risiko von schädlichen Aktivitäten wie Hacking, Denial-of-Service-Angriffen und Datenverlust. Sofern ein Port nicht ausdrücklich erlaubt ist, sollte über den Port uneingeschränkter Zugriff verweigert werden. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob Sicherheitsgruppen mit 0.0.0.0/0 von VPCs nur bestimmten eingehenden TCP/UDP-Traffic zulassen
|
Both VPC VPN Tunnels Up
Kategoriename in der API: |
Ergebnisbeschreibung: Ein VPN-Tunnel ist eine verschlüsselte Verbindung, über die Daten innerhalb einer AWS Site-to-Site-VPN-Verbindung vom Kundennetzwerk zu oder von AWS übertragen werden können. Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie gleichzeitig für Hochverfügbarkeit verwenden können. Es ist wichtig, für eine sichere und hochverfügbare Verbindung zwischen einer AWS-VPC und Ihrem Remote-Netzwerk sicherzustellen, dass beide VPN-Tunnel für eine VPN-Verbindung eingerichtet sind. Dieses Steuerelement prüft, ob beide vom AWS Site-to-Site-VPN bereitgestellte VPN-Tunnel den Status UP haben. Die Steuerung schlägt fehl, wenn sich einer oder beide Tunnel im Status DOWN befinden. Preisstufe: Unternehmen Compliance standards:
|
Prüfen Sie, ob beide von AWS Site-to-Site bereitgestellten AWS-VPN-Tunnel den Status UP haben
|
Web Security Scanner-Ergebnisse
Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.
Kategorie | Ergebnisbeschreibung | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
---|---|---|---|
Accessible Git repository
Kategoriename in der API: |
Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository.
Preisstufe: Standard |
A5 | A01 |
Accessible SVN repository
Kategoriename in der API: |
Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository.
Preisstufe: Standard |
A5 | A01 |
Cacheable password input
Kategoriename in der API: |
In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden.
Preisstufe: Premium |
A3 | A04 |
Clear text password
Kategoriename in der API: |
Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort.
Preisstufe: Standard |
A3 | A02 |
Insecure allow origin ends with validation
Kategoriename in der API: |
Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Suffix des Anfrageheaders Origin , bevor er im Antwortheader Access-Control-Allow-Origin widergespiegelt wird. Prüfen Sie zur Korrektur dieses Ergebnisses, ob die erwartete Stammdomain Teil des Headerwerts Origin ist, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben. Stellen Sie bei Subdomain-Platzhaltern der Stammdomain einen Punkt voran, z. B. .endsWith(".google.com") .
Preisstufe: Premium |
A5 | A01 |
Insecure allow origin starts with validation
Kategoriename in der API: |
Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Präfix des Anfrageheaders Origin , bevor er im Antwortheader Access-Control-Allow-Origin widergespiegelt wird. Um dieses Ergebnis zu korrigieren, prüfen Sie, ob die erwartete Domain vollständig mit dem Headerwert Origin übereinstimmt, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben, z. B. .equals(".google.com") .
Preisstufe: Premium |
A5 | A01 |
Invalid content type
Kategoriename in der API: |
Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu korrigieren, legen Sie für den HTTP-Header X-Content-Type-Options den richtigen Wert fest.
Preisstufe: Standard |
A6 | A05 |
Invalid header
Kategoriename in der API: |
Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
Preisstufe: Standard |
A6 | A05 |
Mismatching security header values
Kategoriename in der API: |
Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
Preisstufe: Standard |
A6 | A05 |
Misspelled security header name
Kategoriename in der API: |
Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
Preisstufe: Standard |
A6 | A05 |
Mixed content
Kategoriename in der API: |
Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden.
Preisstufe: Standard |
A6 | A05 |
Outdated library
Kategoriename in der API: |
Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben.
Preisstufe: Standard |
A9 | A06 |
Server side request forgery
Kategoriename in der API: |
Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben.
Preisstufe: Standard |
Nicht zutreffend | A10 |
Session ID leak
Kategoriename in der API: |
Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzungs-ID des Nutzers im Anfrageheader Referer . Diese Sicherheitslücke gewährt der empfangenden Domain Zugriff auf die Sitzungs-ID, mit der die Identität des Nutzers angenommen oder dieser sicher identifiziert werden kann.
Preisstufe: Premium |
A2 | A07 |
SQL injection
Kategoriename in der API: |
Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen, um dieses Ergebnis anzusprechen.
Preisstufe: Premium |
A1 | A03 |
Struts insecure deserialization
Kategoriename in der API: |
Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren.
Preisstufe: Premium |
A8 | A08 |
XSS
Kategoriename in der API: |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.
Preisstufe: Standard |
A7 | A03 |
XSS angular callback
Kategoriename in der API: |
Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden, um das Problem zu beheben.
Preisstufe: Standard |
A7 | A03 |
XSS error
Kategoriename in der API: |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.
Preisstufe: Standard |
A7 | A03 |
XXE reflected file leakage
Kategoriename in der API: |
Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host offenlegt. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben.
Preisstufe: Premium |
A4 | A05 |
Prototype pollution
Kategoriename in der API: |
Die Anwendung ist anfällig für Verschmutzung durch Prototypen. Diese Sicherheitslücke tritt auf,
des Object.prototype -Objekts können von Angreifern steuerbare Werte zugewiesen werden. Werte, die diesen Prototypen zugewiesen wurden
allgemein davon ausgegangen, dass sie zu Cross-Site-Scripting oder ähnlichen clientseitigen Schwachstellen sowie logischen Fehlern führen.
Preisstufe: Standard <ph type="x-smartling-placeholder"></ph> Ergebnis korrigieren |
A1 | A03 |
IAM-Recommender-Ergebnisse
In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die die vom IAM Recommender generiert werden.
Jedes IAM-Recommender-Ergebnis enthält spezifische Empfehlungen zum Entfernen oder eine Rolle ersetzen, die übermäßige Berechtigungen eines Hauptkontos in Ihrer Google Cloud-Umgebung.
Die vom IAM-Recommender generierten Ergebnisse entsprechende Empfehlungen, die in der Google Cloud Console auf der IAM-Seite des betroffenen Projekts, Ordners oder der Organisation.
Weitere Informationen zur Einbindung von IAM-Recommender mit Security Command Center finden Sie unter Sicherheitsquellen.
Detektor | Fazit |
---|---|
IAM role has excessive permissions
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Recommender hat ein Dienstkonto mit mindestens einem Dienstkonto erkannt IAM-Rollen, die dem Nutzerkonto übermäßig viele Berechtigungen gewähren. Preisstufe: Premium Unterstützte Assets:
Beheben Sie das Ergebnis :Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: diese Schritte:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses
innerhalb von 24 Stunden an |
Service agent role replaced with basic role
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Recommender hat erkannt, dass die ursprüngliche Standard-IAM- Die einem Dienst-Agent gewährte Rolle wurde durch eine einfache IAM-Rolle ersetzt Rollen: Inhaber, Bearbeiter oder Betrachter Zu viele einfache Rollen weniger Berechtigungen und sollten Dienst-Agents nicht gewährt werden. Preisstufe: Premium Unterstützte Assets:
Beheben Sie das Ergebnis :Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: diese Schritte:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses
innerhalb von 24 Stunden an |
Service agent granted basic role
Kategoriename in der API: |
Ergebnisbeschreibung: IAM-Recommender hat erkannt, dass ein Dienst-Agent in IAM gewährt wurde eine der einfachen IAM-Rollen Inhaber, Bearbeiter oder Betrachter: Einfache Rollen sind zu moderate Legacy-Rollen und sollten nicht Servicemitarbeitern gewährt wird. Preisstufe: Premium Unterstützte Assets:
Beheben Sie das Ergebnis :Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: diese Schritte:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses
innerhalb von 24 Stunden an |
Unused IAM role
Kategoriename in der API: |
Ergebnisbeschreibung: Der IAM-Recommender hat ein Nutzerkonto erkannt, das eine IAM-Rolle, die in den letzten 90 Tagen nicht verwendet wurde. Preisstufe: Premium Unterstützte Assets:
Beheben Sie das Ergebnis :Verwenden Sie den IAM-Recommender, um die empfohlene Korrektur für dieses Ergebnis anzuwenden. Gehen Sie dazu so vor: diese Schritte:
Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status des Ergebnisses
innerhalb von 24 Stunden an |
CIEM-Ergebnisse
In der folgenden Tabelle sind die Security Command Center-Identitäten und -Zugriffsergebnisse für AWS aufgeführt, die von Cloud Infrastructure Entitlement Management (CIEM) generiert werden.
CIEM-Ergebnisse enthalten spezifische Empfehlungen zum Entfernen oder Sie ersetzen hoch moderate AWS IAM-Richtlinien, die mit angenommenen Identitäten, Nutzern oder Gruppen in Ihrer AWS-Umgebung verknüpft sind.
Weitere Informationen zu CIEM finden Sie unter Übersicht über Cloud Infrastructure Entitlement Management.
Detektor | Fazit |
---|---|
Assumed identity has excessive permissions
Kategoriename in der API: |
Ergebnisbeschreibung:In Ihrer AWS-Umgebung verwendet CIEM eine angenommene IAM-Rolle mit einer oder mehreren stark moderaten Richtlinien erkannt, die gegen das Prinzip der geringsten Berechtigung verstoßen und die Sicherheitsrisiken erhöhen. Preisstufe: Enterprise
Beheben Sie das Ergebnis :Verwenden Sie je nach Ergebnis die AWS Management Console, um einen der folgenden Schritte auszuführen: Abhilfeaufgaben:
Informationen zu den spezifischen Abhilfemaßnahmen finden Sie in den Details des Ergebnisses. |
Group has excessive permissions
Kategoriename in der API: |
Ergebnisbeschreibung:In Ihrer AWS-Umgebung verwendet CIEM eine IAM-Gruppe mit einer oder mehreren stark moderaten Richtlinien erkannt hat, die gegen die Prinzip der geringsten Berechtigung und erhöhen die Sicherheitsrisiken. Preisstufe: Enterprise Beheben Sie das Ergebnis :Verwenden Sie je nach Ergebnis die AWS Management Console, um einen der folgenden Schritte auszuführen: Abhilfeaufgaben:
Informationen zu den spezifischen Abhilfemaßnahmen finden Sie in den Details des Ergebnisses. |
User has excessive permissions
Kategoriename in der API: |
Ergebnisbeschreibung:In Ihrer AWS-Umgebung verwendet CIEM einen IAM-Nutzer mit einer oder mehreren stark moderaten Richtlinien erkannt hat, die gegen die Prinzip der geringsten Berechtigung und erhöhen die Sicherheitsrisiken. Preisstufe: Enterprise Beheben Sie das Ergebnis :Verwenden Sie je nach Ergebnis die AWS Management Console, um einen der folgenden Schritte auszuführen: Abhilfeaufgaben:
Informationen zu den spezifischen Abhilfemaßnahmen finden Sie in den Details des Ergebnisses. |
Ergebnisse des Sicherheitsstatusdiensts
In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die die vom Security Posture-Dienst generiert wurden.
Jedes Ergebnis des Sicherheitsstatusdienstes identifiziert eine Driftinstanz von Ihrem definierten Sicherheitsstatus.
Ergebnis | Fazit |
---|---|
SHA Canned Module Drifted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einem Detektor für Security Health Analytics erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium
Beheben Sie das Ergebnis :Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Detektoreinstellungen in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können den Security Health Analytics-Detektor oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie den Security Health Analytics-Detektor in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
SHA Custom Module Drifted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einem benutzerdefinierten Modul von Security Health Analytics erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Beheben Sie das Ergebnis :Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Moduleinstellungen in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Modul von Security Health Analytics oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Modul für Security Health Analytics in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefiniertes Modul aktualisieren. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
SHA Custom Module Deleted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Security Posture-Dienst hat erkannt, dass ein Security Health Analytics benutzerdefiniertes Modul wurde gelöscht. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung. Preisstufe: Premium Beheben Sie das Ergebnis :Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Moduleinstellungen in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Modul von Security Health Analytics oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Modul für Security Health Analytics in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefiniertes Modul aktualisieren. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
Org Policy Canned Constraint Drifted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer Organisationsrichtlinie erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Beheben Sie das Ergebnis :Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die Organisationsrichtlinie oder den Status und die Bereitstellung des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
Org Policy Canned Constraint Deleted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung. Preisstufe: Premium Beheben Sie das Ergebnis :Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die Organisationsrichtlinie oder den Status und die Bereitstellung des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
Org Policy Custom Constraint Drifted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer benutzerdefinierten Organisationsrichtlinie erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist. Preisstufe: Premium Beheben Sie das Ergebnis :Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der benutzerdefinierten Organisationsrichtlinien in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
Org Policy Custom Constraint Deleted
Kategoriename in der API: |
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat erkannt, dass eine benutzerdefinierte Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung. Preisstufe: Premium Beheben Sie das Ergebnis :Dieses Ergebnis erfordert, dass Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der benutzerdefinierten Organisationsrichtlinien in Ihrem Status und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bereitstellung des Sicherheitsstatus und des Sicherheitsstatus aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. Gehen Sie so vor, um die Änderung zu akzeptieren:
|
VM Manager
VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.
Wenn Sie VM Manager mit Security Command Center Premium auf Organisationsebene aktivieren, VM Manager-Schreibvorgänge Ergebnisse aus den Berichten zu Sicherheitslücken, die sich in der Vorabversion befinden, Security Command Center. Mit den Berichten werden Sicherheitslücken in Betriebssystemen aufgedeckt auf VMs installiert sind, einschließlich Common Vulnerabilities and Exposures (CVEs).
So verwenden Sie VM Manager mit Aktivierungen auf Projektebene: Security Command Center Premium aktivieren, Security Command Center Standard aktivieren in der übergeordneten Organisation.
Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.
Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit diesem Feature können Sie die Patchverwaltung auf Projektebene für alle Projekte vornehmen.
Der Schweregrad der Ergebnisse zu Sicherheitslücken, die von
VM Manager ist immer entweder CRITICAL
oder
HIGH
.
VM Manager-Ergebnisse
Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.
Detektor | Fazit | Asset-Scaneinstellungen | Compliance-Standards |
---|---|---|---|
OS vulnerability
Kategoriename in der API: |
Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt. Preisstufe: Premium
Unterstützte Assets |
VM Manager Berichte zu Sicherheitslücken Detaillierte Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine-VMs, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs). Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter Details zum BetriebssystemDie Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt:
|
Korrekturmaßnahmen für VM-Manager-Ergebnisse
Ein OS_VULNERABILITY
-Ergebnis gibt an, dass VM Manager eine Sicherheitslücke in den installierten Betriebssystempaketen in einer Compute Engine-VM gefunden hat.
So können Sie dieses Ergebnis beheben:
Rufen Sie im Security Command Center die Seite Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Gehen Sie im Unterabschnitt Kategorie der Schnellfilter so vor: Wählen Sie Betriebssystem-Sicherheitslücke aus. Die Ergebnisse der Ergebnisabfrage werden gefiltert. um nur Ergebnisse zu Sicherheitslücken des Betriebssystems anzuzeigen.
In der Spalte Kategorie der Liste Ergebnisse der Ergebnisabfrage: Klicken Sie auf den Kategorienamen des Ergebnisses die Sie korrigieren möchten. Die Detailseite der Betriebssystem-Sicherheitslücke wird geöffnet.
Klicken Sie auf den Tab JSON. Die JSON-Datei für dieses Ergebnis wird angezeigt.
Kopieren Sie den Wert des Felds
externalUri
. Dieser Wert ist der URI für die Betriebssysteminformationen der Compute Engine-VM-Instanz, in der das anfällige Betriebssystem installiert ist.Wenden Sie alle entsprechenden Patches für das Betriebssystem an, das im Bereich Allgemeine Informationen: Eine Anleitung zum Bereitstellen von Patches finden Sie unter Patchjobs erstellen
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denErgebnisse in der Google Cloud Console prüfen
So überprüfen Sie die Ergebnisse in der Google Cloud Console:
Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Im Abschnitt Schnellfilter im Feld Anzeigename der Quelle wählen Sie VM Manager aus.
Die Tabelle wird mit den Ergebnissen von VM Manager gefüllt.
Klicken Sie auf den Namen des Ergebnisses unter
Category
, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für Das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.Sehen Sie sich auf dem Tab Zusammenfassung die Informationen zum Ergebnis an. einschließlich Informationen darüber, was erkannt wurde, und mehr.
Informationen zum Beheben von VM Manager-Ergebnissen finden Sie Siehe VM Manager-Ergebnisse korrigieren.
VM Manager-Ergebnisse ausblenden
Möglicherweise möchten Sie einige oder alle VM Manager-Ergebnisse ausblenden in Security Command Center, wenn sie für Ihre Sicherheitsanforderungen nicht relevant sind.
Sie können VM Manager-Ergebnisse ausblenden, indem Sie eine Ausblendungsregel erstellen und spezifische Abfrageattribute hinzufügen. zu den VM Manager-Ergebnissen hinzu, die Sie ausblenden möchten.
So erstellen Sie eine Ausblendungsregel für VM Manager mithilfe der in der Google Cloud Console:
Rufen Sie in der Google Cloud Console die Security Command Center-Seite Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Klicken Sie auf Ausblendungsoptionen und wählen Sie dann Ausblendungsregel erstellen aus.
Geben Sie eine ID für eine Ausblendungs-Regel ein. Dieser Wert ist erforderlich.
Geben Sie eine Beschreibung der Ausblendungsregel ein, die den Kontext dafür enthält, warum die Ergebnisse ausgeblendet werden. Dieser Wert ist optional, wird aber empfohlen.
Bestätigen Sie den Geltungsbereich der Ausblendungsregel, indem Sie den Wert Übergeordnete Ressource prüfen.
Erstellen Sie im Feld Ergebnisabfrage Ihre Abfrageanweisungen Klicken Sie auf Filter hinzufügen. Alternativ können Sie die Abfrage manuell zu erstellen.
- Wählen Sie im Dialogfeld Filter auswählen die Option Suchen > Anzeigename der Quelle > VM Manager
- Klicken Sie auf Anwenden.
Wiederholen Sie diesen Vorgang, bis die Ausblendungsabfrage alle Attribute enthält, die Sie ausblenden möchten.
Wenn Sie beispielsweise bestimmte CVE-IDs in die Ergebnisse zu VM Manager-Sicherheitslücken, Wählen Sie Vulnerability > CVE-ID Wählen Sie dann die CVE-IDs aus, die Sie ausblenden möchten.
Die Ergebnisabfrage sieht in etwa so aus:
Klicken Sie auf Vorschau übereinstimmender Ergebnisse anzeigen.
Eine Tabelle zeigt Ergebnisse an, die Ihrer Abfrage entsprechen.
Klicken Sie auf Speichern.
Schutz sensibler Daten
In diesem Abschnitt werden die Ergebnisse zu Sicherheitslücken beschrieben, die Sensitive Data Protection generiert, welche Compliance-Standards sie unterstützen, und wie Sie die Ergebnisse korrigieren können.
Sensitive Data Protection sendet Beobachtungsergebnisse auch an Security Command Center. Weitere Informationen zu den Beobachtungsergebnissen und Sensitive Data Protection finden Sie unter Schutz sensibler Daten
Informationen zum Anzeigen der Ergebnisse finden Sie unter Überprüfung Ergebnisse zum Schutz sensibler Daten in der Google Cloud Console
Mit dem Erkennungsdienst für Sensitive Data Protection können Sie feststellen, ob Ihre Cloud Functions-Umgebungsvariablen Secrets enthalten, z. B. Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten. Eine vollständige Liste die Sensitive Data Protection in dieser Funktion erkennt, Siehe Anmeldedaten und Secrets.
Erkenntnistyp | Ergebnisbeschreibung | Compliancestandards |
---|---|---|
Secrets in environment variables Kategoriename in der API: SECRETS_IN_ENVIRONMENT_VARIABLES
|
Dieser Detektor sucht in Cloud Functions-Umgebungsvariablen nach Secrets.
Problembehebung : Entfernen Sie das Secret aus der Umgebungsvariablen und speichern Sie Secret Manager. |
CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18 |
Informationen zum Aktivieren dieses Detektors finden Sie unter Secrets in der Umgebung melden“ in Security Command Center in der Dokumentation zum Schutz sensibler Daten.
Policy Controller
Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre als Flottenmitgliedschaften registrierten Kubernetes-Cluster. Diese Richtlinien dienen als Schutzmaßnahmen und können mit Best Practices, Sicherheits- und Compliance-Management für Ihre Cluster und Ihre Flotte.
Auf dieser Seite werden nicht alle
Policy Controller-Ergebnisse aufgelistet, aber
Informationen zu den Ergebnissen der Klasse Misconfiguration
, die Policy Controller verwendet
Schreibvorgänge in Security Command Center stimmen mit den dokumentierten Clusterverstößen überein
für jedes Policy Controller-Bundle. Dokumentation für den einzelnen Policy Controller
Ergebnistypen befinden sich in den folgenden Policy Controller-Bundles:
- CIS Kubernetes Benchmark v1.5.1,
eine Reihe von Empfehlungen zum Konfigurieren von Kubernetes, um ein hohes Sicherheitsniveau zu erreichen
Körperhaltung. Informationen zu diesem Set finden Sie auch in der
GitHub-Repository für
cis-k8s-v1.5.1
. - PCI-DSS v3.2.1
ein Bundle, das die Compliance Ihrer Clusterressourcen anhand
einige Aspekte des Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1.
Informationen zu diesem Set finden Sie auch in der
GitHub-Repository für
pci-dss-v3
.
Diese Funktion ist nicht mit VPC Service Controls-Dienstperimetern kompatibel mit der Stackdriver API.
Policy Controller-Ergebnisse finden und beheben
Die Policy Controller-Kategorien entsprechen den Einschränkungsnamen, die in der
Dokumentation zu Policy Controller-Bundles. Beispiel:
require-namespace-network-policies
Ergebnis zeigt an, dass ein Namespace gegen die Richtlinie verstößt, dass jeder Namespace in einem Cluster
hat eine NetworkPolicy
.
So korrigieren Sie ein Ergebnis:
Rufen Sie im Security Command Center die Seite Ergebnisse auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Gehen Sie im Unterabschnitt Kategorie der Schnellfilter so vor: Wählen Sie den Namen des Policy Controller-Ergebnisses aus, das Sie korrigieren möchten. Die Ergebnisabfragen werden so gefiltert, dass nur Ergebnisse aus dieser Kategorie angezeigt werden.
In der Spalte Kategorie der Liste Ergebnisse der Ergebnisabfrage: Klicken Sie auf den Kategorienamen des Ergebnisses die Sie korrigieren möchten. Die Detailseite für das Ergebnis wird geöffnet.
Sehen Sie sich auf dem Tab Zusammenfassung die Informationen zum Ergebnis an. einschließlich Informationen darüber, was erkannt wurde, und mehr.
Lesen Sie unter Nächste Schritte Informationen zum Beheben des Fehlers durch. Ergebnis, einschließlich Links zur Kubernetes-Dokumentation über das Problem.
Nächste Schritte
- Weitere Informationen zur Verwendung von Security Health Analytics
- Weitere Informationen zur Verwendung von Web Security Scanner
- Vorschläge zur Behebung von Security Health Analytics-Ergebnissen und zur Behebung von Web Security Scanner-Ergebnissen