Temuan kerentanan

Pendeteksi Kerentanan Cepat, Analisis Kondisi Keamanan, dan Web Security Scanner menghasilkan temuan kerentanan yang tersedia di Security Command Center. Saat diaktifkan di Security Command Center, layanan terintegrasi, seperti VM Manager, juga akan menghasilkan temuan kerentanan.

Kemampuan Anda untuk melihat dan mengedit temuan ditentukan oleh peran dan izin Identity and Access Management (IAM) yang Anda tetapkan. Untuk mengetahui informasi selengkapnya tentang peran IAM di Security Command Center, lihat Kontrol akses.

Pendeteksi dan kepatuhan

Security Command Center memantau kepatuhan Anda terhadap detektor yang dipetakan ke kontrol berbagai standar keamanan.

Untuk setiap standar keamanan yang didukung, Security Command Center memeriksa subset kontrol. Untuk kontrol yang dicentang, Security Command Center akan menampilkan jumlah yang lulus. Untuk kontrol yang tidak lulus, Security Command Center menampilkan daftar temuan yang menjelaskan kegagalan kontrol.

CIS meninjau dan menyetujui pemetaan detektor Security Command Center untuk setiap versi CIS Google Cloud Foundations Benchmark yang didukung. Pemetaan kepatuhan tambahan hanya disertakan untuk tujuan referensi.

Security Command Center menambahkan dukungan untuk versi dan standar benchmark baru secara berkala. Versi lama tetap didukung, tetapi pada akhirnya tidak digunakan lagi. Sebaiknya gunakan tolok ukur atau standar terbaru yang didukung dan tersedia.

Dengan layanan postur keamanan, Anda dapat memetakan kebijakan organisasi dan detektor Analisis Kesehatan Keamanan ke standar dan kontrol yang berlaku untuk bisnis Anda. Setelah membuat postur keamanan, Anda dapat memantau setiap perubahan pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda.

Untuk informasi selengkapnya tentang mengelola kepatuhan, lihat Menilai dan melaporkan kepatuhan terhadap standar keamanan.

Standar keamanan yang didukung di Google Cloud

Security Command Center memetakan detektor untuk Google Cloud ke satu atau beberapa standar kepatuhan berikut:

Center for Information Security (CIS) Controls 8.0
CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0, dan v1.0.0
CIS Kubernetes Benchmark v1.5.1
Matriks Kontrol Cloud (CCM) 4
Health Insurance Portability and Accountability Act (HIPAA)
International Organization for Standardization (ISO) 27001, 2022, dan 2013
National Institute of Standards and Technology (NIST) 800-53 R5 dan R4
NIST CSF 1.0
Sepuluh Teratas Open Web Application Security Project (OWASP) 2021 dan 2017
Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 4.0 dan 3.2.1
Kontrol Sistem dan Organisasi (SOC) 2 Kriteria Layanan Tepercaya (TSC) 2017

Standar keamanan yang didukung di AWS

Security Command Center memetakan detektor untuk Amazon Web Services (AWS) ke satu atau beberapa standar kepatuhan berikut:

CIS Amazon Web Services Foundations 2.0.0
Kontrol CIS 8.0

Untuk petunjuk tentang cara melihat dan mengekspor laporan kepatuhan, lihat bagian Kepatuhan di Menggunakan Security Command Center di Konsol Google Cloud.

Menemukan penonaktifan setelah perbaikan

Setelah Anda memperbaiki temuan kerentanan atau kesalahan konfigurasi, layanan Security Command Center yang mendeteksi temuan tersebut akan otomatis menyetel status temuan ke INACTIVE saat layanan deteksi memindai temuan itu lagi. Waktu yang diperlukan Security Command Center untuk menetapkan temuan yang diperbaiki ke INACTIVE bergantung pada jadwal pemindaian yang mendeteksi temuan tersebut.

Layanan Security Command Center juga menetapkan status temuan kerentanan atau kesalahan konfigurasi ke INACTIVE saat pemindaian mendeteksi bahwa resource yang terpengaruh oleh temuan tersebut telah dihapus.

Untuk informasi selengkapnya tentang interval pemindaian, lihat topik berikut:

Temuan Security Health Analytics

Pendeteksi Security Health Analytics memantau sebagian resource dari Cloud Asset Inventory (CAI), yang menerima notifikasi tentang perubahan kebijakan resource dan Identity and Access Management (IAM). Beberapa detektor mengambil data dengan langsung memanggil Google Cloud API, seperti yang ditunjukkan dalam tabel nanti di halaman ini.

Untuk informasi selengkapnya tentang Security Health Analytics, jadwal pemindaian, dan dukungan Security Health Analytics untuk detektor modul bawaan dan kustom, lihat Ringkasan Analisis Kondisi Keamanan.

Tabel berikut menjelaskan detektor Security Health Analytics, aset dan standar kepatuhan yang didukung, setelan yang digunakan untuk pemindaian, dan jenis temuan yang dihasilkan. Anda dapat memfilter temuan berdasarkan berbagai atribut menggunakan halaman Kerentanan Security Command Center di Konsol Google Cloud.

Untuk mendapatkan petunjuk tentang cara memperbaiki masalah dan melindungi resource Anda, lihat Memperbaiki temuan Analisis Kondisi Keamanan.

Temuan kerentanan kunci API

Detektor API_KEY_SCANNER mengidentifikasi kerentanan yang terkait dengan kunci API yang digunakan dalam deployment cloud Anda.

**Tabel 1.** Pemindai kunci API
Pendeteksi	Ringkasan	Setelan pemindaian aset
`API key APIs unrestricted` Nama kategori di API: `API_KEY_APIS_UNRESTRICTED`	Menemukan deskripsi: Ada kunci API yang digunakan terlalu luas. Untuk mengatasi hal ini, batasi penggunaan kunci API agar hanya mengizinkan API yang diperlukan oleh aplikasi. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.12 CIS GCP Foundation 1.1: 1.14 CIS GCP Foundation 1.2: 1.14 CIS GCP Foundation 1.3: 1.14 CIS GCP Foundation 2.0: 1.14 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	Mengambil properti `restrictions` dari semua kunci API dalam sebuah project, memeriksa apakah ada yang ditetapkan ke `cloudapis.googleapis.com`. Pemindaian real-time: Ya
`API key apps unrestricted` Nama kategori di API: `API_KEY_APPS_UNRESTRICTED`	Menemukan deskripsi: Ada kunci API yang digunakan secara tidak terbatas, sehingga memungkinkan penggunaan oleh aplikasi yang tidak tepercaya. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.11 CIS GCP Foundation 1.1: 1.13 CIS GCP Foundation 1.2: 1.13 CIS GCP Foundation 1.3: 1.13 CIS GCP Foundation 2.0: 1.13	Mengambil properti `restrictions` dari semua kunci API dalam sebuah project, memeriksa apakah `browserKeyRestrictions`, `serverKeyRestrictions`, `androidKeyRestrictions`, atau `iosKeyRestrictions` ditetapkan. Pemindaian real-time: Ya
`API key exists` Nama kategori di API: `API_KEY_EXISTS`	Menemukan deskripsi: Project menggunakan kunci API, bukan autentikasi standar. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.10 CIS GCP Foundation 1.1: 1.12 CIS GCP Foundation 1.2: 1.12 CIS GCP Foundation 1.3: 1.12 CIS GCP Foundation 2.0: 1.12 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	Mengambil semua kunci API yang dimiliki oleh sebuah project. Pemindaian real-time: Ya
`API key not rotated` Nama kategori di API: `API_KEY_NOT_ROTATED`	Menemukan deskripsi: Kunci API belum dirotasi selama lebih dari 90 hari. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.13 CIS GCP Foundation 1.1: 1.15 CIS GCP Foundation 1.2: 1.15 CIS GCP Foundation 1.3: 1.15 CIS GCP Foundation 2.0: 1.15 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	Mengambil stempel waktu yang terdapat di properti `createTime` dari semua kunci API, yang memeriksa apakah 90 hari telah berlalu. Pemindaian real-time: Ya

Temuan kerentanan Inventaris Aset Cloud

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Inventaris Aset Cloud dan termasuk dalam jenis CLOUD_ASSET_SCANNER.

**Tabel 2.** Pemindai Inventaris Aset Cloud
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Cloud Asset API disabled` Nama kategori di API: `CLOUD_ASSET_API_DISABLED`	Deskripsi penemuan: Pengambilan resource Google Cloud dan kebijakan IAM oleh Inventaris Aset Cloud memungkinkan analisis keamanan, pelacakan perubahan resource, dan audit kepatuhan. Sebaiknya aktifkan layanan Inventaris Aset Cloud untuk semua project. Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium Aset yang didukung pubsub.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.3: 2.13 CIS GCP Foundation 2.0: 2.13 NIST 800-53 R5: CM-8, PM-5 PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1 ISO-27001 v2022: A.5.9, A.8.8 Cloud Controls Matrix 4: UEM-04 NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3 SOC2 v2017: CC3.2.6, CC6.1.1 HIPAA: 164.310(d)(2)(iii) CIS Controls 8.0: 1.1, 6.6	Memeriksa apakah layanan Inventaris Aset Cloud diaktifkan. Pemindaian real-time: Ya

Menghitung temuan kerentanan gambar

Detektor COMPUTE_IMAGE_SCANNER mengidentifikasi kerentanan yang terkait dengan konfigurasi image Google Cloud.

**Tabel 3.** Pemindai image komputasi
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Public Compute image` Nama kategori di API: `PUBLIC_COMPUTE_IMAGE`	Menemukan deskripsi: Image Compute Engine dapat diakses secara publik. Tingkat harga: Premium atau Standar Aset yang didukung compute.googleapis.com/Image Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama `allUsers` atau `allAuthenticatedUsers`, yang memberikan akses publik. Pemindaian real-time: Ya

Temuan kerentanan instance komputasi

Detektor COMPUTE_INSTANCE_SCANNER mengidentifikasi kerentanan yang terkait dengan konfigurasi instance Compute Engine.

Pendeteksi COMPUTE_INSTANCE_SCANNER tidak melaporkan temuan pada instance Compute Engine yang dibuat oleh GKE. Instance tersebut memiliki nama yang diawali dengan "gke-", yang tidak dapat diedit pengguna. Untuk mengamankan instance ini, lihat bagian temuan kerentanan container.

**Tabel 4.** Pemindai instance komputasi
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Confidential Computing disabled` Nama kategori di API: `CONFIDENTIAL_COMPUTING_DISABLED`	Deskripsi penemuan: Confidential Computing dinonaktifkan pada instance Compute Engine. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 4.11 CIS GCP Foundation 1.3: 4.11 CIS GCP Foundation 2.0: 4.11 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Memeriksa properti `confidentialInstanceConfig` metadata instance untuk pasangan nilai kunci `"enableConfidentialCompute":true`. Aset yang dikecualikan dari pemindaian: Instance GKE Akses VPC Serverless Instance yang terkait dengan tugas Dataflow Instance Compute Engine yang bukan berjenis N2D Pemindaian real-time: Ya
`Compute project wide SSH keys allowed` Nama kategori di API: `COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Menemukan deskripsi: Kunci SSH di seluruh project digunakan, sehingga login ke semua instance dalam project dapat dilakukan. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 4.2 CIS GCP Foundation 1.1: 4.3 CIS GCP Foundation 1.2: 4.3 CIS GCP Foundation 1.3: 4.3 CIS GCP Foundation 2.0: 4.3 NIST 800-53 R5: AC-17, IA-5, SC-8 PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2 ISO-27001 v2022: A.5.14 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-2 SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2 HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii) CIS Controls 8.0: 3.10, 5.2	Memeriksa objek `metadata.items[]` dalam metadata instance untuk pasangan nilai kunci `"key": "block-project-ssh-keys", "value": TRUE`. Aset yang dikecualikan dari pemindaian: instance GKE, tugas Dataflow, instance Windows Izin IAM tambahan: `roles/compute.Viewer` Input tambahan: Membaca metadata dari Compute Engine Pemindaian real-time: Tidak
`Compute Secure Boot disabled` Nama kategori di API: `COMPUTE_SECURE_BOOT_DISABLED`	Deskripsi penemuan: Shielded VM ini tidak mengaktifkan Booting Aman. Penggunaan Booting Aman membantu melindungi instance virtual machine dari ancaman lanjutan, seperti rootkit dan bootkit. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa properti `shieldedInstanceConfig` pada instance Compute Engine untuk menentukan apakah `enableSecureBoot` ditetapkan ke `true`. Detektor ini memeriksa apakah disk yang terpasang kompatibel dengan Booting Aman dan Booting Aman diaktifkan. Aset yang dikecualikan dari pemindaian: Instance GKE, disk Compute Engine yang memiliki akselerator GPU dan tidak menggunakan Container-Optimized OS, dan Akses VPC Tanpa Server Pemindaian real-time: Ya
`Compute serial ports enabled` Nama kategori di API: `COMPUTE_SERIAL_PORTS_ENABLED`	Deskripsi penemuan: Port serial diaktifkan untuk sebuah instance, sehingga memungkinkan koneksi ke konsol serial instance. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 4.4 CIS GCP Foundation 1.1: 4.5 CIS GCP Foundation 1.2: 4.5 CIS GCP Foundation 1.3: 4.5 CIS GCP Foundation 2.0: 4.5 NIST 800-53 R5: CM-6, CM-7 PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1 ISO-27001 v2022: A.8.9 SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4 CIS Controls 8.0: 4.8	Memeriksa objek `metadata.items[]` dalam metadata instance untuk pasangan nilai kunci `"key": "serial-port-enable", "value": TRUE`. Aset yang dikecualikan dari pemindaian: Instance GKE Izin IAM tambahan: `roles/compute.Viewer` Input tambahan: Membaca metadata dari Compute Engine Pemindaian real-time: Ya
`Default service account used` Nama kategori di API: `DEFAULT_SERVICE_ACCOUNT_USED`	Menemukan deskripsi: Instance dikonfigurasi untuk menggunakan akun layanan default. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 4.1 CIS GCP Foundation 1.2: 4.1 CIS GCP Foundation 1.3: 4.1 CIS GCP Foundation 2.0: 4.1 NIST 800-53 R5: IA-5 PCI-DSS v4.0: 2.2.2, 2.3.1 ISO-27001 v2022: A.8.2, A.8.9 NIST Cybersecurity Framework 1.0: PR-AC-1 SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3 CIS Controls 8.0: 4.7	Memeriksa properti `serviceAccounts` dalam metadata instance untuk setiap alamat email akun layanan dengan awalan `PROJECT_NUMBER-compute@developer.gserviceaccount.com`, yang menunjukkan akun layanan default yang dibuat Google. Aset yang dikecualikan dari pemindaian: instance GKE, tugas Dataflow Pemindaian real-time: Ya
`Disk CMEK disabled` Nama kategori di API: `DISK_CMEK_DISABLED`	Deskripsi penemuan: Disk di VM ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Disk Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa kolom `kmsKeyName` dalam objek `diskEncryptionKey`, dalam metadata disk, untuk mengetahui nama resource CMEK Anda. Aset yang dikecualikan dari pemindaian: Disk yang terkait dengan lingkungan Cloud Composer, tugas Dataflow, dan instance GKE Pemindaian real-time: Ya
`Disk CSEK disabled` Nama kategori di API: `DISK_CSEK_DISABLED`	Deskripsi penemuan: Disk pada VM ini tidak dienkripsi dengan Kunci Enkripsi yang Disediakan Pelanggan (CSEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mendapatkan petunjuk, lihat Pendeteksi kasus khusus. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Disk Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 4.6 CIS GCP Foundation 1.1: 4.7 CIS GCP Foundation 1.2: 4.7 CIS GCP Foundation 1.3: 4.7 CIS GCP Foundation 2.0: 4.7 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Memeriksa kolom `kmsKeyName` di objek `diskEncryptionKey` untuk nama resource CSEK Anda. Aset yang dikecualikan dari pemindaian: Disk Compute Engine tanpa tanda keamanan enforce_customer_provider_disk_encryption_keys yang disetel ke `true` Izin IAM tambahan: `roles/compute.Viewer` Input tambahan: Membaca metadata dari Compute Engine Pemindaian real-time: Ya
`Full API access` Nama kategori di API: `FULL_API_ACCESS`	Menemukan deskripsi: Instance dikonfigurasi untuk menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 4.1 CIS GCP Foundation 1.1: 4.2 CIS GCP Foundation 1.2: 4.2 CIS GCP Foundation 1.3: 4.2 CIS GCP Foundation 2.0: 4.2 NIST 800-53 R4: AC-6 NIST 800-53 R5: IA-5 PCI-DSS v3.2.1: 7.1.2 PCI-DSS v4.0: 2.2.2, 2.3.1 ISO-27001 v2013: A.9.2.3 ISO-27001 v2022: A.8.2, A.8.9 NIST Cybersecurity Framework 1.0: PR-AC-1 SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3 CIS Controls 8.0: 4.7	Mengambil kolom `scopes` di properti `serviceAccounts` untuk memeriksa apakah akun layanan default digunakan dan apakah sudah diberi cakupan `cloud-platform`. Aset yang dikecualikan dari pemindaian: instance GKE, tugas Dataflow Pemindaian real-time: Ya
`HTTP load balancer` Nama kategori di API: `HTTP_LOAD_BALANCER`	Deskripsi penemuan: Instance menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/TargetHttpProxy Perbaiki temuan ini Standar kepatuhan: PCI-DSS v3.2.1: 2.3	Menentukan apakah properti `selfLink` dari resource `targetHttpProxy` cocok dengan atribut `target` dalam aturan penerusan, dan apakah aturan penerusan berisi kolom `loadBalancingScheme` yang ditetapkan ke `External`. Izin IAM tambahan: `roles/compute.Viewer` Input tambahan: Membaca aturan penerusan untuk proxy HTTP target dari Compute Engine, yang memeriksa aturan eksternal Pemindaian real-time: Ya
`IP forwarding enabled` Nama kategori di API: `IP_FORWARDING_ENABLED`	Deskripsi penemuan: Penerusan IP diaktifkan pada instance. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 4.5 CIS GCP Foundation 1.1: 4.6 CIS GCP Foundation 1.2: 4.6 CIS GCP Foundation 1.3: 4.6 CIS GCP Foundation 2.0: 4.6 NIST 800-53 R5: CA-9, SC-7 PCI-DSS v4.0: 1.2.1, 1.4.1 SOC2 v2017: CC6.6.1, CC6.6.4 CIS Controls 8.0: 4.4, 4.5	Memeriksa apakah properti `canIpForward` instance ditetapkan ke `true`. Aset yang dikecualikan dari pemindaian: Instance GKE, Akses VPC Serverless Pemindaian real-time: Ya
`OS login disabled` Nama kategori di API: `OS_LOGIN_DISABLED`	Menemukan deskripsi: Login OS dinonaktifkan pada instance ini. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 4.3 CIS GCP Foundation 1.1: 4.4 CIS GCP Foundation 1.2: 4.4 CIS GCP Foundation 1.3: 4.4 CIS GCP Foundation 2.0: 4.4 NIST 800-53 R5: AC-2 ISO-27001 v2022: A.5.15 SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9 CIS Controls 8.0: 5.6, 6.7	Memeriksa objek `commonInstanceMetadata.items[]` dalam metadata project untuk pasangan nilai kunci, `"key"`: `"enable-oslogin"`, `"value"`: `TRUE`. Detektor juga memeriksa semua instance dalam project Compute Engine untuk menentukan apakah Login OS dinonaktifkan untuk setiap instance. Aset yang dikecualikan dari pemindaian: Instance GKE, instance yang terkait dengan tugas Dataflow Izin IAM tambahan: `roles/compute.Viewer` Input tambahan: Membaca metadata dari Compute Engine. Detektor tersebut juga memeriksa instance Compute Engine dalam project Pemindaian real-time: Tidak
`Public IP address` Nama kategori di API: `PUBLIC_IP_ADDRESS`	Deskripsi penemuan: Instance memiliki alamat IP publik. Tingkat harga: Premium atau Standar Aset yang didukung compute.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 4.9 CIS GCP Foundation 1.2: 4.9 CIS GCP Foundation 1.3: 4.9 CIS GCP Foundation 2.0: 4.9 NIST 800-53 R4: CA-3, SC-7 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 1.2.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa apakah properti `networkInterfaces` berisi kolom `accessConfigs`, yang menunjukkan bahwa properti dikonfigurasi untuk menggunakan alamat IP publik. Aset yang dikecualikan dari pemindaian: Instance GKE, instance yang terkait dengan tugas Dataflow Pemindaian real-time: Ya
`Shielded VM disabled` Nama kategori di API: `SHIELDED_VM_DISABLED`	Menemukan deskripsi: Shielded VM dinonaktifkan pada instance ini. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 4.8 CIS GCP Foundation 1.2: 4.8 CIS GCP Foundation 1.3: 4.8 CIS GCP Foundation 2.0: 4.8	Memeriksa properti `shieldedInstanceConfig` di instance Compute Engine untuk menentukan apakah kolom `enableIntegrityMonitoring` dan `enableVtpm` ditetapkan ke `true`. Kolom ini menunjukkan apakah Shielded VM diaktifkan atau tidak. Aset yang dikecualikan dari pemindaian: Instance GKE dan Akses VPC Serverless Pemindaian real-time: Ya
`Weak SSL policy` Nama kategori di API: `WEAK_SSL_POLICY`	Deskripsi penemuan: Instance memiliki kebijakan SSL yang lemah. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/TargetHttpsProxy compute.googleapis.com/TargetSslProxy Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 3.9 CIS GCP Foundation 1.2: 3.9 CIS GCP Foundation 1.3: 3.9 CIS GCP Foundation 2.0: 3.9 NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 4.1 ISO-27001 v2013: A.14.1.3	Memeriksa apakah `sslPolicy` dalam metadata aset kosong atau menggunakan kebijakan default Google Cloud dan, untuk resource `sslPolicies` yang terlampir, apakah `profile` disetel ke `Restricted` atau `Modern`, `minTlsVersion` disetel ke `TLS 1.2`, dan `customFeatures` kosong atau tidak berisi cipher berikut: `TLS_RSA_WITH_AES_128_GCM_SHA256`, `TLS_RSA_WITH_AES_256_GCM_SHA384`, `TLS_RSA_WITH_AES_128_CBC_SHA`, `TLS_RSA_WITH_AES_256_CBC_SHA`, `TLS_RSA_WITH_3DES_EDE_CBC_SHA`. Izin IAM tambahan: `roles/compute.Viewer` Input tambahan: Membaca kebijakan SSL untuk penyimpanan proxy target, memeriksa kebijakan yang lemah Pemindaian real-time: Ya, tetapi hanya saat TargetHttpsProxy dari TargetSslProxy diupdate, bukan saat kebijakan SSL diperbarui

Temuan kerentanan container

Semua jenis temuan ini berhubungan dengan konfigurasi penampung GKE, dan termasuk dalam jenis detektor CONTAINER_SCANNER.

**Tabel 5.** Pemindai container
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Alpha cluster enabled` Nama kategori di API: `ALPHA_CLUSTER_ENABLED`	Deskripsi penemuan: Fitur cluster alfa diaktifkan untuk cluster GKE. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GKE 1.0: 6.10.2	Memeriksa apakah properti `enableKubernetesAlpha` cluster ditetapkan ke `true`. Pemindaian real-time: Ya
`Auto repair disabled` Nama kategori di API: `AUTO_REPAIR_DISABLED`	Deskripsi penemuan: Fitur perbaikan otomatis cluster GKE, yang menjaga node agar tetap dalam keadaan berjalan dan sehat, dinonaktifkan. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.7 CIS GKE 1.0: 6.5.2 PCI-DSS v3.2.1: 2.2	Memeriksa properti `management` kumpulan node untuk pasangan nilai kunci, `"key":` `"autoRepair"`, `"value":` `true`. Pemindaian real-time: Ya
`Auto upgrade disabled` Nama kategori di API: `AUTO_UPGRADE_DISABLED`	Deskripsi penemuan: Fitur upgrade otomatis cluster GKE, yang mempertahankan cluster dan node pool pada Kubernetes versi stabil terbaru, dinonaktifkan. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.8 CIS GKE 1.0: 6.5.3 PCI-DSS v3.2.1: 2.2	Memeriksa properti `management` kumpulan node untuk pasangan nilai kunci, `"key":` `"autoUpgrade"`, `"value":` `true`. Pemindaian real-time: Ya
`Binary authorization disabled` Nama kategori di API: `BINARY_AUTHORIZATION_DISABLED`	Menemukan deskripsi: Otorisasi Biner dinonaktifkan di cluster GKE atau kebijakan Otorisasi Biner dikonfigurasi untuk mengizinkan semua image di-deploy. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa hal berikut: Memeriksa apakah properti `binaryAuthorization` memiliki salah satu key-value pair berikut: `"evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"` `"evaluationMode": "POLICY_BINDINGS"` `"evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"` Memeriksa apakah properti kebijakan `defaultAdmissionRule` tidak berisi pasangan nilai kunci `evaluationMode: ALWAYS_ALLOW`. Pemindaian real-time: Ya
`Cluster logging disabled` Nama kategori di API: `CLUSTER_LOGGING_DISABLED`	Menemukan deskripsi: Logging tidak diaktifkan untuk cluster GKE. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.2.2, 10.2.7	Memeriksa apakah properti `loggingService` cluster berisi lokasi yang harus digunakan Cloud Logging untuk menulis log. Pemindaian real-time: Ya
`Cluster monitoring disabled` Nama kategori di API: `CLUSTER_MONITORING_DISABLED`	Menemukan deskripsi: Pemantauan dinonaktifkan di cluster GKE. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.2 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.1, 10.2	Memeriksa apakah properti `monitoringService` cluster berisi lokasi yang harus digunakan Cloud Monitoring untuk menulis metrik. Pemindaian real-time: Ya
`Cluster private Google access disabled` Nama kategori di API: `CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Deskripsi penemuan: Host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi guna mengakses Google API. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.16 PCI-DSS v3.2.1: 1.3	Memeriksa apakah properti `privateIpGoogleAccess` dari subnetwork disetel ke `false`. Input tambahan: Membaca subnetwork dari penyimpanan, mengajukan temuan hanya untuk cluster dengan subnetwork Pemindaian real-time: Ya, tetapi hanya jika cluster diupdate, bukan untuk update subnetwork
`Cluster secrets encryption disabled` Nama kategori di API: `CLUSTER_SECRETS_ENCRYPTION_DISABLED`	Deskripsi penemuan: Enkripsi rahasia lapisan aplikasi dinonaktifkan di cluster GKE. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GKE 1.0: 6.3.1	Memeriksa properti `keyName` objek `databaseEncryption` untuk pasangan nilai kunci `"state": ENCRYPTED`. Pemindaian real-time: Ya
`Cluster shielded nodes disabled` Nama kategori di API: `CLUSTER_SHIELDED_NODES_DISABLED`	Deskripsi penemuan: Node GKE yang terlindungi tidak diaktifkan untuk cluster. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GKE 1.0: 6.5.5	Memeriksa properti `shieldedNodes` untuk pasangan nilai kunci `"enabled": true`. Pemindaian real-time: Ya
`COS not used` Nama kategori di API: `COS_NOT_USED`	Menemukan deskripsi: VM Compute Engine tidak menggunakan OS yang Dioptimalkan untuk Container yang dirancang untuk menjalankan container Docker di Google Cloud dengan aman. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.9 CIS GKE 1.0: 6.5.1 PCI-DSS v3.2.1: 2.2	Memeriksa properti `config` kumpulan node untuk pasangan nilai kunci, `"imageType":` `"COS"`. Pemindaian real-time: Ya
`Integrity monitoring disabled` Nama kategori di API: `INTEGRITY_MONITORING_DISABLED`	Menemukan deskripsi: Pemantauan integritas dinonaktifkan untuk cluster GKE. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GKE 1.0: 6.5.6	Memeriksa properti `shieldedInstanceConfig` objek `nodeConfig` untuk pasangan nilai kunci `"enableIntegrityMonitoring": true`. Pemindaian real-time: Ya
`Intranode visibility disabled` Nama kategori di API: `INTRANODE_VISIBILITY_DISABLED`	Deskripsi penemuan: Visibilitas intranode dinonaktifkan untuk cluster GKE. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GKE 1.0: 6.6.1	Memeriksa properti `networkConfig` untuk pasangan nilai kunci `"enableIntraNodeVisibility": true`. Pemindaian real-time: Ya
`IP alias disabled` Nama kategori di API: `IP_ALIAS_DISABLED`	Deskripsi penemuan: Cluster GKE dibuat dengan rentang IP alias dinonaktifkan. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.13 CIS GKE 1.0: 6.6.2 PCI-DSS v3.2.1: 1.3.4, 1.3.7	Memeriksa apakah kolom `useIPAliases` dari `ipAllocationPolicy` dalam cluster ditetapkan ke `false`. Pemindaian real-time: Ya
`Legacy authorization enabled` Nama kategori di API: `LEGACY_AUTHORIZATION_ENABLED`	Menemukan deskripsi: Otorisasi Lama diaktifkan di cluster GKE. Tingkat harga: Premium atau Standar Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.3 CIS GKE 1.0: 6.8.3 PCI-DSS v3.2.1: 4.1	Memeriksa properti `legacyAbac` cluster untuk pasangan nilai kunci, `"enabled"`: `true`. Pemindaian real-time: Ya
`Legacy metadata enabled` Nama kategori di API: `LEGACY_METADATA_ENABLED`	Deskripsi penemuan: Metadata lama diaktifkan di cluster GKE. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GKE 1.0: 6.4.1	Memeriksa properti `config` kumpulan node untuk pasangan nilai kunci, `"disable-legacy-endpoints"`: `"false"`. Pemindaian real-time: Ya
`Master authorized networks disabled` Nama kategori di API: `MASTER_AUTHORIZED_NETWORKS_DISABLED`	Deskripsi penemuan: Jaringan yang Diotorisasi Bidang Kontrol tidak diaktifkan di cluster GKE. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.4 CIS GKE 1.0: 6.6.3 PCI-DSS v3.2.1: 1.2.1, 1.3.2	Memeriksa properti `masterAuthorizedNetworksConfig` cluster untuk pasangan nilai kunci, `"enabled"`: `false`. Pemindaian real-time: Ya
`Network policy disabled` Nama kategori di API: `NETWORK_POLICY_DISABLED`	Menemukan deskripsi: Kebijakan jaringan dinonaktifkan di cluster GKE. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.11 NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.3 ISO-27001 v2013: A.13.1.1	Memeriksa kolom `networkPolicy` di properti `addonsConfig` untuk pasangan nilai kunci, `"disabled"`: `true`. Pemindaian real-time: Ya
`Nodepool boot CMEK disabled` Nama kategori di API: `NODEPOOL_BOOT_CMEK_DISABLED`	Deskripsi penemuan: Boot disk dalam kumpulan node ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa properti `bootDiskKmsKey` kumpulan node untuk nama resource CMEK Anda. Pemindaian real-time: Ya
`Nodepool secure boot disabled` Nama kategori di API: `NODEPOOL_SECURE_BOOT_DISABLED`	Deskripsi penemuan: Booting Aman dinonaktifkan untuk cluster GKE. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GKE 1.0: 6.5.7	Memeriksa properti `shieldedInstanceConfig` objek `nodeConfig` untuk pasangan nilai kunci `"enableSecureBoot": true`. Pemindaian real-time: Ya
`Over privileged account` Nama kategori di API: `OVER_PRIVILEGED_ACCOUNT`	Deskripsi penemuan: Akun layanan memiliki akses project yang terlalu luas dalam cluster. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.17 NIST 800-53 R4: AC-6, SC-7 CIS GKE 1.0: 6.2.1 PCI-DSS v3.2.1: 2.1, 7.1.2 ISO-27001 v2013: A.9.2.3	Mengevaluasi properti `config` dari kumpulan node untuk memeriksa apakah tidak ada akun layanan yang ditentukan atau apakah akun layanan default digunakan. Pemindaian real-time: Ya
`Over privileged scopes` Nama kategori di API: `OVER_PRIVILEGED_SCOPES`	Deskripsi penemuan: Akun layanan node memiliki cakupan akses yang luas. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.18 CIS GKE 1.0: 6.2.1	Memeriksa apakah cakupan akses yang tercantum di properti `config.oauthScopes` kumpulan node adalah cakupan akses akun layanan terbatas: `https://www.googleapis.com/auth/devstorage.read_only`, `https://www.googleapis.com/auth/logging.write`, atau `https://www.googleapis.com/auth/monitoring`. Pemindaian real-time: Ya
`Pod security policy disabled` Nama kategori di API: `POD_SECURITY_POLICY_DISABLED`	Deskripsi pencarian: PodSecurityPolicy dinonaktifkan di cluster GKE. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.14 CIS GKE 1.0: 6.10.3	Memeriksa properti `podSecurityPolicyConfig` cluster untuk pasangan nilai kunci, `"enabled"`: `false`. Izin IAM tambahan: `roles/container.clusterViewer` Input tambahan: Membaca informasi cluster dari GKE, karena kebijakan keamanan pod merupakan fitur Beta. Kubernetes secara resmi telah menghentikan PodSecurityPolicy dalam versi 1.21. PodSecurityPolicy akan dinonaktifkan pada versi 1.25. Untuk mengetahui informasi mengenai alternatif lainnya, baca penghentian PodSecurityPolicy. Pemindaian real-time: Tidak
`Private cluster disabled` Nama kategori di API: `PRIVATE_CLUSTER_DISABLED`	Deskripsi penemuan: Cluster GKE menonaktifkan cluster Pribadi. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.15 CIS GKE 1.0: 6.6.5 PCI-DSS v3.2.1: 1.3.2	Memeriksa apakah kolom `enablePrivateNodes` dari properti `privateClusterConfig` ditetapkan ke `false`. Pemindaian real-time: Ya
`Release channel disabled` Nama kategori di API: `RELEASE_CHANNEL_DISABLED`	Deskripsi penemuan: Cluster GKE tidak berlangganan ke saluran rilis. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GKE 1.0: 6.5.4	Memeriksa properti `releaseChannel` untuk pasangan nilai kunci `"channel": UNSPECIFIED`. Pemindaian real-time: Ya
`Web UI enabled` Nama kategori di API: `WEB_UI_ENABLED`	Menemukan deskripsi: UI web GKE (dasbor) diaktifkan. Tingkat harga: Premium atau Standar Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 7.6 CIS GKE 1.0: 6.10.1 PCI-DSS v3.2.1: 6.6	Memeriksa kolom `kubernetesDashboard` di properti `addonsConfig` untuk pasangan nilai kunci, `"disabled": false`. Pemindaian real-time: Ya
`Workload Identity disabled` Nama kategori di API: `WORKLOAD_IDENTITY_DISABLED`	Menemukan deskripsi: Workload Identity dinonaktifkan di cluster GKE. Tingkat harga: Premium Aset yang didukung container.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GKE 1.0: 6.2.2	Memeriksa apakah properti `workloadIdentityConfig` cluster telah ditetapkan. Detektor juga memeriksa apakah properti `workloadMetadataConfig` dari kumpulan node ditetapkan ke `GKE_METADATA`. Izin IAM tambahan: `roles/container.clusterViewer` Pemindaian real-time: Ya

Temuan kerentanan Dataproc

Semua kerentanan jenis detektor ini berkaitan dengan Dataproc dan termasuk dalam jenis detektor DATAPROC_SCANNER.

**Tabel 6.** Pemindai Dataproc
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Dataproc CMEK disabled` Nama kategori di API: `DATAPROC_CMEK_DISABLED`	Deskripsi penemuan: Cluster Dataproc dibuat tanpa konfigurasi enkripsi CMEK. Dengan CMEK, kunci yang Anda buat dan kelola di Cloud Key Management Service menggabungkan kunci yang digunakan Google Cloud untuk mengenkripsi data Anda, sehingga Anda memiliki kontrol lebih besar atas akses ke data Anda. Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium Aset yang didukung dataproc.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.3: 1.17 CIS GCP Foundation 2.0: 1.17 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Memeriksa apakah kolom `kmsKeyName` di properti `encryptionConfiguration` kosong. Pemindaian real-time: Ya
`Dataproc image outdated` Nama kategori di API: `DATAPROC_IMAGE_OUTDATED`	Deskripsi penemuan: Cluster Dataproc dibuat dengan versi image Dataproc yang terpengaruh oleh kerentanan keamanan di utilitas Apache Log4j 2 (CVE-2021-44228 dan CVE-2021-45046). Tingkat harga: Premium atau Standar Aset yang didukung dataproc.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa apakah kolom `softwareConfig.imageVersion` di properti `config` dari `Cluster` lebih lama dari 1.3.95 atau merupakan versi image subminor yang lebih lama dari 1.4.77, 1.5.53, atau 2.0.27. Pemindaian real-time: Ya

Temuan kerentanan set data

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Set Data BigQuery, dan termasuk dalam jenis detektor DATASET_SCANNER.

**Tabel 7.** Pemindai set data
Pendeteksi	Ringkasan	Setelan pemindaian aset
`BigQuery table CMEK disabled` Nama kategori di API: `BIGQUERY_TABLE_CMEK_DISABLED`	Deskripsi temuan: Tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium Aset yang didukung bigquery.googleapis.com/Table Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 7.2 CIS GCP Foundation 1.3: 7.2 CIS GCP Foundation 2.0: 7.2 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Memeriksa apakah kolom `kmsKeyName` di properti `encryptionConfiguration` kosong. Pemindaian real-time: Ya
`Dataset CMEK disabled` Nama kategori di API: `DATASET_CMEK_DISABLED`	Menemukan deskripsi: Set data BigQuery tidak dikonfigurasi untuk menggunakan CMEK default. Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium Aset yang didukung bigquery.googleapis.com/Dataset Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 7.3 CIS GCP Foundation 1.3: 7.3 CIS GCP Foundation 2.0: 7.3 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Memeriksa apakah kolom `kmsKeyName` di properti `defaultEncryptionConfiguration` kosong. Pemindaian real-time: Tidak
`Public dataset` Nama kategori di API: `PUBLIC_DATASET`	Finding description: Set data dikonfigurasi agar terbuka untuk akses publik. Tingkat harga: Premium atau Standar Aset yang didukung bigquery.googleapis.com/Dataset Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 7.1 CIS GCP Foundation 1.2: 7.1 CIS GCP Foundation 1.3: 7.1 CIS GCP Foundation 2.0: 7.1 NIST 800-53 R4: AC-2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 7.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.14.1.3, A.8.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama `allUsers` atau `allAuthenticatedUsers`, yang memberikan akses publik. Pemindaian real-time: Ya

Temuan kerentanan DNS

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Cloud DNS, dan termasuk dalam jenis detektor DNS_SCANNER.

**Tabel 8.** Pemindai DNS
Pendeteksi	Ringkasan	Setelan pemindaian aset
`DNSSEC disabled` Nama kategori di API: `DNSSEC_DISABLED`	Menemukan deskripsi: DNSSEC dinonaktifkan untuk zona Cloud DNS. Tingkat harga: Premium Aset yang didukung dns.googleapis.com/ManagedZone Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 3.3 CIS GCP Foundation 1.1: 3.3 CIS GCP Foundation 1.2: 3.3 CIS GCP Foundation 1.3: 3.3 CIS GCP Foundation 2.0: 3.3 NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2013: A.8.2.3 ISO-27001 v2022: A.8.9 Cloud Controls Matrix 4: IVS-04 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC5.2.2 CIS Controls 8.0: 4.2	Memeriksa apakah kolom `state` dari properti `dnssecConfig` ditetapkan ke `off`. Aset yang dikecualikan dari pemindaian: Zona Cloud DNS yang tidak bersifat publik Pemindaian real-time: Ya
`RSASHA1 for signing` Nama kategori di API: `RSASHA1_FOR_SIGNING`	Deskripsi penemuan: RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS. Tingkat harga: Premium Aset yang didukung dns.googleapis.com/ManagedZone Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 3.4, 3.5 CIS GCP Foundation 1.1: 3.4, 3.5 CIS GCP Foundation 1.2: 3.4, 3.5 CIS GCP Foundation 1.3: 3.4, 3.5 CIS GCP Foundation 2.0: 3.4, 3.5 NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.9 Cloud Controls Matrix 4: IVS-04 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC5.2.2 CIS Controls 8.0: 4.2	Memeriksa apakah objek `defaultKeySpecs.algorithm` dari properti `dnssecConfig` ditetapkan ke `rsasha1`. Pemindaian real-time: Ya

Temuan kerentanan firewall

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi firewall, dan termasuk dalam jenis detektor FIREWALL_SCANNER.

**Tabel 9.** Pemindai firewall
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Egress deny rule not set` Nama kategori di API: `EGRESS_DENY_RULE_NOT_SET`	Deskripsi penemuan: Aturan penolakan traffic keluar tidak ditetapkan di firewall. Aturan penolakan traffic keluar harus ditetapkan untuk memblokir traffic keluar yang tidak diinginkan. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: PCI-DSS v3.2.1: 7.2	Memeriksa apakah properti `destinationRanges` di firewall disetel ke `0.0.0.0/0` dan properti `denied` berisi pasangan nilai kunci, `"IPProtocol"`: `"all"`. Input tambahan: Membaca firewall keluar untuk project dari penyimpanan Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan perubahan aturan firewall
`Firewall rule logging disabled` Nama kategori di API: `FIREWALL_RULE_LOGGING_DISABLED`	Deskripsi penemuan: Logging aturan firewall dinonaktifkan. Logging aturan firewall harus diaktifkan agar Anda dapat mengaudit akses jaringan. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SI-4 PCI-DSS v3.2.1: 10.1, 10.2 ISO-27001 v2013: A.13.1.1	Memeriksa properti `logConfig` di metadata firewall untuk melihat apakah properti kosong atau berisi pasangan nilai kunci `"enable"`: `false`. Aset yang dikecualikan dari pemindaian: instance GKE, aturan firewall yang dibuat oleh GKE, Akses VPC Serverless Pemindaian real-time: Ya
`Open Cassandra port` Nama kategori di API: `OPEN_CASSANDRA_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port Cassandra terbuka yang mengizinkan akses generik. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` di metadata firewall untuk protokol dan port berikut: `TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621`. Pemindaian real-time: Ya
`Open ciscosecure websm port` Nama kategori di API: `OPEN_CISCOSECURE_WEBSM_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port CISCOSECURE_WEBSM terbuka yang mengizinkan akses umum. Tingkat harga: Premium atau Standar Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` di metadata firewall untuk protokol dan port berikut: `TCP:9090`. Pemindaian real-time: Ya
`Open directory services port` Nama kategori di API: `OPEN_DIRECTORY_SERVICES_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port DIRECTORY_SERVICES terbuka yang memungkinkan akses generik. Tingkat harga: Premium atau Standar Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` dalam metadata firewall untuk protokol dan port berikut: `TCP:445` dan `UDP:445`. Pemindaian real-time: Ya
`Open DNS port` Nama kategori di API: `OPEN_DNS_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port DNS terbuka yang mengizinkan akses generik. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` dalam metadata firewall untuk protokol dan port berikut: `TCP:53` dan `UDP:53`. Pemindaian real-time: Ya
`Open elasticsearch port` Nama kategori di API: `OPEN_ELASTICSEARCH_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port ElastICSEARCH terbuka yang memungkinkan akses generik. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` di metadata firewall untuk protokol dan port berikut: `TCP:9200, 9300`. Pemindaian real-time: Ya
`Open firewall` Nama kategori di API: `OPEN_FIREWALL`	Deskripsi penemuan: Firewall dikonfigurasi agar terbuka untuk akses publik. Tingkat harga: Premium atau Standar Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: PCI-DSS v3.2.1: 1.2.1	Memeriksa properti `sourceRanges` dan `allowed` untuk salah satu dari dua konfigurasi: Properti `sourceRanges` berisi `0.0.0.0/0` dan properti `allowed` berisi kombinasi aturan yang menyertakan `protocol` atau `protocol:port`, kecuali hal berikut: icmp tcp:22 tcp:443 tcp:3389 udp:3389 sctp:22 Properti `sourceRanges` berisi kombinasi rentang IP yang menyertakan alamat IP non-pribadi dan properti `allowed` berisi kombinasi aturan yang mengizinkan semua port tcp atau semua port udp. Aset yang dikecualikan dari pemindaian: Aturan firewall yang dibuat oleh GKE Pemindaian real-time: Ya
`Open FTP port` Nama kategori di API: `OPEN_FTP_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port FTP terbuka yang mengizinkan akses generik. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` di metadata firewall untuk protokol dan port berikut: `TCP:21`. Pemindaian real-time: Ya
`Open HTTP port` Nama kategori di API: `OPEN_HTTP_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port HTTP terbuka yang memungkinkan akses generik. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` di metadata firewall untuk protokol dan port berikut: `TCP:80`. Pemindaian real-time: Ya
`Open LDAP port` Nama kategori di API: `OPEN_LDAP_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port LDAP terbuka yang mengizinkan akses generik. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` dalam metadata firewall untuk protokol dan port berikut: `TCP:389, 636` dan `UDP:389`. Pemindaian real-time: Ya
`Open Memcached port` Nama kategori di API: `OPEN_MEMCACHED_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port MEMCACHED terbuka yang memungkinkan akses umum. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` dalam metadata firewall untuk protokol dan port berikut: `TCP:11211, 11214-11215` dan `UDP:11211, 11214-11215`. Pemindaian real-time: Ya
`Open MongoDB port` Nama kategori di API: `OPEN_MONGODB_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port MONGODB terbuka yang mengizinkan akses generik. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` di metadata firewall untuk protokol dan port berikut: `TCP:27017-27019`. Pemindaian real-time: Ya
`Open MySQL port` Nama kategori di API: `OPEN_MYSQL_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port MYSQL terbuka yang mengizinkan akses generik. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` di metadata firewall untuk protokol dan port berikut: `TCP:3306`. Pemindaian real-time: Ya
`Open NetBIOS port` Nama kategori di API: `OPEN_NETBIOS_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port NETBIOS terbuka yang memungkinkan akses umum. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` dalam metadata firewall untuk protokol dan port berikut: `TCP:137-139` dan `UDP:137-139`. Pemindaian real-time: Ya
`Open OracleDB port` Nama kategori di API: `OPEN_ORACLEDB_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port ORACLEDB terbuka yang mengizinkan akses umum. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` dalam metadata firewall untuk protokol dan port berikut: `TCP:1521, 2483-2484` dan `UDP:2483-2484`. Pemindaian real-time: Ya
`Open pop3 port` Nama kategori di API: `OPEN_POP3_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port POP3 terbuka yang memungkinkan akses generik. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` di metadata firewall untuk protokol dan port berikut: `TCP:110`. Pemindaian real-time: Ya
`Open PostgreSQL port` Nama kategori di API: `OPEN_POSTGRESQL_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port PostgreSQL terbuka yang memungkinkan akses generik. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa properti `allowed` dalam metadata firewall untuk protokol dan port berikut: `TCP:5432` dan `UDP:5432`. Pemindaian real-time: Ya
`Open RDP port` Nama kategori di API: `OPEN_RDP_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port RDP terbuka yang mengizinkan akses generik. Tingkat harga: Premium atau Standar Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 3.7 CIS GCP Foundation 1.1: 3.7 CIS GCP Foundation 1.2: 3.7 CIS GCP Foundation 1.3: 3.7 CIS GCP Foundation 2.0: 3.7 NIST 800-53 R4: SC-7 NIST 800-53 R5: CA-9, SC-7 PCI-DSS v3.2.1: 1.2.1 PCI-DSS v4.0: 1.2.1, 1.4.1 ISO-27001 v2013: A.13.1.1 SOC2 v2017: CC6.6.1, CC6.6.4 CIS Controls 8.0: 4.4, 4.5	Memeriksa properti `allowed` dalam metadata firewall untuk protokol dan port berikut: `TCP:3389` dan `UDP:3389`. Pemindaian real-time: Ya
`Open Redis port` Nama kategori di API: `OPEN_REDIS_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port REDIS terbuka yang mengizinkan akses umum. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa apakah properti `allowed` di metadata firewall berisi protokol dan port berikut: `TCP:6379`. Pemindaian real-time: Ya
`Open SMTP port` Nama kategori di API: `OPEN_SMTP_PORT`	Deskripsi pencarian: Firewall dikonfigurasi agar memiliki port SMTP terbuka yang memungkinkan akses generik. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa apakah properti `allowed` di metadata firewall berisi protokol dan port berikut: `TCP:25`. Pemindaian real-time: Ya
`Open SSH port` Nama kategori di API: `OPEN_SSH_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port SSH terbuka yang memungkinkan akses generik. Tingkat harga: Premium atau Standar Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 3.6 CIS GCP Foundation 1.1: 3.6 CIS GCP Foundation 1.2: 3.6 CIS GCP Foundation 1.3: 3.6 CIS GCP Foundation 2.0: 3.6 NIST 800-53 R4: SC-7 NIST 800-53 R5: CA-9, SC-7 PCI-DSS v3.2.1: 1.2.1 PCI-DSS v4.0: 1.2.1, 1.4.1 ISO-27001 v2013: A.13.1.1 SOC2 v2017: CC6.6.1, CC6.6.4 CIS Controls 8.0: 4.4, 4.5	Memeriksa apakah properti `allowed` dalam metadata firewall berisi protokol dan port berikut: `TCP:22` dan `SCTP:22`. Pemindaian real-time: Ya
`Open Telnet port` Nama kategori di API: `OPEN_TELNET_PORT`	Deskripsi penemuan: Firewall dikonfigurasi agar memiliki port TELNET terbuka yang memungkinkan akses umum. Tingkat harga: Premium atau Standar Aset yang didukung compute.googleapis.com/Firewall Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Memeriksa apakah properti `allowed` di metadata firewall berisi protokol dan port berikut: `TCP:23`. Pemindaian real-time: Ya

Temuan kerentanan IAM

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Identity and Access Management (IAM), dan termasuk dalam jenis detektor IAM_SCANNER.

**Tabel 10.** Pemindai IAM
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Access Transparency disabled` Nama kategori di API: `ACCESS_TRANSPARENCY_DISABLED`	Menemukan deskripsi: Transparansi Akses Google Cloud dinonaktifkan untuk organisasi Anda. Transparansi Akses mencatat log saat karyawan Google Cloud mengakses project di organisasi Anda untuk memberikan dukungan. Aktifkan Transparansi Akses untuk mencatat siapa yang mengakses informasi Anda dari Google Cloud, kapan, dan mengapa. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Organization Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.3: 2.14 CIS GCP Foundation 2.0: 2.14	Memeriksa apakah organisasi Anda telah mengaktifkan Transparansi Akses. Pemindaian real-time: Tidak
`Admin service account` Nama kategori di API: `ADMIN_SERVICE_ACCOUNT`	Menemukan deskripsi: Akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. Peran ini tidak boleh ditetapkan ke akun layanan yang dibuat pengguna. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.4 CIS GCP Foundation 1.1: 1.5 CIS GCP Foundation 1.2: 1.5 CIS GCP Foundation 1.3: 1.5 CIS GCP Foundation 2.0: 1.5 NIST 800-53 R5: AC-6 ISO-27001 v2022: A.5.15, A.8.2 Cloud Controls Matrix 4: IAM-09 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3 CIS Controls 8.0: 5.4	Memeriksa kebijakan izin IAM dalam metadata resource untuk setiap akun layanan yang dibuat pengguna (ditunjukkan dengan awalan *iam.gserviceaccount.com), yang ditetapkan `roles/Owner` atau `roles/Editor`, atau ID peran yang berisi `admin`. Aset yang dikecualikan dari pemindaian: Akun layanan Container Registry (containerregistry.iam.gserviceaccount.com) dan akun layanan Security Command Center (security-center-api.iam.gserviceaccount.com) Pemindaian real-time*: Ya, kecuali jika pembaruan IAM dilakukan pada folder
`Essential Contacts Not Configured` Nama kategori di API: `ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Deskripsi penemuan: Organisasi Anda belum menetapkan orang atau grup untuk menerima notifikasi dari Google Cloud tentang peristiwa penting seperti serangan, kerentanan, dan insiden data dalam organisasi Google Cloud Anda. Sebaiknya tunjuk satu atau beberapa orang atau grup di organisasi bisnis Anda sebagai Kontak Penting. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Organization Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.3: 1.16 CIS GCP Foundation 2.0: 1.16 NIST 800-53 R5: IR-6 ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6 Cloud Controls Matrix 4: SEF-08 NIST Cybersecurity Framework 1.0: RS-CO-1 SOC2 v2017: CC2.3.1 CIS Controls 8.0: 17.2	Memeriksa apakah kontak telah ditetapkan untuk kategori kontak penting berikut: Legal Keamanan Penangguhan Teknis Pemindaian real-time: Tidak
`KMS role separation` Nama kategori di API: `KMS_ROLE_SEPARATION`	Deskripsi penemuan: Pemisahan tugas tidak diterapkan, dan ada pengguna yang memiliki salah satu peran Cloud Key Management Service (Cloud KMS) berikut secara bersamaan: CryptoKey Encrypter/Decrypter, Encrypter, atau Decrypter. Temuan ini tidak tersedia untuk aktivasi level project. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.9 CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 2.0: 1.11 NIST 800-53 R4: AC-5 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.10.1.2, A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa IAM mengizinkan kebijakan dalam metadata resource dan mengambil akun utama yang diberi salah satu peran berikut secara bersamaan: `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter`, dan `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer`, `roles/cloudkms.signerVerifier`, `roles/cloudkms.publicKeyViewer`. Pemindaian real-time: Ya
`Non org IAM member` Nama kategori di API: `NON_ORG_IAM_MEMBER`	Menemukan deskripsi: Ada pengguna yang tidak menggunakan kredensial organisasi. Per CIS GCP Foundations 1.0, saat ini, hanya identitas dengan alamat email @gmail.com yang memicu detektor ini. Tingkat harga: Premium atau Standar Aset yang didukung cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.1 CIS GCP Foundation 1.1: 1.1 CIS GCP Foundation 1.2: 1.1 CIS GCP Foundation 1.3: 1.1 CIS GCP Foundation 2.0: 1.1 NIST 800-53 R4: AC-3 PCI-DSS v3.2.1: 7.1.2 ISO-27001 v2013: A.9.2.3	Membandingkan alamat email @gmail.com di kolom `user` di IAM, metadata kebijakan izin dengan daftar identitas yang disetujui untuk organisasi Anda. Pemindaian real-time: Ya
`Open group IAM member` Nama kategori di API: `OPEN_GROUP_IAM_MEMBER`	Deskripsi temuan: Akun Google Grup yang dapat digabungkan tanpa persetujuan akan digunakan sebagai akun utama kebijakan izin IAM. Tingkat harga: Premium atau Standar Aset yang didukung cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa kebijakan IAM dalam metadata resource untuk semua binding yang berisi anggota (utama) yang diawali dengan `group`. Jika grup tersebut adalah grup terbuka, Security Health Analytics akan menghasilkan temuan ini. Input tambahan: Membaca metadata Google Grup untuk memeriksa apakah grup yang diidentifikasi adalah grup terbuka. Pemindaian real-time: Tidak
`Over privileged service account user` Nama kategori di API: `OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Menemukan deskripsi: Pengguna memiliki peran Service Account User atau Service Account Token Creator di level project, bukan untuk akun layanan tertentu. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.5 CIS GCP Foundation 1.1: 1.6 CIS GCP Foundation 1.2: 1.6 CIS GCP Foundation 1.3: 1.6 CIS GCP Foundation 2.0: 1.6 NIST 800-53 R4: AC-6 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 7.1.2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa kebijakan izin IAM dalam metadata resource untuk setiap akun utama yang diberi `roles/iam.serviceAccountUser` atau `roles/iam.serviceAccountTokenCreator` di level project. Aset yang dikecualikan dari pemindaian: Akun layanan Cloud Build Pemindaian real-time: Ya
`Primitive roles used` Nama kategori di API: `PRIMITIVE_ROLES_USED`	Menemukan deskripsi: Pengguna memiliki salah satu peran dasar berikut: Pemilik (`roles/owner`) Editor (`roles/editor`) Viewer (`roles/viewer`) Peran ini terlalu permisif dan tidak boleh digunakan. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: AC-6 PCI-DSS v3.2.1: 7.1.2 ISO-27001 v2013: A.9.2.3	Memeriksa kebijakan izin IAM dalam metadata resource untuk setiap akun utama yang diberi peran `roles/owner`, `roles/editor`, atau `roles/viewer`. Pemindaian real-time: Ya
`Redis role used on org` Nama kategori di API: `REDIS_ROLE_USED_ON_ORG`	Deskripsi penemuan: Peran Redis IAM ditetapkan pada tingkat organisasi atau folder. Temuan ini tidak tersedia untuk aktivasi level project. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Organization Perbaiki temuan ini Standar kepatuhan: PCI-DSS v3.2.1: 7.1.2 ISO-27001 v2013: A.9.2.3	Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama yang ditetapkan `roles/redis.admin`, `roles/redis.editor`, `roles/redis.viewer` di level organisasi atau folder. Pemindaian real-time: Ya
`Service account role separation` Nama kategori di API: `SERVICE_ACCOUNT_ROLE_SEPARATION`	Menemukan deskripsi: Pengguna telah diberi peran Service Account Admin dan Service Account User. Hal ini melanggar prinsip "Pemisahan Tugas". Temuan ini tidak tersedia untuk aktivasi level project. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.7 CIS GCP Foundation 1.1: 1.8 CIS GCP Foundation 1.2: 1.8 CIS GCP Foundation 1.3: 1.8 CIS GCP Foundation 2.0: 1.8 NIST 800-53 R4: AC-5 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa kebijakan izin IAM dalam metadata resource untuk semua akun utama yang diberi `roles/iam.serviceAccountUser` dan `roles/iam.serviceAccountAdmin`. Pemindaian real-time: Ya
`Service account key not rotated` Nama kategori di API: `SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Menemukan deskripsi: Kunci akun layanan belum dirotasi selama lebih dari 90 hari. Tingkat harga: Premium Aset yang didukung iam.googleapis.com/ServiceAccountKey Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.6 CIS GCP Foundation 1.1: 1.7 CIS GCP Foundation 1.2: 1.7 CIS GCP Foundation 1.3: 1.7 CIS GCP Foundation 2.0: 1.7	Mengevaluasi stempel waktu pembuatan kunci yang diambil di properti `validAfterTime` dalam metadata kunci akun layanan. Aset yang dikecualikan dari pemindaian: Kunci dan kunci akun layanan yang sudah tidak berlaku dan tidak dikelola oleh pengguna Pemindaian real-time: Ya
`User managed service account key` Nama kategori di API: `USER_MANAGED_SERVICE_ACCOUNT_KEY`	Menemukan deskripsi: Pengguna mengelola kunci akun layanan. Tingkat harga: Premium Aset yang didukung iam.googleapis.com/ServiceAccountKey Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.3 CIS GCP Foundation 1.1: 1.4 CIS GCP Foundation 1.2: 1.4 CIS GCP Foundation 1.3: 1.4 CIS GCP Foundation 2.0: 1.4	Memeriksa apakah properti `keyType` dalam metadata kunci akun layanan ditetapkan ke `User_Managed`. Pemindaian real-time: Ya

Temuan kerentanan KMS

Semua kerentanan jenis detektor ini berhubungan dengan konfigurasi Cloud KMS, dan termasuk dalam jenis detektor KMS_SCANNER.

**Tabel 11.** Pemindai KMS
Pendeteksi	Ringkasan	Setelan pemindaian aset
`KMS key not rotated` Nama kategori di API: `KMS_KEY_NOT_ROTATED`	Menemukan deskripsi: Rotasi tidak dikonfigurasi pada kunci enkripsi Cloud KMS. Kunci harus dirotasi dalam jangka waktu 90 hari. Tingkat harga: Premium Aset yang didukung cloudkms.googleapis.com/CryptoKey Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.8 CIS GCP Foundation 1.1: 1.10 CIS GCP Foundation 1.2: 1.10 CIS GCP Foundation 1.3: 1.10 CIS GCP Foundation 2.0: 1.10 NIST 800-53 R4: SC-12 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2013: A.10.1.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Memeriksa metadata resource untuk mengetahui keberadaan properti `rotationPeriod` atau `nextRotationTime`. Aset yang dikecualikan dari pemindaian: Kunci dan kunci asimetris dengan versi utama yang dinonaktifkan atau dihancurkan Pemindaian real-time: Ya
`KMS project has owner` Nama kategori di API: `KMS_PROJECT_HAS_OWNER`	Menemukan deskripsi: Pengguna memiliki izin Pemilik di project yang memiliki kunci kriptografis. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 1.2: 1.11 CIS GCP Foundation 1.3: 1.11 CIS GCP Foundation 2.0: 1.11 NIST 800-53 R4: AC-6, SC-12 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.10.1.2, A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa kebijakan izin IAM dalam metadata project untuk akun utama yang ditetapkan `roles/Owner`. Input tambahan: Membaca kunci kriptografis untuk project dari penyimpanan, mengajukan temuan hanya untuk project dengan kunci kripto Pemindaian real-time: Ya, tetapi hanya pada perubahan pada kebijakan izin IAM, bukan perubahan pada kunci KMS
`KMS public key` Nama kategori di API: `KMS_PUBLIC_KEY`	Deskripsi penemuan: Kunci kriptografis Cloud KMS dapat diakses secara publik. Tingkat harga: Premium Aset yang didukung cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 1.9 CIS GCP Foundation 1.2: 1.9 CIS GCP Foundation 1.3: 1.9 CIS GCP Foundation 2.0: 1.9 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama `allUsers` atau `allAuthenticatedUsers`, yang memberikan akses publik. Pemindaian real-time: Ya
`Too many KMS users` Nama kategori di API: `TOO_MANY_KMS_USERS`	Deskripsi penemuan: Ada lebih dari tiga pengguna kunci kriptografis. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung cloudkms.googleapis.com/CryptoKey Perbaiki temuan ini Standar kepatuhan: PCI-DSS v3.2.1: 3.5.2 ISO-27001 v2013: A.9.2.3	Pemeriksaan IAM mengizinkan kebijakan untuk key ring, project, dan organisasi, serta mengambil akun utama dengan peran yang memungkinkannya mengenkripsi, mendekripsi, atau menandatangani data menggunakan kunci Cloud KMS: `roles/owner`, `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter`, `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer`, dan `roles/cloudkms.signerVerifier`. Input tambahan: Membaca versi cryptokey untuk kunci kripto dari penyimpanan, mengajukan temuan hanya untuk kunci dengan versi aktif. Detektor juga membaca key ring, project, dan organisasi IAM mengizinkan kebijakan dari penyimpanan Pemindaian real-time: Ya

Mencatat temuan kerentanan dalam log

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi logging, dan termasuk dalam jenis detektor LOGGING_SCANNER.

**Tabel 12.** Pemindai logging
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Audit logging disabled` Nama kategori di API: `AUDIT_LOGGING_DISABLED`	Menemukan deskripsi: Logging audit telah dinonaktifkan untuk resource ini. Temuan ini tidak tersedia untuk aktivasi level project. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 2.1 CIS GCP Foundation 1.1: 2.1 CIS GCP Foundation 1.2: 2.1 CIS GCP Foundation 1.3: 2.1 CIS GCP Foundation 2.0: 2.1 NIST 800-53 R4: AC-2, AU-2 NIST 800-53 R5: AU-6, AU-7 PCI-DSS v3.2.1: 10.1, 10.2 PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3 ISO-27001 v2013: A.12.4.1, A.16.1.7 ISO-27001 v2022: A.5.25 Cloud Controls Matrix 4: LOG-05 NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1 SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5 HIPAA: 164.308(a)(1)(ii), 164.312(b) CIS Controls 8.0: 8.11, 8.2	Memeriksa kebijakan izin IAM dalam metadata resource untuk mengetahui keberadaan objek `auditLogConfigs`. Pemindaian real-time: Ya
`Bucket logging disabled` Nama kategori di API: `BUCKET_LOGGING_DISABLED`	Menemukan deskripsi: Ada bucket penyimpanan tanpa mengaktifkan logging. Tingkat harga: Premium Aset yang didukung storage.googleapis.com/Bucket Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 5.3	Memeriksa apakah kolom `logBucket` di properti `logging` bucket kosong. Pemindaian real-time: Ya
`Locked retention policy not set` Nama kategori di API: `LOCKED_RETENTION_POLICY_NOT_SET`	Menemukan deskripsi: Kebijakan retensi yang terkunci tidak ditetapkan untuk log. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung storage.googleapis.com/Bucket Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 2.3 CIS GCP Foundation 1.2: 2.3 CIS GCP Foundation 1.3: 2.3 CIS GCP Foundation 2.0: 2.3 NIST 800-53 R4: AU-11 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 10.5 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.12.4.2, A.18.1.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa apakah kolom `isLocked` di properti `retentionPolicy` bucket ditetapkan ke `true`. Input tambahan: Membaca sink log (filter log dan tujuan log) untuk bucket guna menentukan apakah bucket tersebut adalah bucket log atau tidak Pemindaian real-time: Ya
`Log not exported` Nama kategori di API: `LOG_NOT_EXPORTED`	Menemukan deskripsi: Ada resource yang tidak memiliki sink log yang sesuai yang dikonfigurasi. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 2.2 CIS GCP Foundation 1.1: 2.2 CIS GCP Foundation 1.2: 2.2 CIS GCP Foundation 1.3: 2.2 CIS GCP Foundation 2.0: 2.2 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2013: A.18.1.3 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.3	Mengambil objek `logSink` dalam sebuah project, memeriksa apakah kolom `includeChildren` ditetapkan ke `true`, kolom `destination` mencakup lokasi untuk menulis log, dan kolom `filter` diisi. Input tambahan: Membaca sink log (filter log dan tujuan log) untuk bucket guna menentukan apakah bucket tersebut adalah bucket log atau tidak Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan jika ekspor log disiapkan di folder atau organisasi
`Object versioning disabled` Nama kategori di API: `OBJECT_VERSIONING_DISABLED`	Finding description: Pembuatan versi objek tidak diaktifkan di bucket penyimpanan tempat sink dikonfigurasi. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung storage.googleapis.com/Bucket Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 2.3 NIST 800-53 R4: AU-11 PCI-DSS v3.2.1: 10.5 ISO-27001 v2013: A.12.4.2, A.18.1.3	Memeriksa apakah kolom `enabled` di properti `versioning` bucket ditetapkan ke `true`. Aset yang dikecualikan dari pemindaian: Bucket Cloud Storage dengan kebijakan retensi yang terkunci Input tambahan: Membaca sink log (filter log dan tujuan log) untuk bucket guna menentukan apakah bucket tersebut adalah bucket log atau tidak Pemindaian real-time: Ya, tetapi hanya jika pembuatan versi objek berubah, bukan jika bucket log dibuat

Memantau temuan kerentanan

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi pemantauan, dan termasuk dalam jenis MONITORING_SCANNER. Semua properti temuan detektor Monitoring mencakup:

RecommendedLogFilter yang akan digunakan dalam membuat metrik log.
QualifiedLogMetricNames yang mencakup kondisi yang tercantum dalam filter log yang direkomendasikan.
AlertPolicyFailureReasons yang menunjukkan apakah project tidak memiliki kebijakan pemberitahuan yang dibuat untuk metrik log yang memenuhi syarat atau kebijakan pemberitahuan yang ada tidak memiliki setelan yang direkomendasikan.

**Tabel 13.** Pemindai pemantauan
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Audit config not monitored` Nama kategori di API: `AUDIT_CONFIG_NOT_MONITORED`	Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan Konfigurasi Audit. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 2.5 CIS GCP Foundation 1.1: 2.5 CIS GCP Foundation 1.2: 2.5 CIS GCP Foundation 1.3: 2.5 CIS GCP Foundation 2.0: 2.5 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Memeriksa apakah properti `filter` dari resource `LogsMetric` project ditetapkan ke `protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:`, dan jika `resource.type` ditentukan, maka nilainya adalah `global`. Detektor juga mencari resource `alertPolicy` yang sesuai, yang memeriksa apakah properti `conditions` dan `notificationChannels` dikonfigurasi dengan benar. Izin IAM tambahan: `roles/monitoring.alertPolicyViewer` Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif Pemindaian real-time*: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
`Bucket IAM not monitored` Nama kategori di API: `BUCKET_IAM_NOT_MONITORED`	Deskripsi penemuan: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan izin IAM Cloud Storage. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 2.10 CIS GCP Foundation 1.1: 2.10 CIS GCP Foundation 1.2: 2.10 CIS GCP Foundation 1.3: 2.10 CIS GCP Foundation 2.0: 2.10 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Memeriksa apakah properti `filter` dari resource `LogsMetric` project ditetapkan ke `resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"`. Detektor juga mencari resource `alertPolicy` yang sesuai, yang memeriksa apakah properti `conditions` dan `notificationChannels` dikonfigurasi dengan benar. Izin IAM tambahan: `roles/monitoring.alertPolicyViewer` Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
`Custom role not monitored` Nama kategori di API: `CUSTOM_ROLE_NOT_MONITORED`	Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan Peran Kustom. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 2.6 CIS GCP Foundation 1.1: 2.6 CIS GCP Foundation 1.2: 2.6 CIS GCP Foundation 1.3: 2.6 CIS GCP Foundation 2.0: 2.6 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Memeriksa apakah properti `filter` dari resource `LogsMetric` project ditetapkan ke `resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")`. Detektor juga mencari resource `alertPolicy` yang sesuai, yang memeriksa apakah properti `conditions` dan `notificationChannels` dikonfigurasi dengan benar. Izin IAM tambahan: `roles/monitoring.alertPolicyViewer` Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
`Firewall not monitored` Nama kategori di API: `FIREWALL_NOT_MONITORED`	Deskripsi penemuan: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan Firewall Jaringan Virtual Private Cloud (VPC). Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 2.7 CIS GCP Foundation 1.1: 2.7 CIS GCP Foundation 1.2: 2.7 CIS GCP Foundation 1.3: 2.7 CIS GCP Foundation 2.0: 2.7 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Memeriksa apakah properti `filter` dari resource `LogsMetric` project ditetapkan ke `resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")`. Detektor juga mencari resource `alertPolicy` yang sesuai, yang memeriksa apakah properti `conditions` dan `notificationChannels` dikonfigurasi dengan benar. Izin IAM tambahan: `roles/monitoring.alertPolicyViewer` Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
`Network not monitored` Nama kategori di API: `NETWORK_NOT_MONITORED`	Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 2.9 CIS GCP Foundation 1.1: 2.9 CIS GCP Foundation 1.2: 2.9 CIS GCP Foundation 1.3: 2.9 CIS GCP Foundation 2.0: 2.9 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Memeriksa apakah properti `filter` dari resource `LogsMetric` project ditetapkan ke `resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")`. Detektor juga mencari resource `alertPolicy` yang sesuai, yang memeriksa apakah properti `conditions` dan `notificationChannels` dikonfigurasi dengan benar. Izin IAM tambahan: `roles/monitoring.alertPolicyViewer` Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
`Owner not monitored` Nama kategori di API: `OWNER_NOT_MONITORED`	Menemukan deskripsi: Notifikasi dan metrik log tidak dikonfigurasi untuk memantau penetapan atau perubahan Kepemilikan Project. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 2.4 CIS GCP Foundation 1.1: 2.4 CIS GCP Foundation 1.2: 2.4 CIS GCP Foundation 1.3: 2.4 CIS GCP Foundation 2.0: 2.4 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2	Memeriksa apakah properti `filter` dari resource `LogsMetric` project ditetapkan ke `(protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")`, dan jika `resource.type` ditentukan, maka nilainya adalah `global`. Detektor juga mencari resource `alertPolicy` yang sesuai, yang memeriksa apakah properti `conditions` dan `notificationChannels` dikonfigurasi dengan benar. Izin IAM tambahan: `roles/monitoring.alertPolicyViewer` Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
`Route not monitored` Nama kategori di API: `ROUTE_NOT_MONITORED`	Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Memeriksa apakah properti `filter` dari resource `LogsMetric` project ditetapkan ke `resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")`. Detektor juga mencari resource `alertPolicy` yang sesuai, yang memeriksa apakah properti `conditions` dan `notificationChannels` dikonfigurasi dengan benar. Izin IAM tambahan: `roles/monitoring.alertPolicyViewer` Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan
`SQL instance not monitored` `SQL_INSTANCE_NOT_MONITORED`	Menemukan deskripsi: Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan konfigurasi instance Cloud SQL. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung cloudresourcemanager.googleapis.com/Project Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Memeriksa apakah properti `filter` dari resource `LogsMetric` project ditetapkan ke `protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"`, dan jika `resource.type` ditentukan, maka nilainya adalah `global`. Detektor juga mencari resource `alertPolicy` yang sesuai, yang memeriksa apakah properti `conditions` dan `notificationChannels` dikonfigurasi dengan benar. Izin IAM tambahan: `roles/monitoring.alertPolicyViewer` Input tambahan: Membaca metrik log untuk project dari penyimpanan. Membaca informasi akun Kemampuan Observasi Google Cloud dari Kemampuan observasi Google Cloud, yang hanya mengajukan temuan untuk project dengan akun aktif Pemindaian real-time: Ya, tetapi hanya pada perubahan project, bukan pada metrik log dan perubahan pemberitahuan

Temuan autentikasi multi-faktor

Detektor MFA_SCANNER mengidentifikasi kerentanan yang terkait dengan autentikasi multi-faktor untuk pengguna.

**Tabel 14.** Pemindai autentikasi multi-faktor
Pendeteksi	Ringkasan	Setelan pemindaian aset
`MFA not enforced` Nama kategori di API: `MFA_NOT_ENFORCED`	Ada pengguna yang tidak menggunakan Verifikasi 2 Langkah. Google Workspace memungkinkan Anda menentukan masa tenggang pendaftaran untuk pengguna baru. Selama periode tersebut, mereka harus mendaftar Verifikasi 2 Langkah. Pendeteksi ini membuat temuan untuk pengguna selama masa tenggang pendaftaran. Temuan ini tidak tersedia untuk aktivasi level project. Tingkat harga: Premium atau Standar Aset yang didukung cloudresourcemanager.googleapis.com/Organization Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 1.2 CIS GCP Foundation 1.1: 1.2 CIS GCP Foundation 1.2: 1.2 CIS GCP Foundation 1.3: 1.2 CIS GCP Foundation 2.0: 1.2 NIST 800-53 R4: IA-2 PCI-DSS v3.2.1: 8.3 ISO-27001 v2013: A.9.4.2	Mengevaluasi kebijakan pengelolaan identitas di organisasi dan setelan pengguna untuk akun terkelola di Cloud Identity. Aset yang dikecualikan dari pemindaian: Unit organisasi memberikan pengecualian terhadap kebijakan Input tambahan: Membaca data dari Google Workspace Pemindaian real-time: Tidak

Temuan kerentanan jaringan

Semua kerentanan jenis detektor ini berhubungan dengan konfigurasi jaringan organisasi, dan termasuk dalam jenis NETWORK_SCANNER.

**Tabel 15.** Pemindai jaringan
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Default network` Nama kategori di API: `DEFAULT_NETWORK`	Menemukan deskripsi: Jaringan default ada dalam project. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Network Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 3.1 CIS GCP Foundation 1.1: 3.1 CIS GCP Foundation 1.2: 3.1 CIS GCP Foundation 1.3: 3.1 CIS GCP Foundation 2.0: 3.1 NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.9 Cloud Controls Matrix 4: IVS-04 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC5.2.2 CIS Controls 8.0: 4.2	Memeriksa apakah properti `name` di metadata jaringan ditetapkan ke `default` Aset yang dikecualikan dari pemindaian: Project dengan Compute Engine API dinonaktifkan dan resource Compute Engine dalam status frozen Pemindaian real-time: Ya
`DNS logging disabled` Nama kategori di API: `DNS_LOGGING_DISABLED`	Menemukan deskripsi: Logging DNS di jaringan VPC tidak diaktifkan. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Network dns.googleapis.com/Policy Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 2.12 CIS GCP Foundation 1.3: 2.12 CIS GCP Foundation 2.0: 2.12 NIST 800-53 R5: AU-6, AU-7 PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3 ISO-27001 v2022: A.5.25 Cloud Controls Matrix 4: LOG-05 NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1 SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5 HIPAA: 164.308(a)(1)(ii), 164.312(b) CIS Controls 8.0: 8.11, 8.2, 8.6	Memeriksa semua `policies` yang terkait dengan jaringan VPC melalui kolom `networks[].networkUrl`, dan mencari setidaknya satu kebijakan yang menetapkan `enableLogging` ke `true`. Aset yang dikecualikan dari pemindaian: Project dengan Compute Engine API dinonaktifkan dan resource Compute Engine dalam status frozen Pemindaian real-time: Ya
`Legacy network` Nama kategori di API: `LEGACY_NETWORK`	Deskripsi penemuan: Jaringan lama ada di dalam project. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Network Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 3.2 CIS GCP Foundation 1.1: 3.2 CIS GCP Foundation 1.2: 3.2 CIS GCP Foundation 1.3: 3.2 CIS GCP Foundation 2.0: 3.2 NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.9 Cloud Controls Matrix 4: IVS-04 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC5.2.2 CIS Controls 8.0: 4.2	Memeriksa metadata jaringan untuk menemukan properti `IPv4Range`. Aset yang dikecualikan dari pemindaian: Project dengan Compute Engine API dinonaktifkan dan resource Compute Engine dalam status frozen Pemindaian real-time: Ya
`Load balancer logging disabled` Nama kategori di API: `LOAD_BALANCER_LOGGING_DISABLED`	Menemukan deskripsi: Logging dinonaktifkan untuk load balancer. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/BackendServices Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 2.0: 2.16 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2	Memeriksa apakah properti `enableLogging` dari layanan backend pada load balancer disetel ke `true`. Pemindaian real-time: Ya

Temuan kerentanan Kebijakan Organisasi

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi batasan Kebijakan Organisasi, dan termasuk dalam jenis ORG_POLICY.

**Tabel 16.** Pemindai kebijakan organisasi
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Org policy Confidential VM policy` Nama kategori di API: `ORG_POLICY_CONFIDENTIAL_VM_POLICY`	Menemukan deskripsi: Resource Compute Engine tidak mematuhi kebijakan organisasi `constraints/compute.restrictNonConfidentialComputing`. Untuk mengetahui informasi selengkapnya tentang batasan kebijakan organisasi ini, lihat Menerapkan batasan kebijakan organisasi di Confidential VM. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa apakah properti `enableConfidentialCompute` dari instance Compute Engine ditetapkan ke `true`. Aset yang dikecualikan dari pemindaian: Instance GKE Izin IAM tambahan: `permissions/orgpolicy.policy.get` Input tambahan: Membaca kebijakan organisasi yang efektif dari layanan kebijakan organisasi Pemindaian real-time: Tidak
`Org policy location restriction` Nama kategori di API: `ORG_POLICY_LOCATION_RESTRICTION`	Menemukan deskripsi: Resource Compute Engine tidak mematuhi batasan `constraints/gcp.resourceLocations`. Untuk mengetahui informasi selengkapnya tentang batasan kebijakan organisasi ini, lihat Menerapkan batasan kebijakan organisasi. Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk. Tingkat harga: Premium Aset yang didukung Di baris berikut, lihat Aset yang didukung untuk ORG_POLICY_LOCATION_VIEWSION Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa properti `listPolicy` dalam metadata resource yang didukung untuk melihat daftar lokasi yang diizinkan atau ditolak. Izin IAM tambahan: `permissions/orgpolicy.policy.get` Input tambahan: Membaca kebijakan organisasi yang efektif dari layanan kebijakan organisasi Pemindaian real-time: Tidak
Aset yang didukung untuk ORG_POLICY_LOCATION_VIEWSION Compute Engine compute.googleapis.com/Autoscaler compute.googleapis.com/Address compute.googleapis.com/Commitment compute.googleapis.com/Disk compute.googleapis.com/ForwardingRule compute.googleapis.com/HealthCheck compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/InstanceGroup compute.googleapis.com/InstanceGroupManager compute.googleapis.com/InterconnectAttachment compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NodeGroup compute.googleapis.com/NodeTemplate compute.googleapis.com/PacketMirroring compute.googleapis.com/RegionBackendService compute.googleapis.com/RegionDisk compute.googleapis.com/ResourcePolicy compute.googleapis.com/Reservation compute.googleapis.com/Router compute.googleapis.com/Snapshot compute.googleapis.com/SslCertificate compute.googleapis.com/Subnetwork compute.googleapis.com/TargetHttpProxy compute.google.apis.com/TargetHttpsProxy compute.googleapis.com/TargetInstance compute.googleapis.com/TargetPool compute.googleapis.com/TargetVpnGateway compute.googleapis.com/UrlMap compute.googleapis.com/VpnGateway compute.googleapis.com/VpnTunnel GKE container.googleapis.com/Cluster container.googleapis.com/NodePool Cloud Storage storage.googleapis.com/Bucket Cloud KMS cloudkms.googleapis.com/CryptoKey¹ cloudkms.googleapis.com/CryptoKeyVersion¹ cloudkms.googleapis.com/ImportJob² cloudkms.googleapis.com/KeyRing¹ Dataproc dataproc.googleapis.com/Cluster BigQuery bigquery.googleapis.com/Dataset Aliran data dataflow.googleapis.com/Job³ Cloud SQL sqladmin.googleapis.com/Instance Cloud Composer composer.googleapis.com/Environment Logging logging.googleapis.com/LogBucket Pub/Sub pubsub.googleapis.com/Topic Vertex AI aiplatform.googleapis.com/BatchPredictionJob aiplatform.googleapis.com/CustomJob aiplatform.googleapis.com/DataLabelingJob aiplatform.googleapis.com/Dataset aiplatform.googleapis.com/Endpoint aiplatform.googleapis.com/HyperparameterTuningJob aiplatform.googleapis.com/Model aiplatform.googleapis.com/SpecialistPool aiplatform.googleapis.com/TrainingPipeline Artifact Registry artifactregistry.googleapis.com/Repository ¹ Karena aset Cloud KMS tidak dapat dihapus, aset tidak dianggap di luar region jika data aset telah dihancurkan. ² Karena tugas impor Cloud KMS memiliki siklus proses yang terkontrol dan tidak dapat dihentikan lebih awal, ImportJob tidak dianggap di luar region jika tugas tersebut telah berakhir dan tidak dapat lagi digunakan untuk mengimpor kunci. ³ Karena siklus proses tugas Dataflow tidak dapat dikelola, Tugas tidak dianggap di luar region setelah mencapai status terminal (dihentikan atau dikuras), yang tidak dapat lagi digunakan untuk memproses data.

Temuan kerentanan Pub/Sub

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Pub/Sub, dan termasuk dalam jenis PUBSUB_SCANNER.

**Tabel 17.** Pemindai Pub/Sub
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Pubsub CMEK disabled` Nama kategori di API: `PUBSUB_CMEK_DISABLED`	Deskripsi penemuan: Topik Pub/Sub tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium Aset yang didukung pubsub.googleapis.com/Topic Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa kolom `kmsKeyName` untuk mengetahui nama resource CMEK Anda. Pemindaian real-time: Ya

Temuan kerentanan SQL

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Cloud SQL, dan termasuk dalam jenis SQL_SCANNER.

**Tabel 18.** Pemindai SQL
Pendeteksi	Ringkasan	Setelan pemindaian aset
`AlloyDB auto backup disabled` Nama kategori di API: `ALLOYDB_AUTO_BACKUP_DISABLED`	Deskripsi penemuan: Cluster AlloyDB untuk PostgreSQL tidak mengaktifkan pencadangan otomatis. Tingkat harga: Premium Aset yang didukung alloydb.googleapis.com/Cluster Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: CP-9 ISO-27001 v2013: A.12.3.1 NIST 800-53 R5: CP-10, CP-9 ISO-27001 v2022: A.8.13 NIST Cybersecurity Framework 1.0: PR-IP-4 HIPAA: 164.308(a)(7)(ii)	Memeriksa apakah properti `automated_backup_policy.enabled` dalam metadata cluster AlloyDB untuk PostgreSQL ditetapkan ke `true`. Aset yang dikecualikan dari pemindaian: Cluster sekunder AlloyDB untuk PostgreSQL Pemindaian real-time: Ya
`AlloyDB log min error statement severity` Nama kategori di API: `ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Menemukan deskripsi: Flag database `log_min_error_statement` bagi instance AlloyDB untuk PostgreSQL tidak ditetapkan ke `error` atau nilai lain yang direkomendasikan. Tingkat harga: Premium Aset yang didukung alloydb.googleapis.com/Instances Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3	Untuk memastikan cakupan jenis pesan yang memadai di log, keluarkan temuan jika kolom `log_min_error_statement` dari properti `databaseFlags` tidak ditetapkan ke salah satu nilai berikut: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice`, `warning`, atau nilai default `error`. Pemindaian real-time: Ya
`AlloyDB log min messages` Nama kategori di API: `ALLOYDB_LOG_MIN_MESSAGES`	Menemukan deskripsi: Flag database `log_min_messages` bagi instance AlloyDB untuk PostgreSQL tidak ditetapkan ke `warning` atau nilai lain yang direkomendasikan. Tingkat harga: Premium Aset yang didukung alloydb.googleapis.com/Instances Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3	Untuk memastikan cakupan jenis pesan yang memadai di log, keluarkan temuan jika kolom `log_min_messages` dari properti `databaseFlags` tidak ditetapkan ke salah satu nilai berikut: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice`, atau nilai default `warning`. Pemindaian real-time: Ya
`AlloyDB log error verbosity` Nama kategori di API: `ALLOYDB_LOG_ERROR_VERBOSITY`	Menemukan deskripsi: Flag database `log_error_verbosity` bagi instance AlloyDB untuk PostgreSQL tidak ditetapkan ke `default` atau nilai lain yang direkomendasikan. Tingkat harga: Premium Aset yang didukung alloydb.googleapis.com/Instances Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3	Untuk memastikan cakupan jenis pesan yang memadai di log, berikan temuan jika kolom `log_error_verbosity` dari properti `databaseFlags` tidak ditetapkan ke salah satu nilai berikut: `verbose` atau nilai default `default`. Pemindaian real-time: Ya
`Auto backup disabled` Nama kategori di API: `AUTO_BACKUP_DISABLED`	Deskripsi penemuan: Database Cloud SQL tidak mengaktifkan pencadangan otomatis. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 6.7 CIS GCP Foundation 1.2: 6.7 CIS GCP Foundation 1.3: 6.7 CIS GCP Foundation 2.0: 6.7 NIST 800-53 R4: CP-9 NIST 800-53 R5: CP-10, CP-9 ISO-27001 v2013: A.12.3.1 ISO-27001 v2022: A.8.13 NIST Cybersecurity Framework 1.0: PR-IP-4 HIPAA: 164.308(a)(7)(ii) CIS Controls 8.0: 11.2	Memeriksa apakah properti `backupConfiguration.enabled` dari data Cloud SQL ditetapkan ke `true`. Aset yang dikecualikan dari pemindaian: Replika Cloud SQL Input tambahan: Membaca IAM mengizinkan kebijakan untuk ancestor dari penyimpanan aset Security Health Analytics Pemindaian real-time: Ya
`Public SQL instance` Nama kategori di API: `PUBLIC_SQL_INSTANCE`	Deskripsi penemuan: Instance database Cloud SQL menerima koneksi dari semua alamat IP. Tingkat harga: Premium atau Standar Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 6.2 CIS GCP Foundation 1.1: 6.5 CIS GCP Foundation 1.2: 6.5 CIS GCP Foundation 1.3: 6.5 CIS GCP Foundation 2.0: 6.5 NIST 800-53 R4: CA-3, SC-7 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 1.2.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa apakah properti `authorizedNetworks` pada instance Cloud SQL ditetapkan ke satu alamat IP atau rentang alamat IP. Pemindaian real-time: Ya
`SSL not enforced` Nama kategori di API: `SSL_NOT_ENFORCED`	Deskripsi penemuan: Instance database Cloud SQL tidak mengharuskan semua koneksi masuk untuk menggunakan SSL. Tingkat harga: Premium atau Standar Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 4.1 ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3	Memeriksa apakah properti `sslMode` dari instance Cloud SQL disetel ke mode SSL yang disetujui, `ENCRYPTED_ONLY` atau `TRUSTED_CLIENT_CERTIFICATE_REQUIRED`. Pemindaian real-time: Ya
`SQL CMEK disabled` Nama kategori di API: `SQL_CMEK_DISABLED`	Deskripsi penemuan: Instance database SQL tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa kolom `kmsKeyName` dalam objek `diskEncryptionKey`, dalam metadata instance, untuk mengetahui nama resource CMEK Anda. Pemindaian real-time: Ya
`SQL contained database authentication` Nama kategori di API: `SQL_CONTAINED_DATABASE_AUTHENTICATION`	Menemukan deskripsi: Flag database `contained database authentication` bagi instance Cloud SQL untuk SQL Server tidak ditetapkan ke `off`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 6.3.2 CIS GCP Foundation 1.2: 6.3.7 CIS GCP Foundation 1.3: 6.3.7 CIS GCP Foundation 2.0: 6.3.7 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci, `"name"`: `"contained database authentication"`, `"value"`: `"on"`, atau apakah diaktifkan secara default. Pemindaian real-time: Ya
`SQL cross DB ownership chaining` Nama kategori di API: `SQL_CROSS_DB_OWNERSHIP_CHAINING`	Menemukan deskripsi: Flag database `cross_db_ownership_chaining` untuk instance Cloud SQL untuk SQL Server tidak ditetapkan ke `off`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 6.3.1 CIS GCP Foundation 1.2: 6.3.2 CIS GCP Foundation 1.3: 6.3.2 CIS GCP Foundation 2.0: 6.3.2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"cross_db_ownership_chaining"`, `"value": "on"`. Pemindaian real-time: Ya
`SQL external scripts enabled` Nama kategori di API: `SQL_EXTERNAL_SCRIPTS_ENABLED`	Menemukan deskripsi: Flag database `external scripts enabled` untuk instance Cloud SQL untuk SQL Server tidak ditetapkan ke `off`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.3.1 CIS GCP Foundation 1.3: 6.3.1 CIS GCP Foundation 2.0: 6.3.1 NIST 800-53 R5: CM-7, SI-7 PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3 NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3 SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4 CIS Controls 8.0: 2.7	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"external scripts enabled"`, `"value": "off"`. Pemindaian real-time: Ya
`SQL local infile` Nama kategori di API: `SQL_LOCAL_INFILE`	Menemukan deskripsi: Flag database `local_infile` untuk instance Cloud SQL untuk MySQL tidak ditetapkan ke `off`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 6.1.2 CIS GCP Foundation 1.2: 6.1.3 CIS GCP Foundation 1.3: 6.1.3 CIS GCP Foundation 2.0: 6.1.3 NIST 800-53 R5: CM-6, CM-7 PCI-DSS v4.0: 2.2.1 ISO-27001 v2022: A.8.8 NIST Cybersecurity Framework 1.0: PR-IP-1 CIS Controls 8.0: 16.7	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"local_infile"`, `"value": "on"`. Pemindaian real-time: Ya
`SQL log checkpoints disabled` Nama kategori di API: `SQL_LOG_CHECKPOINTS_DISABLED`	Menemukan deskripsi: Flag database `log_checkpoints` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `on`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 6.2.1 CIS GCP Foundation 1.2: 6.2.1	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"log_checkpoints"`, `"value": "on"`. Pemindaian real-time: Ya
`SQL log connections disabled` Nama kategori di API: `SQL_LOG_CONNECTIONS_DISABLED`	Menemukan deskripsi: Flag database `log_connections` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `on`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 6.2.2 CIS GCP Foundation 1.2: 6.2.3 CIS GCP Foundation 1.3: 6.2.2 CIS GCP Foundation 2.0: 6.2.2 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"log_connections"`, `"value": "on"`. Pemindaian real-time: Ya
`SQL log disconnections disabled` Nama kategori di API: `SQL_LOG_DISCONNECTIONS_DISABLED`	Menemukan deskripsi: Flag database `log_disconnections` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `on`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 6.2.3 CIS GCP Foundation 1.2: 6.2.4 CIS GCP Foundation 1.3: 6.2.3 CIS GCP Foundation 2.0: 6.2.3 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"log_disconnections"`, `"value": "on"`. Pemindaian real-time: Ya
`SQL log duration disabled` Nama kategori di API: `SQL_LOG_DURATION_DISABLED`	Menemukan deskripsi: Flag database `log_duration` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `on`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.2.5	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"log_duration"`, `"value": "on"`. Pemindaian real-time: Ya
`SQL log error verbosity` Nama kategori di API: `SQL_LOG_ERROR_VERBOSITY`	Menemukan deskripsi: Flag database `log_error_verbosity` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `default` atau `verbose`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.2.2 CIS GCP Foundation 1.3: 6.2.1 CIS GCP Foundation 2.0: 6.2.1 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Memeriksa apakah properti `databaseFlags` dari metadata instance untuk kolom `log_error_verbosity` ditetapkan ke `default` atau `verbose`. Pemindaian real-time: Ya
`SQL log lock waits disabled` Nama kategori di API: `SQL_LOG_LOCK_WAITS_DISABLED`	Menemukan deskripsi: Flag database `log_lock_waits` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `on`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 6.2.4 CIS GCP Foundation 1.2: 6.2.6	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"log_lock_waits"`, `"value": "on"`. Pemindaian real-time: Ya
`SQL log min duration statement enabled` Nama kategori di API: `SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Menemukan deskripsi: Flag database `log_min_duration_statement` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke "-1". Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 6.2.7 CIS GCP Foundation 1.2: 6.2.16 CIS GCP Foundation 1.3: 6.2.8 CIS GCP Foundation 2.0: 6.2.7 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"log_min_duration_statement"`, `"value": "-1"`. Pemindaian real-time: Ya
`SQL log min error statement` Nama kategori di API: `SQL_LOG_MIN_ERROR_STATEMENT`	Menemukan deskripsi: Flag database `log_min_error_statement` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan dengan tepat. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 6.2.5	Memeriksa apakah kolom `log_min_error_statement` dari properti `databaseFlags` ditetapkan ke salah satu nilai berikut: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice`, `warning`, atau nilai default `error`. Pemindaian real-time: Ya
`SQL log min error statement severity` Nama kategori di API: `SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Deskripsi penemuan: Flag database `log_min_error_statement` untuk instance Cloud SQL untuk PostgreSQL tidak memiliki tingkat keparahan yang sesuai. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.2.14 CIS GCP Foundation 1.3: 6.2.7 CIS GCP Foundation 2.0: 6.2.6 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Memeriksa apakah kolom `log_min_error_statement` dari properti `databaseFlags` ditetapkan ke salah satu nilai berikut: `error`, `log`, `fatal`, atau `panic`. Pemindaian real-time: Ya
`SQL log min messages` Nama kategori di API: `SQL_LOG_MIN_MESSAGES`	Menemukan deskripsi: Flag database `log_min_messages` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `warning` atau nilai lain yang direkomendasikan. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.2.13 CIS GCP Foundation 1.3: 6.2.6 CIS GCP Foundation 2.0: 6.2.5 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Untuk memastikan cakupan jenis pesan yang memadai di log, keluarkan temuan jika kolom `log_min_messages` dari properti `databaseFlags` tidak ditetapkan ke salah satu nilai berikut: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice`, atau nilai default `warning`. Pemindaian real-time: Ya
`SQL log executor stats enabled` Nama kategori di API: `SQL_LOG_EXECUTOR_STATS_ENABLED`	Menemukan deskripsi: Flag database `log_executor_stats` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `off`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.2.11	Memeriksa apakah properti `databaseFlags` dari metadata instance untuk kolom `log_executor_stats` ditetapkan ke `on`. Pemindaian real-time: Ya
`SQL log hostname enabled` Nama kategori di API: `SQL_LOG_HOSTNAME_ENABLED`	Menemukan deskripsi: Flag database `log_hostname` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `off`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.2.8	Memeriksa apakah properti `databaseFlags` dari metadata instance untuk kolom `log_hostname` ditetapkan ke `on`. Pemindaian real-time: Ya
`SQL log parser stats enabled` Nama kategori di API: `SQL_LOG_PARSER_STATS_ENABLED`	Menemukan deskripsi: Flag database `log_parser_stats` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `off`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.2.9	Memeriksa apakah properti `databaseFlags` dari metadata instance untuk kolom `log_parser_stats` ditetapkan ke `on`. Pemindaian real-time: Ya
`SQL log planner stats enabled` Nama kategori di API: `SQL_LOG_PLANNER_STATS_ENABLED`	Menemukan deskripsi: Flag database `log_planner_stats` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `off`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.2.10	Memeriksa apakah properti `databaseFlags` dari metadata instance untuk kolom `log_planner_stats` ditetapkan ke `on`. Pemindaian real-time: Ya
`SQL log statement` Nama kategori di API: `SQL_LOG_STATEMENT`	Menemukan deskripsi: Flag database `log_statement` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `ddl` (semua pernyataan definisi data). Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.2.7 CIS GCP Foundation 1.3: 6.2.4 CIS GCP Foundation 2.0: 6.2.4 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Memeriksa apakah properti `databaseFlags` dari metadata instance untuk kolom `log_statement` ditetapkan ke `ddl`. Pemindaian real-time: Ya
`SQL log statement stats enabled` Nama kategori di API: `SQL_LOG_STATEMENT_STATS_ENABLED`	Menemukan deskripsi: Flag database `log_statement_stats` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke `off`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.2.12	Memeriksa apakah properti `databaseFlags` dari metadata instance untuk kolom `log_statement_stats` ditetapkan ke `on`. Pemindaian real-time: Ya
`SQL log temp files` Nama kategori di API: `SQL_LOG_TEMP_FILES`	Menemukan deskripsi: Flag database `log_temp_files` untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke "0". Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 6.2.6 CIS GCP Foundation 1.2: 6.2.15	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"log_temp_files"`, `"value": "0"`. Pemindaian real-time: Ya
`SQL no root password` Nama kategori di API: `SQL_NO_ROOT_PASSWORD`	Deskripsi penemuan: Database Cloud SQL yang memiliki alamat IP publik tidak memiliki sandi yang dikonfigurasi untuk akun root. Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 6.3 CIS GCP Foundation 1.1: 6.1.1 CIS GCP Foundation 1.2: 6.1.1 CIS GCP Foundation 1.3: 6.1.1 CIS GCP Foundation 2.0: 6.1.1 NIST 800-53 R4: AC-3 PCI-DSS v3.2.1: 2.1 ISO-27001 v2013: A.8.2.3, A.9.4.2	Memeriksa apakah properti `rootPassword` untuk akun root kosong. Izin IAM tambahan: `roles/cloudsql.client` Input tambahan: Meminta instance live Pemindaian real-time: Tidak
`SQL public IP` Nama kategori di API: `SQL_PUBLIC_IP`	Deskripsi penemuan: Database Cloud SQL memiliki alamat IP publik. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.1: 6.6 CIS GCP Foundation 1.2: 6.6 CIS GCP Foundation 1.3: 6.6 CIS GCP Foundation 2.0: 6.2.9, 6.6 NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3, 4.6	Memeriksa apakah jenis alamat IP database Cloud SQL ditetapkan ke `Primary`, yang menunjukkan bahwa database tersebut bersifat publik. Pemindaian real-time: Ya
`SQL remote access enabled` Nama kategori di API: `SQL_REMOTE_ACCESS_ENABLED`	Menemukan deskripsi: Flag database `remote access` bagi instance Cloud SQL untuk SQL Server tidak ditetapkan ke `off`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.3.5 CIS GCP Foundation 1.3: 6.3.5 CIS GCP Foundation 2.0: 6.3.5 NIST 800-53 R5: CM-6, CM-7 PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1 ISO-27001 v2022: A.8.9 SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4 CIS Controls 8.0: 4.8	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"remote access"`, `"value": "off"`. Pemindaian real-time: Ya
`SQL skip show database disabled` Nama kategori di API: `SQL_SKIP_SHOW_DATABASE_DISABLED`	Menemukan deskripsi: Flag database `skip_show_database` untuk instance Cloud SQL untuk MySQL tidak ditetapkan ke `on`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.1.2 CIS GCP Foundation 1.3: 6.1.2 CIS GCP Foundation 2.0: 6.1.2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"skip_show_database"`, `"value": "on"`. Pemindaian real-time: Ya
`SQL trace flag 3625` Nama kategori di API: `SQL_TRACE_FLAG_3625`	Menemukan deskripsi: Flag database `3625 (trace flag)` bagi instance Cloud SQL untuk SQL Server tidak ditetapkan ke `on`. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.3.6 CIS GCP Foundation 2.0: 6.3.6 NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.1, A.8.9 Cloud Controls Matrix 4: CCC-01 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9 CIS Controls 8.0: 4.1	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"3625 (trace flag)"`, `"value": "on"`. Pemindaian real-time: Ya
`SQL user connections configured` Nama kategori di API: `SQL_USER_CONNECTIONS_CONFIGURED`	Menemukan deskripsi: Flag database `user connections` untuk instance Cloud SQL untuk SQL Server dikonfigurasi. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.3.3 CIS GCP Foundation 1.3: 6.3.3 CIS GCP Foundation 2.0: 6.3.3 NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.1, A.8.9 Cloud Controls Matrix 4: CCC-01 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9 CIS Controls 8.0: 4.1	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"user connections"`, `"value": "0"`. Pemindaian real-time: Ya
`SQL user options configured` Nama kategori di API: `SQL_USER_OPTIONS_CONFIGURED`	Menemukan deskripsi: Flag database `user options` untuk instance Cloud SQL untuk SQL Server dikonfigurasi. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 6.3.4 CIS GCP Foundation 1.3: 6.3.4 CIS GCP Foundation 2.0: 6.3.4 NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.1, A.8.9 Cloud Controls Matrix 4: CCC-01 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9 CIS Controls 8.0: 4.1	Memeriksa properti `databaseFlags` metadata instance untuk pasangan nilai kunci `"name"`: `"user options"`, `"value": ""` (kosong). Pemindaian real-time: Ya
`SQL weak root password` Nama kategori di API: `SQL_WEAK_ROOT_PASSWORD`	Deskripsi pencarian: Database Cloud SQL yang memiliki alamat IP publik juga memiliki sandi lemah yang dikonfigurasi untuk akun root. Detektor ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium Aset yang didukung sqladmin.googleapis.com/Instance Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Membandingkan sandi untuk akun root database Cloud SQL Anda dengan daftar sandi umum. Izin IAM tambahan: `roles/cloudsql.client` Input tambahan: Meminta instance live Pemindaian real-time: Tidak

Temuan kerentanan penyimpanan

Semua kerentanan jenis detektor ini berkaitan dengan konfigurasi Bucket Cloud Storage, dan termasuk dalam jenis STORAGE_SCANNER.

**Tabel 19.** Pemindai penyimpanan
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Bucket CMEK disabled` Nama kategori di API: `BUCKET_CMEK_DISABLED`	Deskripsi penemuan: Bucket tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mendapatkan petunjuk, lihat Mengaktifkan dan menonaktifkan detektor. Tingkat harga: Premium Aset yang didukung storage.googleapis.com/Bucket Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa kolom `encryption` dalam metadata bucket untuk nama resource CMEK Anda. Pemindaian real-time: Ya
`Bucket policy only disabled` Nama kategori di API: `BUCKET_POLICY_ONLY_DISABLED`	Deskripsi penemuan: Akses level bucket seragam, yang sebelumnya disebut Khusus Kebijakan Bucket, tidak dikonfigurasi. Tingkat harga: Premium Aset yang didukung storage.googleapis.com/Bucket Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.2: 5.2 CIS GCP Foundation 1.3: 5.2 CIS GCP Foundation 2.0: 5.2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa apakah properti `uniformBucketLevelAccess` pada bucket ditetapkan ke `"enabled":false` Pemindaian real-time: Ya
`Public bucket ACL` Nama kategori di API: `PUBLIC_BUCKET_ACL`	Deskripsi penemuan: Bucket Cloud Storage dapat diakses secara publik. Tingkat harga: Premium atau Standar Aset yang didukung storage.googleapis.com/Bucket Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 5.1 CIS GCP Foundation 1.1: 5.1 CIS GCP Foundation 1.2: 5.1 CIS GCP Foundation 1.3: 5.1 CIS GCP Foundation 2.0: 5.1 NIST 800-53 R4: AC-2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 7.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.14.1.3, A.8.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Memeriksa kebijakan IAM mengizinkan bucket untuk peran publik, `allUsers` atau `allAuthenticatedUsers`. Pemindaian real-time: Ya
`Public log bucket` Nama kategori di API: `PUBLIC_LOG_BUCKET`	Deskripsi penemuan: Bucket penyimpanan yang digunakan sebagai sink log dapat diakses secara publik. Temuan ini tidak tersedia untuk aktivasi level project. Tingkat harga: Premium atau Standar Aset yang didukung storage.googleapis.com/Bucket Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R4: AU-9 PCI-DSS v3.2.1: 10.5 ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3	Memeriksa kebijakan IAM mengizinkan bucket untuk akun utama `allUsers` atau `allAuthenticatedUsers`, yang memberikan akses publik. Input tambahan: Membaca sink log (filter log dan tujuan log) untuk bucket guna menentukan apakah bucket tersebut adalah bucket log atau tidak Pemindaian real-time: Ya, tetapi hanya jika kebijakan IAM pada bucket berubah, bukan jika sink log diubah

Temuan kerentanan subnetwork

Semua kerentanan jenis detektor ini berhubungan dengan konfigurasi subnetwork organisasi, dan termasuk jenis SUBNETWORK_SCANNER.

**Tabel 20.** Pemindai subnetwork
Pendeteksi	Ringkasan	Setelan pemindaian aset
`Flow logs disabled` Nama kategori di API: `FLOW_LOGS_DISABLED`	Menemukan deskripsi: Ada subnetwork VPC yang log alurnya dinonaktifkan. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Subnetwork Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 3.9 CIS GCP Foundation 1.1: 3.8 CIS GCP Foundation 1.2: 3.8 NIST 800-53 R4: SI-4 PCI-DSS v3.2.1: 10.1, 10.2 ISO-27001 v2013: A.13.1.1	Memeriksa apakah properti `enableFlowLogs` subnetwork Compute Engine tidak ada atau disetel ke `false`. Aset yang dikecualikan dari pemindaian: Akses VPC Serverless, subnetwork load balancer Pemindaian real-time: Ya
`Flow logs settings not recommended` Nama kategori di API: `VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Menemukan deskripsi: Untuk subnetwork VPC, Log Aliran VPC nonaktif atau tidak dikonfigurasi sesuai dengan rekomendasi CIS Benchmark 1.3. Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Subnetwork Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.3: 3.8 CIS GCP Foundation 2.0: 3.8 NIST 800-53 R5: SI-4 ISO-27001 v2022: A.8.15, A.8.16 Cloud Controls Matrix 4: IVS-03 NIST Cybersecurity Framework 1.0: DE-CM-1 SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4 CIS Controls 8.0: 13.6, 8.2	Memeriksa apakah properti `enableFlowLogs` subnetwork VPC tidak ada atau disetel ke `false`. Jika Log Aliran VPC diaktifkan, periksa properti `Aggregation Interval` yang disetel ke 5 SEC, `Include metadata` yang ditetapkan ke `true`, `Sample rate` ke `100%`. Aset yang dikecualikan dari pemindaian: Akses VPC Serverless, subnetwork load balancer Pemindaian real-time: Ya
`Private Google access disabled` Nama kategori di API: `PRIVATE_GOOGLE_ACCESS_DISABLED`	Menemukan deskripsi: Ada subnetwork pribadi tanpa akses ke API publik Google. Tingkat harga: Premium Aset yang didukung storage.googleapis.com/Bucket compute.googleapis.com/Subnetwork Perbaiki temuan ini Standar kepatuhan: CIS GCP Foundation 1.0: 3.8	Memeriksa apakah properti `privateIpGoogleAccess` subnetwork Compute Engine disetel ke `false`. Pemindaian real-time: Ya

Temuan AWS

**Tabel 21.** Temuan AWS
Pendeteksi	Ringkasan	Setelan pemindaian aset
`AWS Cloud Shell Full Access Restricted` Nama kategori di API: `ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED`	Deskripsi penemuan: AWS CloudShell adalah cara mudah untuk menjalankan perintah CLI pada layanan AWS. Kebijakan IAM terkelola ('AWSCloudShellFullAccess') memberikan akses penuh ke CloudShell, yang memungkinkan kemampuan mengupload dan mendownload file antara sistem lokal pengguna dan lingkungan CloudShell. Di dalam lingkungan CloudShell, pengguna memiliki izin sudo dan dapat mengakses internet. Jadi, Anda dapat menginstal software transfer file (misalnya) dan memindahkan data dari CloudShell ke server internet eksternal. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: CIS AWS Foundation 2.0.0: 1.22	Memastikan akses ke AWSCloudShellFullAccess dibatasi Pemindaian real-time: Tidak
`Access Keys Rotated Every 90 Days or Less` Nama kategori di API: `ACCESS_KEYS_ROTATED_90_DAYS_LESS`	Deskripsi penemuan: Kunci akses terdiri dari ID kunci akses dan kunci akses rahasia, yang digunakan untuk menandatangani permintaan terprogram yang Anda buat ke AWS. Pengguna AWS memerlukan kunci akses mereka sendiri untuk melakukan panggilan terprogram ke AWS dari AWS Command Line Interface (AWS CLI), Tools for Windows PowerShell, AWS SDK, atau panggilan HTTP langsung menggunakan API untuk setiap layanan AWS. Sebaiknya semua kunci akses dirotasi secara berkala. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-3(15) PCI-DSS v3.2.1: 8.2.4 CIS AWS Foundation 2.0.0: 1.14 CIS Controls 8.0: 5	Pastikan kunci akses dirotasi setiap 90 hari atau kurang Pemindaian real-time: Tidak
`All Expired Ssl Tls Certificates Stored Aws Iam Removed` Nama kategori di API: `ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED`	Deskripsi penemuan: Untuk mengaktifkan koneksi HTTPS ke situs atau aplikasi di AWS, Anda memerlukan sertifikat server SSL/TLS. Anda dapat menggunakan ACM atau IAM untuk menyimpan dan men-deploy sertifikat server. Gunakan IAM sebagai pengelola sertifikat hanya jika Anda harus mendukung koneksi HTTPS di region yang tidak didukung oleh ACM. IAM mengenkripsi kunci pribadi Anda dengan aman dan menyimpan versi yang dienkripsi di penyimpanan sertifikat SSL IAM. IAM mendukung deployment sertifikat server di semua region, tetapi Anda harus mendapatkan sertifikat dari penyedia eksternal untuk digunakan dengan AWS. Anda tidak dapat mengupload sertifikat ACM ke IAM. Selain itu, Anda tidak dapat mengelola sertifikat dari Konsol IAM. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AU-11,CM-12,SI-12 PCI-DSS v4.0: 9.4.2 ISO-27001 v2022: A.5.10,A.5.9,A.8.1 Cloud Controls Matrix 4: DSP-01 NIST Cybersecurity Framework 1.0: PR-IP-6 CIS AWS Foundation 2.0.0: 1.19 CIS Controls 8.0: 3.1	Pastikan semua sertifikat SSL/TLS yang masa berlakunya habis dan disimpan di IAM AWS dihapus Pemindaian real-time: Tidak
`Autoscaling Group Elb Healthcheck Required` Nama kategori di API: `AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED`	Menemukan deskripsi: Tindakan ini memeriksa apakah grup Penskalaan Otomatis Anda yang terkait dengan load balancer menggunakan health check Elastic Load Balancing. Hal ini memastikan bahwa grup dapat menentukan kondisi instance berdasarkan pengujian tambahan yang diberikan oleh load balancer. Menggunakan health check Elastic Load Balancing dapat membantu mendukung ketersediaan aplikasi yang menggunakan grup Auto Scaling EC2. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-2	Memeriksa apakah semua grup penskalaan otomatis yang digabungkan dengan load balancer menggunakan health check Pemindaian real-time: Tidak
`Auto Minor Version Upgrade Feature Enabled Rds Instances` Nama kategori di API: `AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES`	Deskripsi penemuan: Pastikan instance database RDS mengaktifkan tanda Auto Minor Version Upgrade untuk menerima upgrade mesin minor secara otomatis selama masa pemeliharaan yang ditentukan. Jadi, instance RDS bisa mendapatkan fitur baru, perbaikan bug, dan patch keamanan untuk mesin database-nya. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: RA-5,RA-7,SI-2 ISO-27001 v2022: A.8.8 Cloud Controls Matrix 4: UEM-03 NIST Cybersecurity Framework 1.0: ID-RA-1 SOC2 v2017: CC7.1.1,CC7.1.2,CC7.1.3,CC7.1.4,CC7.1.5 CIS AWS Foundation 2.0.0: 2.3.2 CIS Controls 8.0: 7.4	Pastikan fitur Upgrade Versi Minor Otomatis Diaktifkan untuk Instance RDS Pemindaian real-time: Tidak
`Aws Config Enabled All Regions` Nama kategori di API: `AWS_CONFIG_ENABLED_ALL_REGIONS`	Deskripsi penemuan: AWS Config adalah layanan web yang melakukan pengelolaan konfigurasi resource AWS yang didukung dalam akun Anda serta mengirimkan file log kepada Anda. Informasi yang direkam mencakup item konfigurasi (resource AWS), hubungan antara item konfigurasi (resource AWS), setiap perubahan konfigurasi antar-resource. Sebaiknya AWS Config diaktifkan di semua region. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: CM-8,PM-5 PCI-DSS v4.0: 11.2.1,11.2.2,12.5.1,9.5.1,9.5.1.1 ISO-27001 v2022: A.5.9,A.8.8 Cloud Controls Matrix 4: UEM-04 NIST Cybersecurity Framework 1.0: ID-AM-1,PR-DS-3 SOC2 v2017: CC3.2.6,CC6.1.1 HIPAA: 164.310(d)(2)(iii) CIS AWS Foundation 2.0.0: 3.5 CIS Controls 8.0: 1.1	Pastikan AWS Config diaktifkan di semua region Pemindaian real-time: Tidak
`Aws Security Hub Enabled` Nama kategori di API: `AWS_SECURITY_HUB_ENABLED`	Deskripsi penemuan: Pusat Keamanan mengumpulkan data keamanan dari seluruh akun, layanan, dan produk partner pihak ketiga yang didukung AWS, serta membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi. Jika diaktifkan, Security Hub akan mulai menggunakan, menggabungkan, mengatur, dan memprioritaskan temuan dari layanan AWS yang telah Anda aktifkan, seperti Amazon GuardDuty, Amazon Inspector, dan Amazon Macie. Anda juga dapat mengaktifkan integrasi dengan produk keamanan partner AWS. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: CA-7 PCI-DSS v3.2.1: 11.5 CIS AWS Foundation 2.0.0: 4.16	Pastikan Hub Keamanan AWS diaktifkan Pemindaian real-time: Tidak
`Cloudtrail Logs Encrypted Rest Using Kms Cmks` Nama kategori di API: `CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS`	Deskripsi penemuan: AWS CloudTrail adalah layanan web yang mencatat panggilan AWS API untuk sebuah akun dan membuat log tersebut tersedia bagi pengguna dan resource sesuai dengan kebijakan IAM. AWS Key Management Service (KMS) adalah layanan terkelola yang membantu membuat dan mengontrol kunci enkripsi yang digunakan untuk mengenkripsi data akun, dan menggunakan Hardware Security Modules (HSM) untuk melindungi keamanan kunci enkripsi. Log CloudTrail dapat dikonfigurasi untuk memanfaatkan enkripsi sisi server (SSE) dan kunci master yang dibuat pelanggan (CMK) KMS guna melindungi log CloudTrail lebih lanjut. Sebaiknya CloudTrail dikonfigurasi untuk menggunakan SSE-KMS. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: IA-5,SC-28,SI-7(6) PCI-DSS v3.2.1: 10.5.2 PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 3.7 CIS Controls 8.0: 3.11	Pastikan log CloudTrail dienkripsi dalam penyimpanan menggunakan CMK KMS Pemindaian real-time: Tidak
`Cloudtrail Log File Validation Enabled` Nama kategori di API: `CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED`	Deskripsi penemuan: Validasi file log CloudTrail membuat file ringkasan yang ditandatangani secara digital yang berisi hash dari setiap log yang ditulis CloudTrail ke S3. File ringkasan ini dapat digunakan untuk menentukan apakah file log diubah, dihapus, atau tidak diubah setelah CloudTrail mengirimkan log. Sebaiknya validasi file diaktifkan di semua CloudTrail. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AU-6,AU-7,SI-7(7) PCI-DSS v3.2.1: 11.5 PCI-DSS v4.0: 10.4.1,10.4.1.1,10.4.2,10.4.3 ISO-27001 v2022: A.5.25 Cloud Controls Matrix 4: LOG-05 NIST Cybersecurity Framework 1.0: DE-AE-2,PR-PT-1,RS-AN-1 SOC2 v2017: CC4.1.1,CC4.1.2,CC4.1.3,CC4.1.4,CC4.1.5,CC4.1.6,CC4.1.7,CC4.1.8,CC7.3.1,CC7.3.2,CC7.3.3,CC7.3.4,CC7.3.5 HIPAA: 164.308(a)(1)(ii),164.312(b) CIS AWS Foundation 2.0.0: 3.2 CIS Controls 8.0: 8.11	Pastikan validasi file log CloudTrail diaktifkan Pemindaian real-time: Tidak
`Cloudtrail Trails Integrated Cloudwatch Logs` Nama kategori di API: `CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS`	Deskripsi penemuan: AWS CloudTrail adalah layanan web yang merekam panggilan AWS API yang dilakukan di akun AWS tertentu. Informasi yang direkam mencakup identitas pemanggil API, waktu panggilan API, alamat IP sumber pemanggil API, parameter permintaan, dan elemen respons yang ditampilkan oleh layanan AWS. CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log, sehingga file log disimpan dengan tahan lama. Selain merekam log CloudTrail dalam bucket S3 yang ditentukan untuk analisis jangka panjang, analisis real time dapat dilakukan dengan mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Logs. Untuk jalur yang diaktifkan di semua region dalam sebuah akun, CloudTrail mengirimkan file log dari semua region tersebut ke grup log CloudWatch Logs. Sebaiknya log CloudTrail dikirim ke Log CloudWatch. Catatan: Rekomendasi ini dimaksudkan untuk memastikan aktivitas akun AWS dicatat, dipantau, dan dibunyikan dengan tepat. CloudWatch Logs adalah cara native untuk menyelesaikan hal ini menggunakan layanan AWS, tetapi tidak menghalangi penggunaan solusi alternatif. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AU-12,AU-3,AU-7 PCI-DSS v4.0: 10.2.1,10.2.1.2,10.2.1.5,9.4.5 ISO-27001 v2022: A.5.28,A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3,DE-CM-1 SOC2 v2017: CC5.2.3,CC7.2.1,CC7.2.2,CC7.2.3 CIS AWS Foundation 2.0.0: 3.4 CIS Controls 8.0: 8.5,8.9	Memastikan jejak CloudTrail terintegrasi dengan CloudWatch Logs Pemindaian real-time: Tidak
`Cloudwatch Alarm Action Check` Nama kategori di API: `CLOUDWATCH_ALARM_ACTION_CHECK`	Menemukan deskripsi: Tindakan ini memeriksa apakah Amazon Cloudwatch memiliki tindakan yang ditentukan saat alarm bertransisi antara status 'OK', 'ALARM', dan 'INSUFFICIENT_DATA'. Mengonfigurasi tindakan untuk status ALARM di alarm Amazon CloudWatch sangat penting untuk memicu respons langsung saat metrik yang dipantau melanggar batas. Hal ini memastikan penyelesaian masalah yang cepat, mengurangi periode nonaktif, dan memungkinkan perbaikan otomatis, menjaga kondisi sistem, dan mencegah pemadaman layanan. Alarm memiliki minimal satu tindakan. Alarm memiliki setidaknya satu tindakan ketika alarm bertransisi ke status 'INSUFFICIENT_DATA' dari status lainnya. (Opsional) Alarm memiliki minimal satu tindakan saat alarm bertransisi ke status 'OK' dari status lainnya. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-20	Memeriksa apakah alarm CloudWatch memiliki setidaknya satu tindakan alarm, satu tindakan INSUFFICIENT_DATA, atau satu tindakan OK yang diaktifkan. Pemindaian real-time: Tidak
`Cloudwatch Log Group Encrypted` Nama kategori di API: `CLOUDWATCH_LOG_GROUP_ENCRYPTED`	Deskripsi penemuan: Pemeriksaan ini memastikan log CloudWatch dikonfigurasi dengan KMS. Data grup log selalu dienkripsi di Log CloudWatch. Secara default, CloudWatch Logs menggunakan enkripsi sisi server untuk data log dalam penyimpanan. Sebagai alternatif, Anda dapat menggunakan AWS Key Management Service untuk enkripsi ini. Jika Anda melakukannya, enkripsi dilakukan menggunakan kunci AWS KMS. Enkripsi menggunakan AWS KMS diaktifkan di level grup log dengan mengaitkan kunci KMS dengan grup log, baik saat Anda membuat grup log maupun setelah grup log tersebut ada. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: PCI-DSS v3.2.1: 3.4	Memeriksa apakah semua grup log di Amazon CloudWatch Logs dienkripsi dengan KMS Pemindaian real-time: Tidak
`CloudTrail CloudWatch Logs Enabled` Nama kategori di API: `CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED`	Menemukan deskripsi: Kontrol ini memeriksa apakah jejak CloudTrail dikonfigurasi untuk mengirim log ke CloudWatch Logs. Kontrol gagal jika properti CloudWatchLogsLogGroupArn jalur kosong. CloudTrail merekam panggilan API AWS yang dilakukan di akun tertentu. Informasi yang direkam mencakup hal berikut: - Identitas pemanggil API - Waktu panggilan API - Alamat IP sumber pemanggil API - Parameter permintaan - Elemen respons yang ditampilkan oleh layanan AWS CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log. Anda dapat mengambil log CloudTrail di bucket S3 yang ditentukan untuk analisis jangka panjang. Untuk melakukan analisis secara real-time, Anda dapat mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Logs. Untuk jalur yang diaktifkan di semua Region dalam sebuah akun, CloudTrail mengirimkan file log dari semua Region tersebut ke grup log CloudWatch Logs. Hub Keamanan merekomendasikan agar Anda mengirim log CloudTrail ke CloudWatch Logs. Perhatikan bahwa rekomendasi ini dimaksudkan untuk memastikan aktivitas akun dicatat, dipantau, dan diwaspadai dengan tepat. Anda dapat menggunakan CloudWatch Logs untuk menyiapkannya dengan layanan AWS Anda. Rekomendasi ini tidak menghalangi penggunaan solusi lain. Mengirim log CloudTrail ke CloudWatch Logs memfasilitasi logging aktivitas real-time dan historis berdasarkan pengguna, API, resource, dan alamat IP. Anda dapat menggunakan pendekatan ini untuk menyetel alarm dan notifikasi untuk aktivitas akun anomali atau sensitivitas. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-20 PCI-DSS v3.2.1: 10.5.3	Memeriksa apakah semua jalur CloudTrail dikonfigurasi untuk mengirim log ke AWS CloudWatch Pemindaian real-time: Tidak
`No AWS Credentials in CodeBuild Project Environment Variables` Nama kategori di API: `CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK`	Deskripsi penemuan: Tindakan ini memeriksa apakah project berisi variabel lingkungan `AWS_ACCESS_KEY_ID` dan `AWS_SECRET_ACCESS_KEY`. Kredensial autentikasi `AWS_ACCESS_KEY_ID` dan `AWS_SECRET_ACCESS_KEY` tidak boleh disimpan dalam teks yang jelas, karena dapat menyebabkan eksposur data yang tidak diinginkan dan akses tidak sah. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: IA-5,SA-3	Memeriksa apakah semua project yang berisi variabel env AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak dalam teks biasa Pemindaian real-time: Tidak
`Codebuild Project Source Repo Url Check` Nama kategori di API: `CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK`	Menemukan deskripsi: Tindakan ini memeriksa apakah URL repositori sumber Bitbucket project AWS CodeBuild berisi token akses pribadi atau nama pengguna dan sandi. Kontrol akan gagal jika URL repositori sumber Bitbucket berisi token akses pribadi atau nama pengguna dan sandi. Kredensial login tidak boleh disimpan atau ditransmisikan dalam teks yang jelas atau muncul di URL repositori sumber. Daripada menggunakan token akses pribadi atau kredensial login, Anda harus mengakses penyedia sumber di CodeBuild, dan mengubah URL repositori sumber agar hanya berisi jalur ke lokasi repositori Bitbucket. Menggunakan token akses pribadi atau kredensial login dapat menyebabkan eksposur data yang tidak diinginkan atau akses yang tidak sah. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa apakah semua project yang menggunakan github atau bitbucket sebagai sumbernya menggunakan oauth Pemindaian real-time: Tidak
`Credentials Unused 45 Days Greater Disabled` Nama kategori di API: `CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED`	Deskripsi penemuan: Pengguna AWS IAM dapat mengakses resource AWS menggunakan berbagai jenis kredensial, seperti sandi atau kunci akses. Sebaiknya semua kredensial yang tidak digunakan dalam 45 hari atau lebih akan dinonaktifkan atau dihapus. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-2 PCI-DSS v4.0: 8.3.7 NIST Cybersecurity Framework 1.0: PR-AC-1 CIS AWS Foundation 2.0.0: 1.12 CIS Controls 8.0: 5.3	Pastikan kredensial yang tidak digunakan selama 45 hari atau lebih dinonaktifkan Pemindaian real-time: Tidak
`Default Security Group Vpc Restricts All Traffic` Nama kategori di API: `DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC`	Deskripsi penemuan: VPC dilengkapi dengan grup keamanan default yang setelan awalnya menolak semua traffic masuk, mengizinkan semua traffic keluar, dan mengizinkan semua traffic antar-instance yang ditetapkan ke grup keamanan. Jika Anda tidak menentukan grup keamanan saat meluncurkan instance, instance akan otomatis ditetapkan ke grup keamanan default ini. Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk/keluar ke resource AWS. Sebaiknya grup keamanan default membatasi semua traffic. VPC default di setiap region harus mengupdate grup keamanan default-nya untuk mematuhi kebijakan. Setiap VPC yang baru dibuat akan otomatis berisi grup keamanan default yang memerlukan perbaikan untuk mematuhi rekomendasi ini. CATATAN: Saat menerapkan rekomendasi ini, logging aliran VPC sangat berharga dalam menentukan akses port dengan hak istimewa terendah yang diperlukan oleh sistem agar berfungsi dengan baik karena dapat mencatat semua penerimaan dan penolakan paket yang terjadi dalam grup keamanan saat ini. Hal ini secara dramatis mengurangi hambatan utama pada rekayasa dengan hak istimewa terendah, yaitu menemukan port minimum yang diperlukan oleh sistem di lingkungan sekitar. Meskipun rekomendasi logging aliran VPC dalam benchmark ini tidak diadopsi sebagai tindakan keamanan permanen, rekomendasi ini harus digunakan selama periode penemuan dan rekayasa untuk grup keamanan dengan hak istimewa paling rendah. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 5.4 CIS Controls 8.0: 3.3	Pastikan grup keamanan default di setiap VPC membatasi semua traffic Pemindaian real-time: Tidak
`Dms Replication Not Public` Nama kategori di API: `DMS_REPLICATION_NOT_PUBLIC`	Menemukan deskripsi: Memeriksa apakah instance replikasi AWS DMS bersifat publik. Untuk melakukannya, fitur ini memeriksa nilai kolom `PubliclyAccessible`. Instance replikasi pribadi memiliki alamat IP pribadi yang tidak dapat Anda akses di luar jaringan replikasi. Instance replikasi harus memiliki alamat IP pribadi saat database sumber dan target berada di jaringan yang sama. Jaringan juga harus terhubung ke VPC instance replikasi menggunakan VPN, AWS Direct Connect, atau peering VPC. Untuk mempelajari lebih lanjut tentang instance replikasi publik dan pribadi, lihat [Instance replikasi publik dan pribadi](https://docs.aws.amazon.com/dms/latest/memperbaiki/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate) dalam Panduan Pengguna AWS Database Migration Service. Anda juga harus memastikan bahwa akses ke konfigurasi instance AWS DMS dibatasi hanya untuk pengguna yang diotorisasi. Untuk melakukannya, batasi izin IAM pengguna untuk mengubah setelan dan resource AWS DMS. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Memeriksa apakah instance replikasi AWS Database Migration Service bersifat publik Pemindaian real-time: Tidak
`Do Setup Access Keys During Initial User Setup All Iam Users Console` Nama kategori di API: `DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE`	Deskripsi penemuan: Konsol AWS secara default tidak memilih kotak centang yang dipilih saat membuat pengguna IAM baru. Saat membuat kredensial Pengguna IAM, Anda harus menentukan jenis akses yang diperlukan. Akses terprogram: Pengguna IAM mungkin perlu melakukan panggilan API, menggunakan AWS CLI, atau menggunakan Tools for Windows PowerShell. Jika demikian, buat kunci akses (ID kunci akses dan kunci akses rahasia) untuk pengguna tersebut. Akses AWS Management Console: Jika pengguna perlu mengakses AWS Management Console, buat sandi untuk pengguna. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 1.11 CIS Controls 8.0: 3.3,5.4	Jangan siapkan kunci akses selama penyiapan pengguna awal untuk semua pengguna IAM yang memiliki sandi konsol Pemindaian real-time: Tidak
`Dynamodb Autoscaling Enabled` Nama kategori di API: `DYNAMODB_AUTOSCALING_ENABLED`	Menemukan deskripsi: Tindakan ini memeriksa apakah tabel Amazon DynamoDB dapat menskalakan kapasitas baca dan tulisnya sesuai kebutuhan. Kontrol ini akan diteruskan jika tabel menggunakan mode kapasitas on demand atau mode yang disediakan dengan penskalaan otomatis yang dikonfigurasi. Menskalakan kapasitas dengan permintaan akan menghindari pengecualian throttling, yang membantu mempertahankan ketersediaan aplikasi Anda. Tabel DynamoDB dalam mode kapasitas on demand hanya dibatasi oleh kuota tabel default throughput DynamoDB. Untuk meningkatkan kuota ini, Anda dapat mengajukan tiket dukungan melalui Dukungan AWS. Tabel DynamoDB dalam mode yang disediakan dengan penskalaan otomatis menyesuaikan kapasitas throughput yang disediakan secara dinamis sebagai respons terhadap pola traffic. Untuk informasi tambahan tentang throttling permintaan DynamoDB, lihat Meminta throttling dan burst kapasitas dalam Panduan Developer Amazon DynamoDB. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-13(5)	Tabel DynamoDB harus secara otomatis menskalakan kapasitas dengan permintaan Pemindaian real-time: Tidak
`Dynamodb In Backup Plan` Nama kategori di API: `DYNAMODB_IN_BACKUP_PLAN`	Deskripsi penemuan: Kontrol ini mengevaluasi apakah tabel DynamoDB dicakup oleh rencana cadangan. Kontrol akan gagal jika tabel DynamoDB tidak tercakup oleh rencana cadangan. Kontrol ini hanya mengevaluasi tabel DynamoDB yang berada dalam status AKTIF. Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. Menyertakan tabel DynamoDB dalam rencana cadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak diinginkan. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-13(5)	Tabel DynamoDB harus dicakup oleh rencana cadangan Pemindaian real-time: Tidak
`Dynamodb Pitr Enabled` Nama kategori di API: `DYNAMODB_PITR_ENABLED`	Menemukan deskripsi: Pemulihan Point In Time (PITR) adalah salah satu mekanisme yang tersedia untuk mencadangkan tabel DynamoDB. Cadangan waktu tertentu disimpan selama 35 hari. Apabila persyaratan Anda adalah untuk retensi yang lebih lama, lihat [Menyiapkan pencadangan terjadwal untuk Amazon DynamoDB menggunakan AWS Backup](https://aws.amazon.com/blogs/database/set-up-schedule-backups-for-amazon-dynamodb-using-aws-backup/) di Dokumentasi AWS. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-13(5)	Memeriksa apakah pemulihan point-in-time (PITR) telah diaktifkan untuk semua tabel AWS DynamoDB Pemindaian real-time: Tidak
`Dynamodb Table Encrypted Kms` Nama kategori di API: `DYNAMODB_TABLE_ENCRYPTED_KMS`	Deskripsi penemuan: Memeriksa apakah semua tabel DynamoDB dienkripsi dengan kunci KMS yang dikelola pelanggan (non-default). Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-7(6)	Memeriksa apakah semua tabel DynamoDB dienkripsi dengan AWS Key Management Service (KMS) Pemindaian real-time: Tidak
`Ebs Optimized Instance` Nama kategori di API: `EBS_OPTIMIZED_INSTANCE`	Deskripsi penemuan: Memeriksa apakah pengoptimalan EBS diaktifkan untuk instance EC2 Anda yang dapat dioptimalkan EBS Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-5(2)	Memeriksa apakah pengoptimalan EBS telah diaktifkan untuk semua instance yang mendukung pengoptimalan EBS Pemindaian real-time: Tidak
`Ebs Snapshot Public Restorable Check` Nama kategori di API: `EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK`	Menemukan deskripsi: Memeriksa apakah snapshot Amazon Elastic Block Store tidak bersifat publik. Kontrol akan gagal jika snapshot Amazon EBS dapat dipulihkan oleh siapa pun. Snapshot EBS digunakan untuk mencadangkan data tentang volume EBS Anda ke Amazon S3 pada waktu tertentu. Anda dapat menggunakan snapshot untuk memulihkan status volume EBS sebelumnya. Membagikan snapshot kepada publik sangatlah jarang. Biasanya keputusan untuk membagikan {i>snapshot<i} secara publik dibuat secara keliru atau tanpa pemahaman lengkap tentang implikasinya. Pemeriksaan ini membantu memastikan bahwa semua pembagian tersebut dilakukan secara terencana dan disengaja. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Snapshot Amazon EBS tidak boleh dapat dipulihkan secara publik Pemindaian real-time: Tidak
`Ebs Volume Encryption Enabled All Regions` Nama kategori di API: `EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS`	Deskripsi penemuan: Elastic Compute Cloud (EC2) mendukung enkripsi dalam penyimpanan saat menggunakan layanan Elastic Block Store (EBS). Meskipun dinonaktifkan secara default, memaksa enkripsi pada pembuatan volume EBS didukung. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: IA-5,SC-28,SI-7(6) PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 2.2.1 CIS Controls 8.0: 3.11	Pastikan Enkripsi Volume EBS Diaktifkan di semua Region Pemindaian real-time: Tidak
`Ec2 Instances In Vpc` Nama kategori di API: `EC2_INSTANCES_IN_VPC`	Deskripsi temuan: Amazon VPC menyediakan lebih banyak fungsionalitas keamanan daripada EC2 Classic. Sebaiknya semua node dimiliki oleh Amazon VPC. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-7	Memastikan bahwa semua instance berasal dari VPC Pemindaian real-time: Tidak
`Ec2 Instance No Public Ip` Nama kategori di API: `EC2_INSTANCE_NO_PUBLIC_IP`	Deskripsi penemuan: Instance EC2 yang memiliki alamat IP publik lebih berisiko disusupi. Sebaiknya instance EC2 tidak dikonfigurasi dengan alamat IP publik. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Memastikan tidak ada instance yang memiliki IP publik Pemindaian real-time: Tidak
`Ec2 Managedinstance Association Compliance Status Check` Nama kategori di API: `EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK`	Deskripsi penemuan: Atribusi Pengelola Status adalah konfigurasi yang ditetapkan ke instance terkelola. Konfigurasi menentukan status yang ingin Anda pertahankan pada instance Anda. Misalnya, pengaitan dapat menentukan bahwa software antivirus harus diinstal dan berjalan pada instance Anda, atau port tertentu harus ditutup. Instance EC2 yang memiliki pengaitan dengan AWS Systems Manager berada di bawah pengelolaan Systems Manager yang memudahkan penerapan patch, memperbaiki kesalahan konfigurasi, dan merespons peristiwa keamanan. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: PCI-DSS v3.2.1: 6.2	Memeriksa status kepatuhan asosiasi manajer sistem AWS Pemindaian real-time: Tidak
`Ec2 Managedinstance Patch Compliance Status Check` Nama kategori di API: `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`	Deskripsi penemuan: Kontrol ini memeriksa apakah status kepatuhan atribusi AWS Systems Manager adalah COMPLIANT atau NON_COMPLIANT setelah pengaitan dijalankan pada instance. Kontrol akan gagal jika status kepatuhan pengaitan adalah NON_COMPLIANT. Atribusi Pengelola Status adalah konfigurasi yang ditetapkan ke instance terkelola. Konfigurasi menentukan status yang ingin Anda pertahankan pada instance Anda. Misalnya, pengaitan dapat menentukan bahwa software antivirus harus diinstal dan berjalan pada instance Anda atau port tertentu harus ditutup. Setelah Anda membuat satu atau beberapa pengaitan State Manager, informasi status kepatuhan akan langsung tersedia untuk Anda. Anda dapat melihat status kepatuhan di konsol atau sebagai respons terhadap perintah AWS CLI atau tindakan Systems Manager API yang sesuai. Untuk pengaitan, Kepatuhan Konfigurasi akan menampilkan status kepatuhan (Patuh atau Tidak mematuhi). Kategori ini juga menunjukkan tingkat keparahan yang ditetapkan untuk asosiasi, seperti Kritis atau Sedang. Untuk mempelajari lebih lanjut tentang kepatuhan asosiasi State Manager, lihat [Tentang kepatuhan asosiasi State Manager](https://docs.aws.amazon.com/systems-manager/latest/kalagan/sysman-compliance-about.html#sysman-compliance-about-association) di Panduan Pengguna AWS Systems Manager. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-2 PCI-DSS v3.2.1: 6.2	Memeriksa status kepatuhan patch AWS Systems Manager Pemindaian real-time: Tidak
`Ec2 Metadata Service Allows Imdsv2` Nama kategori di API: `EC2_METADATA_SERVICE_ALLOWS_IMDSV2`	Menemukan deskripsi: Saat mengaktifkan Layanan Metadata pada instance AWS EC2, pengguna memiliki opsi untuk menggunakan Instance Metadata Service Version 1 (IMDSv1; metode permintaan/respons) atau Instance Metadata Service Version 2 (IMDSv2; metode berorientasi sesi). Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-6 CIS AWS Foundation 2.0.0: 5.6	Pastikan Layanan Metadata EC2 hanya mengizinkan IMDSv2 Pemindaian real-time: Tidak
`Ec2 Volume Inuse Check` Nama kategori di API: `EC2_VOLUME_INUSE_CHECK`	Deskripsi penemuan: Mengidentifikasi dan menghapus volume Elastic Block Store (EBS) yang tidak terpasang (tidak digunakan) di akun AWS Anda untuk menurunkan biaya tagihan AWS bulanan. Menghapus volume EBS yang tidak digunakan juga akan mengurangi risiko data rahasia/sensitif keluar dari premis Anda. Selain itu, kontrol ini juga memeriksa apakah instance EC2 diarsipkan dan dikonfigurasi untuk menghapus volume saat penghentian. Secara default, instance EC2 dikonfigurasi untuk menghapus data dalam volume EBS yang terkait dengan instance, dan untuk menghapus volume EBS root instance. Namun, volume EBS non-root yang ditambahkan ke instance, saat peluncuran atau selama eksekusi, akan dipertahankan setelah penghentian secara default. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: CM-2	Memeriksa apakah volume EBS terpasang ke instance EC2 dan dikonfigurasi untuk dihapus saat penghentian instance Pemindaian real-time: Tidak
`Efs Encrypted Check` Nama kategori di API: `EFS_ENCRYPTED_CHECK`	Deskripsi penemuan: Amazon EFS mendukung dua bentuk enkripsi untuk sistem file, enkripsi data dalam pengiriman dan enkripsi dalam penyimpanan. Tindakan ini memastikan bahwa semua sistem file EFS dikonfigurasi dengan enkripsi dalam penyimpanan di semua region yang diaktifkan dalam akun. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-7(6) PCI-DSS v3.2.1: 8.2.1	Memeriksa apakah EFS dikonfigurasi untuk mengenkripsi data file menggunakan KMS Pemindaian real-time: Tidak
`Efs In Backup Plan` Nama kategori di API: `EFS_IN_BACKUP_PLAN`	Deskripsi penemuan: Praktik terbaik Amazon merekomendasikan untuk mengonfigurasi pencadangan untuk Sistem File Elastic (EFS). Tindakan ini akan memeriksa pencadangan yang diaktifkan pada semua EFS di setiap region yang diaktifkan dalam akun AWS Anda. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-13(5)	Memeriksa apakah sistem file EFS disertakan dalam paket AWS Backup Pemindaian real-time: Tidak
`Elb Acm Certificate Required` Nama kategori di API: `ELB_ACM_CERTIFICATE_REQUIRED`	Menemukan deskripsi: Memeriksa apakah Load Balancer Klasik menggunakan sertifikat HTTPS/SSL yang disediakan oleh AWS Certificate Manager (ACM). Kontrol akan gagal jika Load Balancer Klasik yang dikonfigurasi dengan pemroses HTTPS/SSL tidak menggunakan sertifikat yang disediakan oleh ACM. Untuk membuat sertifikat, Anda dapat menggunakan ACM atau alat yang mendukung protokol SSL dan TLS, seperti OpenSSL. Hub Keamanan merekomendasikan agar Anda menggunakan ACM untuk membuat atau mengimpor sertifikat untuk load balancer. ACM terintegrasi dengan Load Balancer Klasik sehingga Anda dapat men-deploy sertifikat di load balancer. Anda juga harus memperpanjang sertifikat ini secara otomatis. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-17,AC-4,IA-5,SC-12,SC-13,SC-23,SC-7,SC-8,SI-7,SI-7(6)	Memeriksa apakah semua Load Balancer Klasik menggunakan sertifikat SSL yang disediakan oleh Pengelola Sertifikat AWS Pemindaian real-time: Tidak
`Elb Deletion Protection Enabled` Nama kategori di API: `ELB_DELETION_PROTECTION_ENABLED`	Menemukan deskripsi: Memeriksa apakah Load Balancer Aplikasi telah mengaktifkan perlindungan penghapusan. Kontrol gagal jika perlindungan penghapusan tidak dikonfigurasi. Aktifkan perlindungan penghapusan untuk melindungi Load Balancer Aplikasi Anda dari penghapusan. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-5(2)	Perlindungan penghapusan Load Balancer Aplikasi harus diaktifkan Pemindaian real-time: Tidak
`Elb Logging Enabled` Nama kategori di API: `ELB_LOGGING_ENABLED`	Menemukan deskripsi: Tindakan ini memeriksa apakah Load Balancer Aplikasi dan Load Balancer Klasik telah mengaktifkan logging. Kontrol gagal jika access_logs.s3.enabled bernilai false. Elastic Load Balancing menyediakan log akses yang merekam informasi mendetail tentang permintaan yang dikirim ke load balancer Anda. Setiap log berisi informasi seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. Anda dapat menggunakan log akses ini untuk menganalisis pola traffic dan memecahkan masalah. Untuk mempelajari lebih lanjut, lihat [Log akses untuk Load Balancer Klasik Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) di Panduan Pengguna untuk Load Balancer Klasik. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-7(8) PCI-DSS v3.2.1: 10.3.1	Memeriksa apakah load balancer klasik dan aplikasi telah mengaktifkan logging Pemindaian real-time: Tidak
`Elb Tls Https Listeners Only` Nama kategori di API: `ELB_TLS_HTTPS_LISTENERS_ONLY`	Menemukan deskripsi: Pemeriksaan ini memastikan semua Load Balancer Klasik dikonfigurasi untuk menggunakan komunikasi yang aman. Pemroses adalah proses yang memeriksa permintaan koneksi. Otorisasi ini dikonfigurasi dengan protokol dan port untuk koneksi front-end (klien ke load balancer) dan protokol serta port untuk koneksi back-end (load balancer ke instance). Untuk informasi tentang port, protokol, dan konfigurasi pemroses yang didukung oleh Elastic Load Balancing, lihat [Pemroses untuk Load Balancer Klasik Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb- mendiskusikan-config.html). Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-7(6)	Memeriksa apakah semua Load Balancer Klasik dikonfigurasi dengan pemroses SSL atau HTTPS Pemindaian real-time: Tidak
`Encrypted Volumes` Nama kategori di API: `ENCRYPTED_VOLUMES`	Menemukan deskripsi: Memeriksa apakah volume EBS yang berada dalam status terlampir telah dienkripsi. Agar lulus pemeriksaan ini, volume EBS harus digunakan dan dienkripsi. Jika volume EBS tidak terpasang, volume tersebut tidak tunduk pada pemeriksaan ini. Untuk lapisan keamanan tambahan pada data sensitif Anda dalam volume EBS, Anda harus mengaktifkan enkripsi EBS dalam penyimpanan. Enkripsi Amazon EBS menawarkan solusi enkripsi yang mudah untuk resource EBS yang tidak mengharuskan Anda membangun, memelihara, dan mengamankan infrastruktur pengelolaan kunci Anda sendiri. Layanan ini menggunakan kunci KMS saat membuat volume dan snapshot terenkripsi. Untuk mempelajari lebih lanjut enkripsi Amazon EBS, lihat enkripsi Amazon EBS di Panduan Pengguna Amazon EC2 untuk Instance Linux. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-7(6) PCI-DSS v3.2.1: 8.2.1	Volume Amazon EBS yang terlampir harus dienkripsi dalam penyimpanan Pemindaian real-time: Tidak
`Encryption At Rest Enabled Rds Instances` Nama kategori di API: `ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES`	Deskripsi pencarian: Instance DB terenkripsi Amazon RDS menggunakan algoritma enkripsi AES-256 standar industri untuk mengenkripsi data di server yang menghosting instance DB Amazon RDS Anda. Setelah data Anda dienkripsi, Amazon RDS akan menangani autentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal terhadap performa. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: IA-5,SC-28,SI-7(6) PCI-DSS v3.2.1: 8.2.1 PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 2.3.1 CIS Controls 8.0: 3.11	Pastikan enkripsi dalam penyimpanan diaktifkan untuk Instance RDS Pemindaian real-time: Tidak
`Encryption Enabled Efs File Systems` Nama kategori di API: `ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS`	Deskripsi penemuan: Data EFS harus dienkripsi dalam penyimpanan menggunakan AWS KMS (Key Management Service). Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: IA-5,SC-28 PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 2.4.1 CIS Controls 8.0: 3.11	Pastikan enkripsi diaktifkan untuk sistem file EFS Pemindaian real-time: Tidak
`Iam Password Policy` Nama kategori di API: `IAM_PASSWORD_POLICY`	Deskripsi penemuan: AWS memungkinkan kebijakan sandi kustom di akun AWS Anda guna menentukan persyaratan kompleksitas dan periode rotasi wajib untuk sandi pengguna IAM Anda. Jika Anda tidak menetapkan kebijakan sandi kustom, sandi pengguna IAM harus memenuhi kebijakan sandi AWS default. Praktik terbaik keamanan AWS merekomendasikan persyaratan kompleksitas sandi berikut: - Wajibkan setidaknya satu karakter huruf besar dalam sandi. - Wajibkan setidaknya satu karakter huruf kecil dalam sandi. - Wajibkan setidaknya satu simbol dalam sandi. - Wajibkan setidaknya satu angka dalam sandi. - Wajibkan panjang kata sandi minimal 14 karakter. - Wajibkan setidaknya 24 sandi sebelum mengizinkan penggunaan ulang. - Wajibkan setidaknya 90 sebelum masa berlaku sandi habis Kontrol ini memeriksa semua persyaratan kebijakan sandi yang ditentukan. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: IA-5(1) PCI-DSS v3.2.1: 8.2.5	Memeriksa apakah kebijakan sandi akun untuk pengguna IAM memenuhi persyaratan yang ditentukan Pemindaian real-time: Tidak
`Iam Password Policy Prevents Password Reuse` Nama kategori di API: `IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE`	Menemukan deskripsi: Kebijakan sandi IAM dapat mencegah penggunaan ulang sandi tertentu oleh pengguna yang sama. Sebaiknya gunakan kebijakan sandi untuk mencegah penggunaan ulang sandi. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: IA-5 PCI-DSS v4.0: 2.2.2,8.3.5,8.3.6,8.6.3 ISO-27001 v2022: A.5.17 Cloud Controls Matrix 4: IAM-02 SOC2 v2017: CC6.1.3,CC6.1.8,CC6.1.9 CIS AWS Foundation 2.0.0: 1.9 CIS Controls 8.0: 5.2	Memastikan kebijakan sandi IAM mencegah penggunaan ulang sandi Pemindaian real-time: Tidak
`Iam Password Policy Requires Minimum Length 14 Greater` Nama kategori di API: `IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER`	Deskripsi penemuan: Kebijakan sandi, sebagian, digunakan untuk menerapkan persyaratan kompleksitas sandi. Kebijakan sandi IAM dapat digunakan untuk memastikan panjang sandi setidaknya ditetapkan. Kebijakan sandi sebaiknya memerlukan panjang sandi minimal 14. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: CIS AWS Foundation 2.0.0: 1.8 CIS Controls 8.0: 5,5.2	Pastikan kebijakan sandi IAM memerlukan panjang minimum 14 karakter atau lebih Pemindaian real-time: Tidak
`Iam Policies Allow Full Administrative Privileges Attached` Nama kategori di API: `IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED`	Deskripsi temuan: Kebijakan IAM adalah cara hak istimewa diberikan kepada pengguna, grup, atau peran. Saran keamanan ini direkomendasikan dan dianggap sebagai saran keamanan standar untuk memberikan _hak istimewa terendah_, yaitu hanya memberikan izin yang diperlukan untuk melakukan tugas. Tentukan apa yang perlu dilakukan pengguna, lalu buat kebijakan untuk mereka yang memungkinkan pengguna _hanya_ melakukan tugas tersebut, bukan mengizinkan hak istimewa administratif penuh. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 1.16 CIS Controls 8.0: 3.3	Pastikan kebijakan IAM yang mengizinkan hak istimewa administratif ":" penuh tidak dilampirkan Pemindaian real-time: Tidak
`Iam Users Receive Permissions Groups` Nama kategori di API: `IAM_USERS_RECEIVE_PERMISSIONS_GROUPS`	Deskripsi temuan: Pengguna IAM diberi akses ke layanan, fungsi, dan data melalui kebijakan IAM. Ada empat cara untuk menentukan kebijakan bagi pengguna: 1) Mengedit kebijakan pengguna secara langsung, alias inline, atau kebijakan pengguna; 2) melampirkan kebijakan secara langsung ke pengguna; 3) menambahkan pengguna ke grup IAM yang memiliki kebijakan terlampir; 4) menambahkan pengguna ke grup IAM yang memiliki kebijakan inline. Hanya penerapan ketiga yang direkomendasikan. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-2,AC-5,AC-6,AU-9 PCI-DSS v4.0: 10.3.1,7.1.1,7.2.1,7.2.2,7.2.4,7.2.6,7.3.1,7.3.2 ISO-27001 v2022: A.5.15,A.5.3,A.8.2,A.8.3 Cloud Controls Matrix 4: IAM-04 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.3.1,CC6.3.2,CC6.3.3 HIPAA: 164.308(a)(3)(ii),164.308(a)(4)(i),164.308(a)(4)(ii) CIS AWS Foundation 2.0.0: 1.15 CIS Controls 8.0: 6.8	Memastikan Pengguna IAM Menerima Izin Hanya Melalui Grup Pemindaian real-time: Tidak
`Iam User Group Membership Check` Nama kategori di API: `IAM_USER_GROUP_MEMBERSHIP_CHECK`	Deskripsi penemuan: Pengguna IAM harus selalu menjadi bagian dari grup IAM untuk mematuhi praktik terbaik keamanan IAM. Dengan menambahkan pengguna ke grup, kebijakan dapat diterapkan di antara jenis pengguna. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-6	Memeriksa apakah pengguna IAM adalah anggota dari setidaknya satu grup IAM Pemindaian real-time: Tidak
`Iam User Mfa Enabled` Nama kategori di API: `IAM_USER_MFA_ENABLED`	Deskripsi penemuan: Autentikasi multi-faktor (MFA) adalah praktik terbaik yang menambahkan lapisan perlindungan ekstra selain nama pengguna dan sandi. Dengan MFA, saat pengguna login ke AWS Management Console, mereka diwajibkan untuk memberikan kode autentikasi sensitif waktu, yang disediakan oleh perangkat virtual atau fisik yang terdaftar. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: PCI-DSS v3.2.1: 8.3.2	Memeriksa apakah pengguna IAM AWS telah mengaktifkan autentikasi multi-faktor (MFA) Pemindaian real-time: Tidak
`Iam User Unused Credentials Check` Nama kategori di API: `IAM_USER_UNUSED_CREDENTIALS_CHECK`	Deskripsi penemuan: Tindakan ini akan memeriksa apakah ada sandi IAM atau kunci akses aktif yang tidak digunakan dalam 90 hari terakhir. Praktik terbaik merekomendasikan agar Anda menghapus, menonaktifkan, atau merotasi semua kredensial yang tidak digunakan selama 90 hari atau lebih. Tindakan ini akan mengurangi periode peluang penggunaan kredensial yang terkait dengan akun yang disusupi atau diabaikan. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-6 PCI-DSS v3.2.1: 8.1.4	Memeriksa apakah semua pengguna IAM AWS memiliki sandi atau kunci akses aktif yang belum digunakan dalam hari maxCredentialUsageAge (default 90) Pemindaian real-time: Tidak
`Kms Cmk Not Scheduled For Deletion` Nama kategori di API: `KMS_CMK_NOT_SCHEDULED_FOR_DELETION`	Menemukan deskripsi: Kontrol ini memeriksa apakah kunci KMS dijadwalkan untuk dihapus. Kontrol akan gagal jika kunci KMS dijadwalkan untuk dihapus. Kunci KMS tidak dapat dipulihkan setelah dihapus. Data yang dienkripsi dalam kunci KMS juga tidak dapat dipulihkan secara permanen jika kunci KMS dihapus. Jika data penting telah dienkripsi berdasarkan kunci KMS yang dijadwalkan untuk dihapus, pertimbangkan untuk mendekripsi data tersebut atau mengenkripsi ulang data dengan kunci KMS baru, kecuali jika Anda sengaja melakukan penghapusan kriptografi. Ketika kunci KMS dijadwalkan untuk dihapus, periode tunggu wajib akan diterapkan agar waktu tunggu dapat membalikkan penghapusan, jika dijadwalkan secara keliru. Masa tunggu default adalah 30 hari, tetapi dapat dikurangi menjadi hanya 7 hari saat kunci KMS dijadwalkan untuk dihapus. Selama periode tunggu, penghapusan terjadwal dapat dibatalkan dan kunci KMS tidak akan dihapus. Untuk informasi tambahan terkait penghapusan kunci KMS, lihat [Menghapus kunci KMS](https://docs.aws.amazon.com/kms/latest/developerguide/removed-keys.html) di Panduan Developer AWS Key Management Service. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-12	Memastikan semua CMK tidak dijadwalkan untuk dihapus Pemindaian real-time: Tidak
`Lambda Concurrency Check` Nama kategori di API: `LAMBDA_CONCURRENCY_CHECK`	Menemukan deskripsi: Memeriksa apakah fungsi Lambda dikonfigurasi dengan batas eksekusi serentak tingkat fungsi. Aturannya adalah NON_COMPLIANT jika fungsi Lambda tidak dikonfigurasi dengan batas eksekusi serentak tingkat fungsi. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa apakah fungsi Lambda dikonfigurasi dengan batas eksekusi serentak level fungsi Pemindaian real-time: Tidak
`Lambda Dlq Check` Nama kategori di API: `LAMBDA_DLQ_CHECK`	Menemukan deskripsi: Memeriksa apakah fungsi Lambda dikonfigurasi dengan antrean yang dihentikan pengirimannya. Aturannya adalah NON_COMPLIANT jika fungsi Lambda tidak dikonfigurasi dengan antrean yang dihentikan pengirimannya. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-2	Memeriksa apakah fungsi Lambda dikonfigurasi dengan antrean huruf yang dihentikan Pemindaian real-time: Tidak
`Lambda Function Public Access Prohibited` Nama kategori di API: `LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED`	Menemukan deskripsi: Praktik terbaik AWS merekomendasikan agar fungsi Lambda tidak diekspos secara publik. Kebijakan ini memeriksa semua fungsi Lambda yang di-deploy di semua region yang diaktifkan dalam akun Anda dan akan gagal jika dikonfigurasi untuk mengizinkan akses publik. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Memeriksa apakah kebijakan yang disertakan pada fungsi Lambda melarang akses publik Pemindaian real-time: Tidak
`Lambda Inside Vpc` Nama kategori di API: `LAMBDA_INSIDE_VPC`	Menemukan deskripsi: Memeriksa apakah fungsi Lambda berada di VPC. Anda mungkin melihat temuan yang gagal untuk resource Lambda@Edge. Laporan ini tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan keterjangkauan publik. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Memeriksa apakah fungsi Lambda ada di dalam VPC Pemindaian real-time: Tidak
`Mfa Delete Enabled S3 Buckets` Nama kategori di API: `MFA_DELETE_ENABLED_S3_BUCKETS`	Deskripsi penemuan: Setelah MFA Delete diaktifkan di bucket S3 yang sensitif dan diklasifikasikan, pengguna harus memiliki dua bentuk autentikasi. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 2.1.2 CIS Controls 8.0: 3.3,6.5	Pastikan Penghapusan MFA diaktifkan di bucket S3 Pemindaian real-time: Tidak
`Mfa Enabled Root User Account` Nama kategori di API: `MFA_ENABLED_ROOT_USER_ACCOUNT`	Menemukan deskripsi: Akun pengguna 'root' adalah pengguna dengan hak istimewa paling tinggi dalam akun AWS. Autentikasi Multi-faktor (MFA) menambahkan lapisan perlindungan ekstra selain nama pengguna dan sandi. Dengan mengaktifkan MFA, saat pengguna login ke situs AWS, mereka akan diminta memasukkan nama pengguna dan sandi serta kode autentikasi dari perangkat MFA AWS mereka. Catatan: Saat MFA virtual digunakan untuk akun 'root', sebaiknya perangkat yang digunakan BUKAN perangkat pribadi, melainkan perangkat seluler khusus (tablet atau ponsel) yang dikelola agar tetap terisi daya dan diamankan terpisah dari perangkat pribadi mana pun. ("MFA virtual non-pribadi") Hal ini mengurangi risiko kehilangan akses ke MFA karena kehilangan perangkat, tukar tambah perangkat, atau jika orang yang memiliki perangkat tersebut tidak lagi dipekerjakan di perusahaan. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: IA-2,IA-2(8) PCI-DSS v3.2.1: 8.3.2 PCI-DSS v4.0: 2.2.7,8.4.1 ISO-27001 v2022: A.8.2 Cloud Controls Matrix 4: IAM-10 NIST Cybersecurity Framework 1.0: PR-AC-7 SOC2 v2017: CC6.1.3,CC6.1.4,CC6.1.6,CC6.1.7,CC6.1.8 CIS AWS Foundation 2.0.0: 1.5 CIS Controls 8.0: 6.5	Pastikan MFA diaktifkan untuk akun pengguna 'root' Pemindaian real-time: Tidak
`Multi Factor Authentication Mfa Enabled All Iam Users Console` Nama kategori di API: `MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE`	Deskripsi penemuan: Autentikasi Multi-Faktor (MFA) menambahkan lapisan jaminan autentikasi ekstra di luar kredensial tradisional. Dengan mengaktifkan MFA, saat pengguna login ke Konsol AWS, mereka akan diminta untuk memasukkan nama pengguna dan sandi, serta kode autentikasi dari token MFA fisik atau virtual. Sebaiknya MFA diaktifkan untuk semua akun yang memiliki sandi konsol. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: IA-2,IA-2(8) PCI-DSS v3.2.1: 8.3.2 PCI-DSS v4.0: 2.2.7,8.4.1 ISO-27001 v2022: A.8.2 Cloud Controls Matrix 4: IAM-10 NIST Cybersecurity Framework 1.0: PR-AC-7 SOC2 v2017: CC6.1.3,CC6.1.4,CC6.1.6,CC6.1.7,CC6.1.8 CIS AWS Foundation 2.0.0: 1.10 CIS Controls 8.0: 6.5	Pastikan autentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna IAM yang memiliki sandi konsol Pemindaian real-time: Tidak
`No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration` Nama kategori di API: `NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION`	Deskripsi penemuan: Fungsi Network Access Control List (NACL) menyediakan pemfilteran stateless dari traffic jaringan masuk dan keluar ke resource AWS. Disarankan agar tidak ada NACL yang mengizinkan akses masuk tanpa batas ke port administrasi server jarak jauh, seperti SSH ke port `22` dan RDP ke port `3389`, menggunakan protokol TDP (6), UDP (17), atau ALL (-1) Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: CIS AWS Foundation 2.0.0: 5.1	Pastikan tidak ada ACL Jaringan yang memungkinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh Pemindaian real-time: Tidak
`No Root User Account Access Key Exists` Nama kategori di API: `NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS`	Menemukan deskripsi: Akun pengguna 'root' adalah pengguna dengan hak istimewa paling tinggi dalam akun AWS. Kunci Akses AWS memberikan akses terprogram ke akun AWS tertentu. Sebaiknya semua kunci akses yang terkait dengan akun pengguna 'root' dihapus. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v3.2.1: 8.1.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 1.4 CIS Controls 8.0: 3.3,5.4	Pastikan tidak ada kunci akses akun pengguna 'root' Pemindaian real-time: Tidak
`No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration` Nama kategori di API: `NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION`	Deskripsi penemuan: Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. Disarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port administrasi server jarak jauh, seperti SSH ke port `22` dan RDP ke port `3389`, menggunakan protokol TDP (6), UDP (17), atau ALL (-1) Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: CIS AWS Foundation 2.0.0: 5.2	Pastikan tidak ada grup keamanan yang mengizinkan masuk dari 0.0.0.0/0 ke port administrasi server jarak jauh Pemindaian real-time: Tidak
`No Security Groups Allow Ingress 0 Remote Server Administration` Nama kategori di API: `NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION`	Deskripsi penemuan: Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. Sebaiknya tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port administrasi server jarak jauh, seperti SSH ke port `22` dan RDP ke port `3389`. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: CIS AWS Foundation 2.0.0: 5.3	Pastikan tidak ada grup keamanan yang mengizinkan masuk dari ::/0 ke port administrasi server jarak jauh Pemindaian real-time: Tidak
`One Active Access Key Available Any Single Iam User` Nama kategori di API: `ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER`	Menemukan deskripsi: Kunci akses adalah kredensial jangka panjang bagi pengguna IAM atau pengguna 'root' akun AWS. Anda dapat menggunakan kunci akses untuk menandatangani permintaan terprogram ke AWS CLI atau AWS API (secara langsung atau menggunakan AWS SDK) Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: CIS AWS Foundation 2.0.0: 1.13 CIS Controls 8.0: 5	Pastikan hanya ada satu kunci akses aktif yang tersedia untuk setiap pengguna IAM Pemindaian real-time: Tidak
`Public Access Given Rds Instance` Nama kategori di API: `PUBLIC_ACCESS_GIVEN_RDS_INSTANCE`	Menemukan deskripsi: Pastikan dan verifikasi bahwa instance database RDS yang disediakan di akun AWS Anda membatasi akses tidak sah untuk meminimalkan risiko keamanan. Untuk membatasi akses ke instance database RDS yang dapat diakses secara publik, Anda harus menonaktifkan tanda database yang Dapat Diakses secara Publik dan mengupdate grup keamanan VPC yang terkait dengan instance tersebut. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2,SC-7 PCI-DSS v3.2.1: 2.2.2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 2.3.3 CIS Controls 8.0: 3.3	Memastikan akses publik tidak diberikan pada Instance RDS Pemindaian real-time: Tidak
`Rds Enhanced Monitoring Enabled` Nama kategori di API: `RDS_ENHANCED_MONITORING_ENABLED`	Deskripsi penemuan: Pemantauan yang ditingkatkan memberikan metrik real-time pada sistem operasi tempat instance RDS dijalankan, melalui agen yang diinstal dalam instance. Untuk detail selengkapnya, lihat [Memantau metrik OS dengan Pemantauan yang Ditingkatkan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html). Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-2	Memeriksa apakah pemantauan yang ditingkatkan diaktifkan untuk semua instance RDS DB Pemindaian real-time: Tidak
`Rds Instance Deletion Protection Enabled` Nama kategori di API: `RDS_INSTANCE_DELETION_PROTECTION_ENABLED`	Deskripsi penemuan: Mengaktifkan perlindungan penghapusan instance adalah lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database secara tidak sengaja oleh entitas yang tidak sah. Saat perlindungan penghapusan diaktifkan, instance RDS DB tidak dapat dihapus. Sebelum permintaan penghapusan dapat berhasil, perlindungan penghapusan harus dinonaktifkan. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-13(5)	Memeriksa apakah semua instance RDS mengaktifkan perlindungan penghapusan atau tidak Pemindaian real-time: Tidak
`Rds In Backup Plan` Nama kategori di API: `RDS_IN_BACKUP_PLAN`	Deskripsi penemuan: Pemeriksaan ini mengevaluasi apakah instance DB Amazon RDS dicakup oleh rencana cadangan. Kontrol ini gagal jika instance RDS DB tidak tercakup oleh rencana cadangan. AWS Backup adalah layanan pencadangan terkelola sepenuhnya yang memusatkan dan mengotomatiskan pencadangan data di seluruh layanan AWS. Dengan AWS Backup, Anda dapat membuat kebijakan pencadangan yang disebut rencana pencadangan. Anda dapat menggunakan paket ini untuk menentukan persyaratan pencadangan, seperti frekuensi pencadangan data dan durasi penyimpanan cadangan tersebut. Menyertakan instance RDS DB dalam rencana cadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak diinginkan. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-13(5)	Instance DB RDS harus dicakup oleh rencana cadangan Pemindaian real-time: Tidak
`Rds Logging Enabled` Nama kategori di API: `RDS_LOGGING_ENABLED`	Menemukan deskripsi: Tindakan ini memeriksa apakah log Amazon RDS berikut diaktifkan dan dikirim ke CloudWatch. Database RDS harus mengaktifkan log yang relevan. Pencatatan log {i>database<i} menyediakan catatan terperinci dari permintaan yang dibuat untuk RDS. Log database dapat membantu dalam hal keamanan dan mengakses audit serta dapat membantu mendiagnosis masalah ketersediaan. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-7(8)	Memeriksa apakah log yang diekspor diaktifkan untuk semua instance RDS DB Pemindaian real-time: Tidak
`Rds Multi Az Support` Nama kategori di API: `RDS_MULTI_AZ_SUPPORT`	Menemukan deskripsi: Instance DB RDS harus dikonfigurasi untuk beberapa Zona Ketersediaan (AZ). Hal ini memastikan ketersediaan data yang disimpan. Deployment multi-AZ memungkinkan failover otomatis jika ada masalah dengan ketersediaan Zona Ketersediaan dan selama pemeliharaan RDS reguler. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-13(5)	Memeriksa apakah ketersediaan tinggi diaktifkan untuk semua instance DB RDS atau tidak Pemindaian real-time: Tidak
`Redshift Cluster Configuration Check` Nama kategori di API: `REDSHIFT_CLUSTER_CONFIGURATION_CHECK`	Deskripsi penemuan: Tindakan ini memeriksa elemen penting cluster Redshift: enkripsi dalam penyimpanan, logging, dan jenis node. Item konfigurasi ini penting dalam pemeliharaan cluster Redshift yang aman dan dapat diamati. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-7(8) PCI-DSS v3.2.1: 10.3.1	Memeriksa apakah semua cluster Redshift memiliki enkripsi dalam penyimpanan, logging, dan jenis node. Pemindaian real-time: Tidak
`Redshift Cluster Maintenancesettings Check` Nama kategori di API: `REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK`	Deskripsi penemuan: Upgrade versi utama otomatis terjadi sesuai dengan masa pemeliharaan Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-2	Memeriksa apakah semua cluster Redshift telah mengaktifkan allowVersionUpgrade serta pilihan PemeliharaanWindow dan automatedSnapshotRetentionPeriod yang ditetapkan Pemindaian real-time: Tidak
`Redshift Cluster Public Access Check` Nama kategori di API: `REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK`	Deskripsi penemuan: Atribut yang Dapat Diakses Publik dari konfigurasi cluster Amazon Redshift menunjukkan apakah cluster dapat diakses secara publik. Jika dikonfigurasi dengan PubliclyAccessible yang disetel ke benar (true), cluster tersebut adalah instance yang terhubung ke Internet yang memiliki nama DNS yang dapat diselesaikan secara publik, yang di-resolve ke alamat IP publik. Jika tidak dapat diakses secara publik, cluster adalah instance internal dengan nama DNS yang akan di-resolve ke alamat IP pribadi. Kecuali jika Anda bermaksud agar cluster dapat diakses secara publik, cluster tidak boleh dikonfigurasi dengan PubliclyAccessible yang disetel ke true. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Memeriksa apakah cluster Redshift dapat diakses secara publik Pemindaian real-time: Tidak
`Restricted Common Ports` Nama kategori di API: `RESTRICTED_COMMON_PORTS`	Menemukan deskripsi: Tindakan ini memeriksa apakah traffic masuk yang tidak dibatasi untuk grup keamanan dapat diakses oleh port tertentu yang memiliki risiko tertinggi. Kontrol ini gagal jika ada aturan dalam grup keamanan yang mengizinkan lalu lintas masuk dari '0.0.0.0/0' atau '::/0' untuk port tersebut. Akses tak terbatas (0.0.0.0/0) meningkatkan peluang terjadinya aktivitas berbahaya, seperti peretasan, serangan denial-of-service, dan kehilangan data. Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. Tidak ada grup keamanan yang mengizinkan akses masuk yang tidak dibatasi ke port berikut: - 20, 21 (FTP) - 25 (SSH) 23 (Telnet) - 25 (SMTP) - 110 (POP3) - 135 (RPC) - 1403 (IMAP) - 445 (CIFS3) - 445 (CIFS3 Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi Pemindaian real-time: Tidak
`Restricted Ssh` Nama kategori di API: `RESTRICTED_SSH`	Deskripsi penemuan: Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. CIS merekomendasikan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port 22. Menghapus konektivitas tak terbatas ke layanan konsol jarak jauh, seperti SSH, akan mengurangi eksposur server terhadap risiko. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Grup keamanan tidak boleh mengizinkan masuk dari 0.0.0.0/0 ke port 22 Pemindaian real-time: Tidak
`Rotation Customer Created Cmks Enabled` Nama kategori di API: `ROTATION_CUSTOMER_CREATED_CMKS_ENABLED`	Deskripsi penemuan: Memeriksa apakah rotasi kunci otomatis diaktifkan untuk setiap kunci dan cocok dengan ID kunci milik pelanggan yang membuat kunci AWS KMS. Aturannya adalah NON_COMPLIANT jika peran perekam AWS Config untuk resource tidak memiliki izin kms:ExplainKey. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Pastikan rotasi untuk CMK yang dibuat pelanggan diaktifkan Pemindaian real-time: Tidak
`Rotation Customer Created Symmetric Cmks Enabled` Nama kategori di API: `ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED`	Deskripsi penemuan: AWS Key Management Service (KMS) memungkinkan pelanggan merotasi kunci pendukung yang merupakan materi kunci yang disimpan dalam KMS yang dikaitkan dengan ID kunci dari kunci master pelanggan (CMK) yang dibuat oleh Pelanggan. Ini adalah kunci pendukung yang digunakan untuk melakukan operasi kriptografi seperti enkripsi dan pembukaan enkripsi. Saat ini, rotasi kunci otomatis menyimpan semua kunci pendukung sebelumnya, sehingga dekripsi data yang dienkripsi dapat berlangsung secara transparan. Sebaiknya aktifkan rotasi kunci CMK untuk kunci simetris. Rotasi kunci tidak dapat diaktifkan untuk CMK asimetris. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: IA-5,SC-28 PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 3.8 CIS Controls 8.0: 3.11	Pastikan rotasi untuk CMK simetris yang dibuat pelanggan diaktifkan Pemindaian real-time: Tidak
`Routing Tables Vpc Peering Are Least Access` Nama kategori di API: `ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS`	Menemukan deskripsi: Memeriksa apakah tabel rute untuk peering VPC dikonfigurasi dengan utama dengan hak istimewa terendah. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Pastikan tabel perutean untuk peering VPC adalah "akses paling tidak" Pemindaian real-time: Tidak
`S3 Account Level Public Access Blocks` Nama kategori di API: `S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS`	Deskripsi penemuan: Amazon S3 Block Public Access menyediakan setelan titik akses, bucket, dan akun untuk membantu Anda mengelola akses publik ke resource Amazon S3. Secara default, bucket, titik akses, dan objek baru tidak mengizinkan akses publik. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun.	Memeriksa apakah setelan pemblokiran akses publik S3 yang diperlukan dikonfigurasi dari tingkat akun Pemindaian real-time: Tidak
`S3 Bucket Logging Enabled` Nama kategori di API: `S3_BUCKET_LOGGING_ENABLED`	Deskripsi penemuan: Fitur Logging Akses Server AWS S3 mencatat permintaan akses ke bucket penyimpanan yang berguna untuk audit keamanan. Secara default, logging akses server tidak diaktifkan untuk bucket S3. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-7(8) PCI-DSS v3.2.1: 10.3.1	Memeriksa apakah logging diaktifkan di semua bucket S3 Pemindaian real-time: Tidak
`S3 Bucket Policy Set Deny Http Requests` Nama kategori di API: `S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS`	Deskripsi penemuan: Pada level bucket Amazon S3, Anda dapat mengonfigurasi izin melalui kebijakan bucket, sehingga objek hanya dapat diakses melalui HTTPS. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-17,IA-5,SC-8 PCI-DSS v4.0: 2.2.7,4.1.1,4.2.1,4.2.1.2,4.2.2,8.3.2 ISO-27001 v2022: A.5.14 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-2 SOC2 v2017: CC6.1.11,CC6.1.3,CC6.1.8,CC6.7.2 HIPAA: 164.312(a)(2)(iv),164.312(e)(1),164.312(e)(2)(i),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 2.1.1 CIS Controls 8.0: 3.10	Memastikan Kebijakan Bucket S3 disetel untuk menolak permintaan HTTP Pemindaian real-time: Tidak
`S3 Bucket Replication Enabled` Nama kategori di API: `S3_BUCKET_REPLICATION_ENABLED`	Menemukan deskripsi: Kontrol ini memeriksa apakah bucket Amazon S3 mengaktifkan Replikasi Lintas Region atau tidak. Kontrol akan gagal jika bucket tidak mengaktifkan Replikasi Lintas Region atau jika Replikasi Wilayah yang Sama juga diaktifkan. Replikasi adalah penyalinan objek secara otomatis dan asinkron di seluruh bucket di Region AWS yang sama atau berbeda. Replikasi menyalin objek yang baru dibuat dan update objek dari bucket sumber ke bucket atau bucket tujuan. Praktik terbaik AWS merekomendasikan replikasi untuk bucket sumber dan tujuan yang dimiliki oleh akun AWS yang sama. Selain ketersediaan, Anda harus mempertimbangkan setelan hardening sistem lainnya. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-13(5)	Memeriksa apakah bucket S3 mengaktifkan replikasi lintas region Pemindaian real-time: Tidak
`S3 Bucket Server Side Encryption Enabled` Nama kategori di API: `S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED`	Deskripsi penemuan: Langkah ini memeriksa apakah bucket S3 Anda telah mengaktifkan enkripsi default Amazon S3 atau bahwa kebijakan bucket S3 secara eksplisit menolak permintaan put-object tanpa enkripsi sisi server. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-7(6) PCI-DSS v3.2.1: 10.5.2	Pastikan semua bucket S3 menggunakan enkripsi dalam penyimpanan Pemindaian real-time: Tidak
`S3 Bucket Versioning Enabled` Nama kategori di API: `S3_BUCKET_VERSIONING_ENABLED`	Menemukan deskripsi: Amazon S3 adalah solusi untuk menyimpan beberapa varian objek di bucket yang sama dan dapat membantu Anda memulihkan data dengan lebih mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-13(5) PCI-DSS v3.2.1: 10.5.5	Memeriksa apakah pembuatan versi diaktifkan untuk semua bucket S3 Pemindaian real-time: Tidak
`S3 Default Encryption Kms` Nama kategori di API: `S3_DEFAULT_ENCRYPTION_KMS`	Menemukan deskripsi: Memeriksa apakah bucket Amazon S3 dienkripsi dengan AWS Key Management Service (AWS KMS) Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-7(6)	Memeriksa apakah semua bucket dienkripsi dengan KMS Pemindaian real-time: Tidak
`Sagemaker Notebook Instance Kms Key Configured` Nama kategori di API: `SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED`	Menemukan deskripsi: Memeriksa apakah kunci AWS Key Management Service (AWS KMS) dikonfigurasi untuk instance notebook Amazon SageMaker. Aturannya adalah NON_COMPLIANT jika 'KmsKeyId' tidak ditentukan untuk instance notebook SageMaker. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-7(6) PCI-DSS v3.2.1: 8.2.1	Memeriksa apakah semua instance notebook SageMaker dikonfigurasi untuk menggunakan KMS Pemindaian real-time: Tidak
`Sagemaker Notebook No Direct Internet Access` Nama kategori di API: `SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS`	Menemukan deskripsi: Memeriksa apakah akses internet langsung dinonaktifkan untuk instance notebook SageMaker. Untuk melakukannya, pengujian akan memeriksa apakah kolom DirectInternetAccess dinonaktifkan untuk instance notebook. Jika Anda mengonfigurasi instance SageMaker tanpa VPC, akses internet langsung secara default akan diaktifkan di instance Anda. Anda harus mengonfigurasi instance dengan VPC dan mengubah setelan default ke Nonaktif—Akses internet melalui VPC. Untuk melatih atau menghosting model dari notebook, Anda memerlukan akses internet. Untuk mengaktifkan akses internet, pastikan VPC Anda memiliki gateway NAT dan grup keamanan Anda mengizinkan koneksi keluar. Untuk mempelajari lebih lanjut cara menghubungkan instance notebook ke resource di VPC, lihat Menghubungkan instance notebook ke resource di VPC dalam Panduan Developer Amazon SageMaker. Anda juga harus memastikan bahwa akses ke konfigurasi SageMaker dibatasi hanya untuk pengguna yang diotorisasi. Membatasi izin IAM pengguna untuk mengubah setelan dan resource SageMaker. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Memeriksa apakah akses internet langsung dinonaktifkan untuk semua instance notebook Amazon SageMaker Pemindaian real-time: Tidak
`Secretsmanager Rotation Enabled Check` Nama kategori di API: `SECRETSMANAGER_ROTATION_ENABLED_CHECK`	Finding description: Memeriksa apakah secret yang disimpan di AWS Secrets Manager dikonfigurasi dengan rotasi otomatis. Kontrol akan gagal jika rahasia tidak dikonfigurasi dengan rotasi otomatis. Jika Anda memberikan nilai kustom untuk parameter `maximumAllowedRotationFrequency`, kontrol hanya akan diteruskan jika rahasia diputar secara otomatis dalam jangka waktu yang ditentukan. Secret Manager membantu Anda meningkatkan postur keamanan organisasi. Rahasia mencakup kredensial database, sandi, dan kunci API pihak ketiga. Kamu bisa menggunakan Secret Manager untuk menyimpan secret secara terpusat, mengenkripsi secret secara otomatis, mengontrol akses ke secret, serta merotasi secret dengan aman dan otomatis. Secret Manager dapat merotasi secret. Anda dapat menggunakan rotasi untuk mengganti secret jangka panjang dengan secret jangka pendek. Memutar secret Anda akan membatasi berapa lama pengguna yang tidak sah dapat menggunakan rahasia yang telah dibobol. Oleh karena itu, Anda harus sering merotasi secret Anda. Untuk mempelajari rotasi lebih lanjut, lihat Memutar secret AWS Secrets Manager di Panduan Pengguna AWS Secrets Manager. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: AC-3(15) PCI-DSS v3.2.1: 8.2.4	Memastikan semua secret AWS Secret Manager telah mengaktifkan rotasi Pemindaian real-time: Tidak
`Sns Encrypted Kms` Nama kategori di API: `SNS_ENCRYPTED_KMS`	Menemukan deskripsi: Memeriksa apakah topik SNS dienkripsi dalam penyimpanan menggunakan AWS KMS. Kontrol akan gagal jika topik SNS tidak menggunakan kunci KMS untuk enkripsi sisi server (SSE). Mengenkripsi data dalam penyimpanan akan mengurangi risiko data yang disimpan di disk diakses oleh pengguna yang tidak diautentikasi ke AWS. Sistem ini juga menambahkan serangkaian kontrol akses untuk membatasi kemampuan pengguna yang tidak berwenang untuk mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca. Topik SNS harus dienkripsi dalam penyimpanan untuk lapisan keamanan tambahan. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-7(6)	Memeriksa apakah semua topik SNS dienkripsi dengan KMS Pemindaian real-time: Tidak
`Vpc Default Security Group Closed` Nama kategori di API: `VPC_DEFAULT_SECURITY_GROUP_CLOSED`	Deskripsi penemuan: Kontrol ini memeriksa apakah grup keamanan default VPC mengizinkan traffic masuk atau keluar. Kontrol akan gagal jika grup keamanan mengizinkan traffic masuk atau keluar. Aturan untuk grup keamanan default mengizinkan semua traffic keluar dan masuk dari antarmuka jaringan (dan instance terkaitnya) yang ditetapkan ke grup keamanan yang sama. Sebaiknya Anda tidak menggunakan grup keamanan default. Karena grup keamanan default tidak dapat dihapus, Anda harus mengubah setelan aturan grup keamanan default untuk membatasi traffic masuk dan keluar. Hal ini mencegah traffic yang tidak diinginkan jika grup keamanan default tidak sengaja dikonfigurasi untuk resource seperti instance EC2. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Pastikan grup keamanan default di setiap VPC membatasi semua traffic Pemindaian real-time: Tidak
`Vpc Flow Logging Enabled All Vpcs` Nama kategori di API: `VPC_FLOW_LOGGING_ENABLED_ALL_VPCS`	Menemukan deskripsi: Log Aliran VPC adalah fitur yang memungkinkan Anda menangkap informasi tentang traffic IP yang menuju dan keluar dari antarmuka jaringan di VPC Anda. Setelah membuat log alur, Anda dapat melihat dan mengambil datanya di Amazon CloudWatch Logs. Sebaiknya Log Aliran VPC diaktifkan untuk paket "Ditolak" untuk VPC. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-4,SI-7(8) PCI-DSS v3.2.1: 10.3.1 ISO-27001 v2022: A.8.15,A.8.16 Cloud Controls Matrix 4: IVS-03 NIST Cybersecurity Framework 1.0: DE-CM-1 SOC2 v2017: CC7.2.1,CC7.2.2,CC7.2.3,CC7.2.4 CIS AWS Foundation 2.0.0: 3.9 CIS Controls 8.0: 13.6,8.2	Pastikan logging aliran VPC diaktifkan di semua VPC Pemindaian real-time: Tidak
`Vpc Sg Open Only To Authorized Ports` Nama kategori di API: `VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS`	Deskripsi penemuan: Kontrol ini memeriksa apakah grup keamanan Amazon EC2 mengizinkan traffic masuk tidak terbatas dari port yang tidak sah. Status kontrol ditentukan sebagai berikut: Jika Anda menggunakan nilai default untuk otorisasiTcpPorts, kontrol akan gagal jika grup keamanan mengizinkan traffic masuk tidak terbatas dari port mana pun selain port 80 dan 443. Jika Anda memberikan nilai kustom untuk otorisasiTcpPorts atau otorisasiUdpPorts, kontrol akan gagal jika grup keamanan mengizinkan traffic masuk yang tidak dibatasi dari port yang tidak tercantum. Jika tidak ada parameter yang digunakan, kontrol akan gagal untuk grup keamanan yang memiliki aturan traffic masuk tidak terbatas. Grup keamanan menyediakan pemfilteran stateful untuk traffic jaringan masuk dan keluar ke AWS. Aturan grup keamanan harus mengikuti prinsip akses dengan hak istimewa terendah. Akses tidak terbatas (alamat IP dengan akhiran /0) meningkatkan peluang terjadinya aktivitas berbahaya seperti peretasan, serangan denial-of-service, dan kehilangan data. Kecuali porta diizinkan secara khusus, port harus menolak akses tak terbatas. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Memeriksa apakah setiap grup keamanan dengan 0.0.0.0/0 dari VPC apa pun hanya mengizinkan traffic TCP/UDP masuk tertentu Pemindaian real-time: Tidak
`Both VPC VPN Tunnels Up` Nama kategori di API: `VPC_VPN_2_TUNNELS_UP`	Deskripsi penemuan: Tunnel VPN adalah link terenkripsi tempat data dapat diteruskan dari jaringan pelanggan ke atau dari AWS dalam koneksi VPN Site-to-Site AWS. Setiap koneksi VPN mencakup dua tunnel VPN yang dapat Anda gunakan secara bersamaan untuk ketersediaan tinggi. Memastikan kedua tunnel VPN siap untuk koneksi VPN sangatlah penting untuk mengonfirmasi koneksi yang aman dan sangat tersedia antara AWS VPC dan jaringan jarak jauh Anda. Kontrol ini memeriksa apakah kedua tunnel VPN yang disediakan oleh VPN Site-to-Site AWS dalam status UP. Kontrol akan gagal jika salah satu atau kedua tunnel berada dalam status DOWN. Tingkat harga: Enterprise Perbaiki temuan ini Standar kepatuhan: NIST 800-53 R5: SI-13(5)	Memeriksa apakah kedua tunnel VPN AWS yang disediakan oleh site-to-site AWS dalam status UP Pemindaian real-time: Tidak

Temuan Web Security Scanner

Pemindaian khusus dan terkelola Web Security Scanner mengidentifikasi jenis temuan berikut. Pada paket Standar, Web Security Scanner mendukung pemindaian kustom untuk aplikasi yang di-deploy dengan URL dan IP publik yang tidak berada di balik firewall.

**Tabel 21.** Temuan Web Security Scanner
Kategori	Menemukan deskripsi	10 Teratas OWASP 2017	10 Top OWASP 2021
`Accessible Git repository` Nama kategori di API: `ACCESSIBLE_GIT_REPOSITORY`	Repositori Git ditampilkan secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori GIT. Tingkat harga: Standar Perbaiki temuan ini	A5	A01
`Accessible SVN repository` Nama kategori di API: `ACCESSIBLE_SVN_REPOSITORY`	Repositori SVN ditampilkan secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori SVN. Tingkat harga: Standar Perbaiki temuan ini	A5	A01
`Cacheable password input` Nama kategori di API: `CACHEABLE_PASSWORD_INPUT`	Sandi yang dimasukkan pada aplikasi web dapat disimpan dalam cache browser biasa, bukan penyimpanan sandi yang aman. Tingkat harga: Premium Perbaiki temuan ini	A3	A04
`Clear text password` Nama kategori di API: `CLEAR_TEXT_PASSWORD`	Sandi dikirimkan dalam teks yang jelas dan dapat disadap. Untuk mengatasi temuan ini, enkripsi sandi yang ditransmisikan melalui jaringan. Tingkat harga: Standar Perbaiki temuan ini	A3	A02
`Insecure allow origin ends with validation` Nama kategori di API: `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi akhiran header permintaan `Origin` sebelum menampilkannya di dalam header respons `Access-Control-Allow-Origin`. Untuk mengatasi temuan ini, validasi bahwa domain root yang diharapkan adalah bagian dari nilai header `Origin` sebelum menampilkannya dalam header respons `Access-Control-Allow-Origin`. Untuk karakter pengganti subdomain, tambahkan titik ke domain root, misalnya `.endsWith(".google.com")`. Tingkat harga: Premium Perbaiki temuan ini	A5	A01
`Insecure allow origin starts with validation` Nama kategori di API: `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi awalan header permintaan `Origin` sebelum menampilkannya di dalam header respons `Access-Control-Allow-Origin`. Untuk mengatasi temuan ini, validasi bahwa domain yang diharapkan sepenuhnya cocok dengan nilai header `Origin` sebelum menunjukkannya di header respons `Access-Control-Allow-Origin`—misalnya, `.equals(".google.com")`. Tingkat harga: Premium Perbaiki temuan ini	A5	A01
`Invalid content type` Nama kategori di API: `INVALID_CONTENT_TYPE`	Resource yang dimuat tidak cocok dengan header HTTP Content-Type respons. Untuk mengatasi temuan ini, tetapkan header HTTP `X-Content-Type-Options` dengan nilai yang benar. Tingkat harga: Standar Perbaiki temuan ini	A6	A05
`Invalid header` Nama kategori di API: `INVALID_HEADER`	Header keamanan mengalami kesalahan sintaksis dan diabaikan oleh browser. Untuk mengatasi temuan ini, setel header keamanan HTTP dengan benar. Tingkat harga: Standar Perbaiki temuan ini	A6	A05
`Mismatching security header values` Nama kategori di API: `MISMATCHING_SECURITY_HEADER_VALUES`	Header keamanan memiliki nilai duplikat yang tidak cocok, yang mengakibatkan perilaku yang tidak ditentukan. Untuk mengatasi temuan ini, setel header keamanan HTTP dengan benar. Tingkat harga: Standar Perbaiki temuan ini	A6	A05
`Misspelled security header name` Nama kategori di API: `MISSPELLED_SECURITY_HEADER_NAME`	Header keamanan salah eja dan akan diabaikan. Untuk mengatasi temuan ini, setel header keamanan HTTP dengan benar. Tingkat harga: Standar Perbaiki temuan ini	A6	A05
`Mixed content` Nama kategori di API: `MIXED_CONTENT`	Resource ditayangkan melalui HTTP di halaman HTTPS. Untuk menyelesaikan temuan ini, pastikan semua resource disalurkan melalui HTTPS. Tingkat harga: Standar Perbaiki temuan ini	A6	A05
`Outdated library` Nama kategori di API: `OUTDATED_LIBRARY`	Library yang memiliki kerentanan umum terdeteksi. Untuk mengatasi temuan ini, upgrade library ke versi yang lebih baru. Tingkat harga: Standar Perbaiki temuan ini	A9	A06
`Server side request forgery` Nama kategori di API: `SERVER_SIDE_REQUEST_FORGERY`	Kerentanan pemalsuan permintaan sisi server (SSRF) terdeteksi. Untuk mengatasi temuan ini, gunakan daftar yang diizinkan untuk membatasi domain dan alamat IP yang dapat diminta aplikasi web. Tingkat harga: Standar Perbaiki temuan ini	Tidak berlaku	A10
`Session ID leak` Nama kategori di API: `SESSION_ID_LEAK`	Saat membuat permintaan lintas-domain, aplikasi web menyertakan ID sesi pengguna dalam header permintaan `Referer`-nya. Kerentanan ini memberikan akses domain penerima ke ID sesi, yang dapat digunakan untuk meniru identitas atau mengidentifikasi pengguna secara unik. Tingkat harga: Premium Perbaiki temuan ini	A2	A07
`SQL injection` Nama kategori di API: `SQL_INJECTION`	Potensi kerentanan injeksi SQL terdeteksi. Untuk mengatasi temuan ini, gunakan kueri berparameter agar input pengguna tidak memengaruhi struktur kueri SQL. Tingkat harga: Premium Perbaiki temuan ini	A1	A03
`Struts insecure deserialization` Nama kategori di API: `STRUTS_INSECURE_DESERIALIZATION`	Penggunaan versi Apache Struts yang rentan telah terdeteksi. Untuk mengatasi temuan ini, upgrade Apache Strut ke versi terbaru. Tingkat harga: Premium Perbaiki temuan ini	A8	A08
`XSS` Nama kategori di API: `XSS`	Kolom dalam aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs (XSS). Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna. Tingkat harga: Standar Perbaiki temuan ini	A7	A03
`XSS angular callback` Nama kategori di API: `XSS_ANGULAR_CALLBACK`	String yang disediakan pengguna tidak di-escape dan AngularJS dapat menginterpolasinya. Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna yang ditangani oleh framework Angular. Tingkat harga: Standar Perbaiki temuan ini	A7	A03
`XSS error` Nama kategori di API: `XSS_ERROR`	Kolom dalam aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs. Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna. Tingkat harga: Standar Perbaiki temuan ini	A7	A03
`XXE reflected file leakage` Nama kategori di API: `XXE_REFLECTED_FILE_LEAKAGE`	Kerentanan XML External Entity (XXE) terdeteksi. Kerentanan ini dapat menyebabkan aplikasi web membocorkan file pada host. Untuk mengatasi temuan ini, konfigurasikan parser XML untuk melarang entity eksternal. Tingkat harga: Premium Perbaiki temuan ini	A4	A05
`Prototype pollution` Nama kategori di API: `PROTOTYPE_POLLUTION`	Aplikasi ini rentan terhadap polusi prototipe. Kerentanan ini muncul jika properti objek `Object.prototype` dapat diberi nilai yang dapat dikontrol penyerang. Nilai yang ditanam di prototipe ini secara universal diasumsikan sebagai pembuatan skrip lintas situs, atau kerentanan sisi klien yang serupa, serta bug logika. Tingkat harga: Standar Perbaiki temuan ini	A1	A03

Temuan dan perbaikan Deteksi Kerentanan Cepat

Deteksi Kerentanan Cepat mendeteksi kredensial yang lemah, penginstalan software yang tidak lengkap, dan kerentanan kritis lainnya yang memiliki kemungkinan besar untuk dieksploitasi. Layanan secara otomatis menemukan endpoint jaringan, protokol, port terbuka, layanan jaringan, dan paket software yang terinstal.

Temuan Deteksi Kerentanan Cepat adalah peringatan awal tentang kerentanan yang sebaiknya segera diperbaiki.

Untuk mengetahui informasi tentang cara melihat temuan, lihat Meninjau temuan di Security Command Center.

Pemindaian Deteksi Kerentanan Cepat mengidentifikasi jenis temuan berikut.

**Tabel 23.** Temuan dan perbaikan Deteksi Kerentanan Cepat
Jenis temuan	Menemukan deskripsi	10 kode teratas versi OWASP
Temuan kredensial yang lemah
`WEAK_CREDENTIALS`	Detektor ini memeriksa kredensial yang lemah menggunakan metode brute force ncrack. Layanan yang didukung: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Perbaikan: Menerapkan kebijakan sandi yang kuat. Buat kredensial unik untuk layanan Anda dan hindari penggunaan kata-kata kamus dalam sandi.	2021 A07 2017 A2
Temuan antarmuka yang terekspos
`ELASTICSEARCH_API_EXPOSED`	Elasticsearch API memungkinkan pemanggil melakukan kueri arbitrer, menulis dan mengeksekusi skrip, serta menambahkan dokumen lain ke layanan. Perbaikan: Hapus akses langsung ke Elasticsearch API dengan mengarahkan permintaan melalui aplikasi, atau membatasi akses hanya untuk pengguna yang diautentikasi. Untuk mengetahui informasi selengkapnya, lihat Setelan keamanan di Elasticsearch.	2021 A01, A05 2017 A5, A6
`EXPOSED_GRAFANA_ENDPOINT`	Pada Grafana 8.0.0 sampai 8.3.0, tanpa autentikasi, pengguna dapat mengakses endpoint yang memiliki kerentanan directory traversal sehingga dapat membaca file apa pun di server tanpa autentikasi. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-43798. Perbaikan: Patch Grafana atau mengupgrade Grafana ke versi yang lebih baru. Untuk informasi selengkapnya, lihat Grafana path traversal.	2021 A06, A07 2017 A2, A9
`EXPOSED_METABASE`	Metabase versi x.40.0 hingga x.40.4, sebuah platform analisis data open source, memiliki kerentanan dalam dukungan peta GeoJSON kustom dan potensi penyertaan file lokal, termasuk variabel lingkungan. URL tidak divalidasi sebelum dimuat. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-41277. Perbaikan: Upgrade ke rilis pemeliharaan 0.40.5 atau yang lebih baru atau 1.40.5 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Validasi URL GeoJSON dapat mengekspos file server dan variabel lingkungan kepada pengguna yang tidak diberi otorisasi.	2021 A06 2017 A3, A9
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	Detektor ini memeriksa apakah endpoint Actuator sensitif dari aplikasi Spring Boot terekspos. Beberapa endpoint default, seperti `/heapdump`, mungkin mengekspos informasi sensitif. Endpoint lain, seperti `/env`, dapat menyebabkan eksekusi kode jarak jauh. Saat ini, hanya `/heapdump` yang dicentang. Perbaikan: Nonaktifkan akses ke endpoint Aktuator sensitif. Untuk mengetahui informasi selengkapnya, lihat Mengamankan Endpoint HTTP.	2021 A01, A05 2017 A5, A6
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	Detektor ini memeriksa apakah Hadoop Yarn ResourceManager API, yang mengontrol resource komputasi dan penyimpanan cluster Hadoop, terekspos dan memungkinkan eksekusi kode yang tidak diautentikasi. Perbaikan: Gunakan daftar kontrol akses dengan API.	2021 A01, A05 2017 A5, A6
`JAVA_JMX_RMI_EXPOSED`	Java Management Extension (JMX) memungkinkan pemantauan dan diagnostik jarak jauh untuk aplikasi Java. Menjalankan JMX dengan endpoint Pemanggilan Metode Jarak Jauh yang tidak dilindungi memungkinkan pengguna jarak jauh membuat javax.management.loading.MLet MBean dan menggunakannya untuk membuat MB baru dari URL arbitrer. Perbaikan: Untuk mengonfigurasi pemantauan jarak jauh dengan benar, lihat Pemantauan dan Pengelolaan Menggunakan Teknologi JMX.	2021 A01, A05 2017 A5, A6
`JUPYTER_NOTEBOOK_EXPOSED_UI`	Detektor ini memeriksa apakah Jupyter Notebook yang tidak diautentikasi terekspos. Jupyter memungkinkan eksekusi kode jarak jauh sesuai desain pada mesin host. Jupyter Notebook yang tidak diautentikasi membuat VM hosting berisiko mengalami eksekusi kode jarak jauh. Perbaikan: Tambahkan autentikasi token ke server Jupyter Notebook Anda, atau gunakan versi Jupyter Notebook yang lebih baru yang menggunakan autentikasi token secara default.	2021 A01, A05 2017 A5, A6
`KUBERNETES_API_EXPOSED`	Kubernetes API diekspos dan dapat diakses oleh pemanggil yang tidak diautentikasi. Hal ini memungkinkan eksekusi kode arbitrer di cluster Kubernetes. Perbaikan: Mewajibkan autentikasi untuk semua permintaan API. Untuk mengetahui informasi selengkapnya, lihat panduan Mengautentikasi Kubernetes API.	2021 A01, A05 2017 A5, A6
`UNFINISHED_WORDPRESS_INSTALLATION`	Pendeteksi ini memeriksa apakah penginstalan WordPress belum selesai. Penginstalan WordPress yang belum selesai akan menampilkan halaman `/wp-admin/install.php`, yang memungkinkan penyerang menyetel sandi admin dan, mungkin, menyusupi sistem. Perbaikan: Selesaikan penginstalan WordPress.	2021 A05 2017 A6
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	Pendeteksi ini memeriksa adanya instance Jenkins yang tidak diautentikasi dengan mengirimkan ping pemeriksaan ke endpoint `/view/all/newJob` sebagai pengunjung anonim. Instance Jenkins yang telah diautentikasi menampilkan formulir `createItem`, yang memungkinkan pembuatan tugas arbitrer yang dapat mengakibatkan eksekusi kode jarak jauh. Perbaikan: Ikuti panduan Jenkins tentang mengelola keamanan untuk memblokir akses yang tidak diautentikasi.	2021 A01, A05 2017 A5, A6
Temuan software yang rentan
`APACHE_HTTPD_RCE`	Kecacatan ditemukan pada Server HTTP Apache 2.4.49 yang memungkinkan penyerang menggunakan serangan path traversal untuk memetakan URL ke file di luar root dokumen yang diharapkan dan melihat sumber file yang ditafsirkan, seperti skrip CGI. Isu ini diketahui dieksploitasi di alam liar. Masalah ini mempengaruhi Apache 2.4.49 dan 2.4.50 tetapi tidak versi sebelumnya. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, lihat: Data CVE CVE-2021-41773 Kerentanan Apache HTTP Server 2.4 Perbaikan: Lindungi file di luar root dokumen dengan mengonfigurasi perintah "require all denied" di Server HTTP Apache.	2021 A01, A06 2017 A5, A9
`APACHE_HTTPD_SSRF`	Penyerang dapat membuat URI ke server web Apache yang menyebabkan `mod_proxy` meneruskan permintaan ke server asal yang dipilih oleh penyerang. Masalah ini memengaruhi server HTTP Apache 2.4.48 dan versi sebelumnya. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, lihat: Data CVE CVE-2021-40438 Kerentanan Apache HTTP Server 2.4 Perbaikan: Upgrade server HTTP Apache ke versi yang lebih baru.	2021 A06, A10 2017 A9
`CONSUL_RCE`	Penyerang dapat mengeksekusi kode arbitrer di server Consul karena instance Consul dikonfigurasi dengan `-enable-script-checks` yang disetel ke `true` dan Consul HTTP API tidak aman serta dapat diakses melalui jaringan. Di Consul 0.9.0 dan yang lebih lama, pemeriksaan skrip diaktifkan secara default. Untuk informasi selengkapnya, lihat Melindungi Konsul dari Risiko RCE dalam Konfigurasi Tertentu. Untuk memeriksa kerentanan ini, Deteksi Kerentanan Cepat mendaftarkan layanan pada instance Consul menggunakan endpoint REST `/v1/health/service`, yang kemudian akan menjalankan salah satu hal berikut: Perintah `curl` ke server jarak jauh di luar jaringan. Penyerang dapat menggunakan perintah `curl` untuk memindahkan data secara tidak sah dari server. Perintah `printf`. Deteksi Kerentanan Cepat kemudian memverifikasi output perintah menggunakan endpoint REST `/v1/health/service`. Setelah pemeriksaan, Deteksi Kerentanan Cepat akan membersihkan dan membatalkan pendaftaran layanan menggunakan endpoint REST `/v1/agent/service/deregister/`. Perbaikan: Menetapkan pemeriksaan enable-script ke `false` dalam konfigurasi instance Console.	2021 A05, A06 2017 A6, A9
`DRUID_RCE`	Apache Druid mencakup kemampuan untuk mengeksekusi kode JavaScript yang disediakan pengguna yang disematkan dalam berbagai jenis permintaan. Fungsionalitas ini dimaksudkan untuk digunakan di lingkungan dengan kepercayaan tinggi, dan dinonaktifkan secara default. Namun, di Druid 0.20.0 dan versi sebelumnya, pengguna terautentikasi dapat mengirim permintaan yang dibuat khusus yang memaksa Druid menjalankan kode JavaScript yang disediakan pengguna untuk permintaan itu, apa pun konfigurasi servernya. Ini dapat dimanfaatkan untuk mengeksekusi kode pada mesin target dengan hak istimewa proses server Druid. Untuk mengetahui informasi selengkapnya, lihat Detail CVE-2021-25646. Perbaikan: Upgrade Apache Druid ke versi yang lebih baru.	2021 A05, A06 2017 A6, A9
`DRUPAL_RCE` Kategori ini mencakup dua kerentanan di Drupal. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan.	Versi Drupal sebelum 7.58, 8.x sebelum 8.3.9, 8.4.x sebelum 8.4.6, dan 8.5.x sebelum 8.5.1 rentan terhadap eksekusi kode jarak jauh pada permintaan AJAX Form API. Perbaikan: Upgrade ke versi Drupal alternatif.	2021 A06 2017 A9
	Drupal versi 8.5.x sebelum 8.5.11 dan 8.6.x sebelum 8.6.10 rentan terhadap eksekusi kode jarak jauh jika modul RESTful Web Service atau JSON:API diaktifkan. Kerentanan ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi dengan menggunakan permintaan POST kustom. Perbaikan: Upgrade ke versi Drupal alternatif.	2021 A06 2017 A9
`FLINK_FILE_DISCLOSURE`	Kerentanan pada Apache Flink versi 1.11.0, 1.11.1, dan 1.11.2 memungkinkan penyerang membaca file apa pun di sistem file lokal JobManager melalui antarmuka REST dari proses JobManager. Akses dibatasi pada file yang dapat diakses oleh proses JobManager. Perbaikan: Jika instance Flink Anda terekspos, upgrade ke Flink 1.11.3 atau 1.12.0.	2021 A01, A05, A06 2017 A5, A6, A9
`GITLAB_RCE`	Di GitLab Community Edition (CE) dan Enterprise Edition (EE) versi 11.9 dan yang lebih baru, GitLab tidak memvalidasi file gambar yang diteruskan ke parser file dengan benar. Penyerang dapat mengeksploitasi kerentanan ini untuk eksekusi perintah jarak jauh. Perbaikan: Upgrade ke GitLab CE atau EE rilis 13.10.3, 13.9.6, dan 13.8.8 atau yang lebih baru. Untuk informasi selengkapnya, lihat Tindakan diperlukan oleh pelanggan yang dikelola sendiri sebagai respons terhadap CVE-2021-22205.	2021 A06 2017 A9
`GoCD_RCE`	Di GoCD 21.2.0 dan yang lebih lama, ada endpoint yang dapat diakses tanpa autentikasi. Endpoint ini memiliki kerentanan directory traversal yang memungkinkan pengguna membaca file apa pun di server tanpa autentikasi. Perbaikan: Upgrade ke versi 21.3.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Catatan rilis GoCD 21.3.0.	2021 A06, A07 2017 A2, A9
`JENKINS_RCE`	Jenkins versi 2.56 dan yang lebih lama, serta 2.46.1 LTS dan yang lebih lama rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang tidak diautentikasi menggunakan objek Java serial yang berbahaya. Perbaikan: Menginstal versi Jenkins alternatif.	2021 A06, A08 2017 A8, A9
`JOOMLA_RCE` Kategori ini mencakup dua kerentanan di Joomla. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan.	Joomla versi 1.5.x, 2.x, dan 3.x sebelum 3.4.6 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu dengan header buatan yang berisi objek PHP serial. Perbaikan: Instal versi Joomla alternatif.	2021 A06, A08 2017 A8, A9
	Joomla versi 3.0.0 hingga 3.4.6 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu dengan mengirimkan permintaan POST yang berisi objek PHP serial yang dibuat. Perbaikan: Instal versi Joomla alternatif.	2021 A06 2017 A9
`LOG4J_RCE`	Pada Apache Log4j2 2.14.1 dan yang lebih lama, fitur JNDI yang digunakan dalam konfigurasi, pesan log, dan parameter tidak melindungi dari LDAP yang dikontrol penyerang serta endpoint terkait JNDI lainnya. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-44228. Perbaikan: Untuk informasi perbaikan, lihat Kerentanan Keamanan Apache Log4j.	2021 A06 2017 A9
`MANTISBT_PRIVILEGE_ESCALATION`	MantisBT melalui versi 2.3.0 memungkinkan reset sandi arbitrer dan akses admin yang tidak diautentikasi dengan memberikan nilai `confirm_hash` kosong ke `verify.php`. Perbaikan: Update MantisBT ke versi yang lebih baru atau ikuti petunjuk Mantis untuk menerapkan perbaikan keamanan penting.	2021 A06 2017 A9
`OGNL_RCE`	Instance Confluence Server dan Pusat Data berisi kerentanan injeksi OGNL yang memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode arbitrer. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-26084. Perbaikan: Untuk informasi perbaikan, lihat Injeksi OGNL Server Webwork Server - CVE-2021-26084.	2021 A03 2017 A1
`OPENAM_RCE`	Server OpenAM 14.6.2 dan versi yang lebih lama serta server AM ForgeRock 6.5.3 dan yang lebih lama memiliki kerentanan deserialisasi Java pada parameter `jato.pageSession` di beberapa halaman. Eksploitasi tersebut tidak memerlukan autentikasi, dan eksekusi kode jarak jauh dapat dipicu dengan mengirimkan satu permintaan `/ccversion/` yang dibuat ke server. Kerentanan ini ada karena penggunaan Sun ONE Application. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-35464. Perbaikan:* Upgrade ke versi yang lebih baru. Untuk informasi tentang perbaikan ForgeRock, lihat AM Security Advisory #202104.	2021 A06 2017 A9
`ORACLE_WEBLOGIC_RCE`	Versi produk Oracle WebLogic Server tertentu dari Oracle Fusion Middleware (komponen: Console) memiliki kerentanan, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan yang mudah dieksploitasi ini memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan melalui HTTP untuk menyusupi Oracle WebLogic Server. Serangan yang berhasil pada kerentanan ini dapat mengakibatkan pengambilalihan Oracle WebLogic Server. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14882. Perbaikan: Untuk informasi patch, lihat Saran Update Patch Penting Oracle - Oktober 2020.	2021 A06, A07 2017 A2, A9
`PHPUNIT_RCE`	Versi PHPUnit sebelum 5.6.3 memungkinkan eksekusi kode jarak jauh dengan satu permintaan POST yang tidak diautentikasi. Perbaikan: Upgrade ke versi PHPUnit yang lebih baru.	2021: A05 2017: A6
`PHP_CGI_RCE`	PHP sebelum 5.3.12, dan versi 5.4.x sebelum 5.4.2, jika dikonfigurasi sebagai skrip CGI, memungkinkan eksekusi kode jarak jauh. Kode yang rentan tidak dapat menangani dengan benar string kueri yang tidak memiliki karakter `=` (sama dengan tanda). Hal ini memungkinkan penyerang menambahkan opsi command line yang dijalankan di server. Perbaikan: Instal versi PHP alternatif.	2021 A05, A06 2017 A6, A9
`PORTAL_RCE`	Deserialisasi data yang tidak tepercaya dalam versi Liferay Portal sebelum 7.2.1 CE GA2 memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer melalui layanan web JSON. Perbaikan: Upgrade ke versi Portal Liferay yang lebih baru.	2021 A06, A08 2017 A8, A9
`REDIS_RCE`	Jika instance Redis tidak memerlukan autentikasi untuk mengeksekusi perintah admin, penyerang mungkin dapat mengeksekusi kode arbitrer. Perbaikan: Mengonfigurasi Redis untuk mewajibkan autentikasi.	2021 A01, A05 2017 A5, A6
`SOLR_FILE_EXPOSED`	Autentikasi tidak diaktifkan di Apache Solr, server penelusuran open source. Jika Apache Solr tidak memerlukan autentikasi, penyerang dapat langsung membuat permintaan untuk mengaktifkan konfigurasi tertentu, dan pada akhirnya mengimplementasikan pemalsuan permintaan sisi server (SSRF) atau membaca file arbitrer. Perbaikan: Upgrade ke versi Apache Solr alternatif.	2021 A07, A10 2017 A2
`SOLR_RCE`	Apache Solr versi 5.0.0 hingga Apache Solr 8.3.1 rentan terhadap eksekusi kode jarak jauh melalui VelocityResponseWriter jika `params.resource.loader.enabled` disetel ke `true`. Hal ini memungkinkan penyerang membuat parameter yang berisi template Velocity yang berbahaya. Perbaikan: Upgrade ke versi Apache Solr alternatif.	2021 A06 2017 A9
`STRUTS_RCE` Kategori ini mencakup tiga kerentanan di Apache Struts. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan.	Versi Apache Struts sebelum 2.3.32 dan 2.5.x sebelum 2.5.10.1 rentan terhadap eksekusi kode jarak jauh. Kerentanan dapat dipicu oleh penyerang yang tidak diautentikasi dan menyediakan header Content-Type yang dibuat. Perbaikan: Instal versi Apache Struts alternatif.	2021 A06 2017 A9
	Plugin REST di Apache Struts versi 2.1.1 hingga 2.3.x sebelum 2.3.34 dan 2.5.x sebelum 2.5.13 rentan terhadap eksekusi kode jarak jauh saat melakukan deserialisasi payload XML yang dibuat. Perbaikan: Instal versi Apache Struts alternatif.	2021 A06, A08 2017 A8, A9
	Apache Struts versi 2.3 hingga 2.3.34 dan 2.5 hingga 2.5.16 rentan terhadap eksekusi kode jarak jauh saat `alwaysSelectFullNamespace` disetel ke `true` dan konfigurasi tindakan tertentu lainnya tersedia. Perbaikan: Instal versi 2.3.35 atau 2.5.17.	2021 A06 2017 A9
`TOMCAT_FILE_DISCLOSURE`	Apache Tomcat versi 9.x sebelum 9.0.31, 8.x sebelum 8.5.51, 7.x sebelum 7.0.100, dan semua 6.x rentan terhadap pengungkapan kode sumber dan konfigurasi melalui konektor Protokol Apache JServ yang terekspos. Dalam beberapa kasus, hal ini dimanfaatkan untuk menjalankan eksekusi kode jarak jauh jika upload file diizinkan. Perbaikan: Upgrade ke versi Apache Tomcat alternatif.	2021 A06 2017 A3, A9
`VBULLETIN_RCE`	Server vBulletin yang menjalankan versi 5.0.0 hingga 5.5.4 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi menggunakan parameter kueri dalam permintaan `routestring`. Perbaikan: Upgrade ke versi Server vCenter VMware alternatif.	2021 A03, A06 2017 A1, A9
`VCENTER_RCE`	VMware vCenter Server versi 7.x sebelum 7.0 U1c, 6.7 sebelum 6.7 U3l dan 6.5 sebelum 6.5 U3n rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang mengupload file Java Server Pages yang telah dibuat ke direktori yang dapat diakses web, lalu memicu eksekusi file tersebut. Perbaikan: Upgrade ke versi Server vCenter VMware alternatif.	2021 A06 2017 A9
`WEBLOGIC_RCE`	Beberapa versi produk Oracle WebLogic Server dari Oracle Fusion Middleware (komponen: Console) memiliki kerentanan eksekusi kode jarak jauh, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan ini terkait dengan CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14883. Perbaikan: Untuk informasi patch, lihat Saran Update Patch Penting Oracle - Oktober 2020.	2021 A06, A07 2017 A2, A9

Temuan pemberi rekomendasi IAM

Tabel berikut mencantumkan temuan Security Command Center yang dihasilkan oleh pemberi rekomendasi IAM.

Setiap temuan pemberi rekomendasi IAM berisi rekomendasi khusus untuk menghapus atau mengganti peran yang mencakup izin berlebihan dari akun utama di lingkungan Google Cloud Anda.

Temuan yang dihasilkan oleh pemberi rekomendasi IAM sesuai dengan rekomendasi yang muncul di Google Cloud Console pada halaman IAM project, folder, atau organisasi yang terpengaruh.

Untuk mengetahui informasi selengkapnya tentang integrasi pemberi rekomendasi IAM dengan Security Command Center, lihat Sumber keamanan.

Temuan pemberi rekomendasi IAM
Pendeteksi	Ringkasan
`IAM role has excessive permissions` Nama kategori di API: `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	Deskripsi penemuan: Pemberi rekomendasi IAM mendeteksi akun layanan yang memiliki satu atau beberapa peran IAM yang memberikan izin berlebihan ke akun pengguna. Tingkat harga: Premium Aset yang didukung: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Perbaiki temuan ini : Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut: Di bagian Langkah berikutnya pada detail temuan di Konsol Google Cloud, salin dan tempel URL untuk halaman IAM ke kolom URL browser dan tekan `Enter`. Halaman IAM akan dimuat. Di dekat bagian atas halaman IAM di sebelah kanan, klik `Lihat rekomendasi dalam tabel`. Rekomendasi ditampilkan di tabel. Di kolom Insight keamanan, klik rekomendasi apa pun yang berkaitan dengan izin berlebih. Panel detail rekomendasi akan terbuka. Tinjau rekomendasi tindakan yang dapat Anda lakukan untuk menyelesaikan masalah tersebut. Klik `Terapkan`. Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan ke `INACTIVE` dalam waktu 24 jam.
`Service agent role replaced with basic role` Nama kategori di API: `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	Deskripsi penemuan: Pemberi rekomendasi IAM mendeteksi bahwa peran IAM default asli yang diberikan kepada agen layanan telah diganti dengan salah satu peran IAM dasar: Pemilik, Editor, atau Viewer. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan. Tingkat harga: Premium Aset yang didukung: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Perbaiki temuan ini : Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut: Di bagian Langkah berikutnya pada detail temuan di Konsol Google Cloud, salin dan tempel URL untuk halaman IAM ke kolom URL browser dan tekan `Enter`. Halaman IAM akan dimuat. Di dekat bagian atas halaman IAM di sebelah kanan, klik `Lihat rekomendasi dalam tabel`. Rekomendasi ditampilkan di tabel. Di kolom Insight keamanan, klik izin apa pun yang berkaitan dengan izin berlebih. Panel detail rekomendasi akan terbuka. Tinjau izin yang berlebih. Klik `Terapkan`. Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan ke `INACTIVE` dalam waktu 24 jam.
`Service agent granted basic role` Nama kategori di API: `SERVICE_AGENT_GRANTED_BASIC_ROLE`	Deskripsi penemuan: Pemberi rekomendasi IAM mendeteksi IAM bahwa agen layanan diberi salah satu peran IAM dasar: Pemilik, Editor, atau Viewer. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan. Tingkat harga: Premium Aset yang didukung: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Perbaiki temuan ini : Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut: Di bagian Langkah berikutnya pada detail temuan di Konsol Google Cloud, salin dan tempel URL untuk halaman IAM ke kolom URL browser dan tekan `Enter`. Halaman IAM akan dimuat. Di dekat bagian atas halaman IAM di sebelah kanan, klik `Lihat rekomendasi dalam tabel`. Rekomendasi ditampilkan di tabel. Di kolom Insight keamanan, klik izin apa pun yang berkaitan dengan izin berlebih. Panel detail rekomendasi akan terbuka. Tinjau izin yang berlebih. Klik `Terapkan`. Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan ke `INACTIVE` dalam waktu 24 jam.
`Unused IAM role` Nama kategori di API: `UNUSED_IAM_ROLE`	Deskripsi penemuan: Pemberi rekomendasi IAM mendeteksi akun pengguna yang memiliki peran IAM yang tidak digunakan dalam 90 hari terakhir. Tingkat harga: Premium Aset yang didukung: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Perbaiki temuan ini : Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut: Di bagian Langkah berikutnya pada detail temuan di Konsol Google Cloud, salin dan tempel URL untuk halaman IAM ke kolom URL browser dan tekan `Enter`. Halaman IAM akan dimuat. Di dekat bagian atas halaman IAM di sebelah kanan, klik `Lihat rekomendasi dalam tabel`. Rekomendasi ditampilkan di tabel. Di kolom Insight keamanan, klik izin apa pun yang berkaitan dengan izin berlebih. Panel detail rekomendasi akan terbuka. Tinjau izin yang berlebih. Klik `Terapkan`. Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan ke `INACTIVE` dalam waktu 24 jam.

Temuan layanan postur keamanan

Tabel berikut mencantumkan temuan Security Command Center yang dihasilkan oleh layanan postur keamanan.

Setiap temuan layanan postur keamanan mengidentifikasi instance penyimpangan dari postur keamanan yang Anda tentukan.

Temuan postur keamanan
Temuan	Ringkasan
`SHA Canned Module Drifted` Nama kategori di API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Menemukan deskripsi: Layanan postur keamanan mendeteksi perubahan pada detektor Security Health Analytics yang terjadi di luar pembaruan postur. Tingkat harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan tersebut agar setelan pendeteksi dalam postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui detektor Security Health Analytics atau memperbarui postur dan deployment postur. Untuk mengembalikan perubahan, perbarui detektor Security Health Analytics di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Untuk menyetujui perubahan, selesaikan hal berikut: Perbarui file `posture.yaml` dengan perubahan tersebut. Jalankan perintah `gcloud scc postures update`. Untuk mengetahui petunjuknya, lihat Memperbarui postur. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.
`SHA Custom Module Drifted` Nama kategori di API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Menemukan deskripsi: Layanan postur keamanan mendeteksi perubahan pada modul kustom Security Health Analytics yang terjadi di luar update postur. Tingkat harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan tersebut agar setelan modul kustom dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui modul kustom Security Health Analytics atau memperbarui deployment dan postur. Untuk mengembalikan perubahan, perbarui modul kustom Security Health Analytics di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Mengupdate modul kustom. Untuk menyetujui perubahan, selesaikan hal berikut: Perbarui file `posture.yaml` dengan perubahan tersebut. Jalankan perintah `gcloud scc postures update`. Untuk mengetahui petunjuknya, lihat Memperbarui postur. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.
`SHA Custom Module Deleted` Nama kategori di API: `SECURITY_POSTURE_DETECTOR_DELETE`	Menemukan deskripsi: Layanan postur keamanan mendeteksi bahwa modul kustom Security Health Analytics telah dihapus. Penghapusan ini terjadi di luar pembaruan postur. Tingkat harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan tersebut agar setelan modul kustom dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui modul kustom Security Health Analytics atau memperbarui deployment dan postur. Untuk mengembalikan perubahan, perbarui modul kustom Security Health Analytics di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Mengupdate modul kustom. Untuk menyetujui perubahan, selesaikan hal berikut: Perbarui file `posture.yaml` dengan perubahan tersebut. Jalankan perintah `gcloud scc postures update`. Untuk mengetahui petunjuknya, lihat Memperbarui postur. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.
`Org Policy Canned Constraint Drifted` Nama kategori di API: `SECURITY_POSTURE_POLICY_DRIFT`	Menemukan deskripsi: Layanan postur keamanan mendeteksi perubahan pada kebijakan organisasi yang terjadi di luar update postur. Tingkat harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan tersebut agar definisi kebijakan organisasi dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk mengatasi temuan ini: Anda dapat memperbarui kebijakan organisasi atau memperbarui postur dan postur deployment. Untuk mengembalikan perubahan, perbarui kebijakan organisasi di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Membuat dan mengedit kebijakan. Untuk menyetujui perubahan, selesaikan hal berikut: Perbarui file `posture.yaml` dengan perubahan tersebut. Jalankan perintah `gcloud scc postures update`. Untuk mengetahui petunjuknya, lihat Memperbarui postur. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.
`Org Policy Canned Constraint Deleted` Nama kategori di API: `SECURITY_POSTURE_POLICY_DELETE`	Menemukan deskripsi: Layanan postur keamanan mendeteksi bahwa kebijakan organisasi telah dihapus. Penghapusan ini terjadi di luar pembaruan postur. Tingkat harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan tersebut agar definisi kebijakan organisasi dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk mengatasi temuan ini: Anda dapat memperbarui kebijakan organisasi atau memperbarui postur dan postur deployment. Untuk mengembalikan perubahan, perbarui kebijakan organisasi di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Membuat dan mengedit kebijakan. Untuk menyetujui perubahan, selesaikan hal berikut: Perbarui file `posture.yaml` dengan perubahan tersebut. Jalankan perintah `gcloud scc postures update`. Untuk mengetahui petunjuknya, lihat Memperbarui postur. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.
`Org Policy Custom Constraint Drifted` Nama kategori di API: `SECURITY_POSTURE_POLICY_DRIFT`	Menemukan deskripsi: Layanan postur keamanan mendeteksi perubahan pada kebijakan organisasi kustom yang terjadi di luar update postur. Tingkat harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan tersebut agar definisi kebijakan organisasi kustom dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi khusus atau memperbarui postur dan postur deployment. Untuk mengembalikan perubahan, perbarui kebijakan organisasi kustom di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui batasan kustom. Untuk menyetujui perubahan, selesaikan hal berikut: Perbarui file `posture.yaml` dengan perubahan tersebut. Jalankan perintah `gcloud scc postures update`. Untuk mengetahui petunjuknya, lihat Memperbarui postur. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.
`Org Policy Custom Constraint Deleted` Nama kategori di API: `SECURITY_POSTURE_POLICY_DELETE`	Menemukan deskripsi: Layanan postur keamanan mendeteksi bahwa kebijakan organisasi kustom telah dihapus. Penghapusan ini terjadi di luar pembaruan postur. Tingkat harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan tersebut agar definisi kebijakan organisasi kustom dalam postur dan lingkungan Anda sesuai. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi khusus atau memperbarui postur dan postur deployment. Untuk mengembalikan perubahan, perbarui kebijakan organisasi kustom di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui batasan kustom. Untuk menyetujui perubahan, selesaikan hal berikut: Perbarui file `posture.yaml` dengan perubahan tersebut. Jalankan perintah `gcloud scc postures update`. Untuk mengetahui petunjuknya, lihat Memperbarui postur. Deploy postur yang diperbarui dengan ID revisi baru. Untuk mengetahui petunjuknya, lihat Memperbarui deployment postur.

VM Manager

VM Manager adalah serangkaian alat yang dapat digunakan untuk mengelola sistem operasi untuk fleet virtual machine (VM) besar yang menjalankan Windows dan Linux di Compute Engine.

Jika Anda mengaktifkan VM Manager dengan Security Command Center Premium di tingkat organisasi, VM Manager akan menulis temuan dari laporan kerentanannya, yang sedang dalam pratinjau, ke Security Command Center. Laporan ini mengidentifikasi kerentanan dalam sistem operasi yang diinstal pada VM, termasuk Kerentanan dan Eksposur Umum (CVE).

Untuk menggunakan VM Manager dengan aktivasi level project Security Command Center Premium, aktifkan Security Command Center Standar di organisasi induk.

Laporan kerentanan tidak tersedia untuk Security Command Center Standar.

Temuan ini menyederhanakan proses penggunaan fitur Kepatuhan Patch VM Manager yang sedang dalam pratinjau. Dengan fitur ini, Anda dapat melakukan pengelolaan patch di tingkat organisasi di semua project.

Tingkat keparahan temuan kerentanan yang diterima dari VM Manager selalu CRITICAL atau HIGH.

Temuan Pengelola VM

Semua kerentanan ini berhubungan dengan paket sistem operasi yang terinstal di VM Compute Engine yang didukung.

**Tabel 24.** Laporan kerentanan VM Manager
Pendeteksi	Ringkasan	Setelan pemindaian aset	Standar kepatuhan
`OS vulnerability` Nama kategori di API: `OS_VULNERABILITY`	Deskripsi penemuan: VM Manager mendeteksi kerentanan dalam paket sistem operasi (OS) yang terinstal untuk VM Compute Engine. Tingkat harga: Premium Aset yang didukung compute.googleapis.com/Instance Perbaiki temuan ini	Laporan kerentanan VM Manager menjelaskan kerentanan-kerentanan dalam paket sistem operasi yang terinstal untuk VM Compute Engine, termasuk Kerentanan dan Eksposur Umum (CVE). Untuk mengetahui daftar lengkap sistem operasi yang didukung, lihat Detail sistem operasi. Temuan muncul di Security Command Center segera setelah kerentanan terdeteksi. Laporan kerentanan di VM Manager dibuat sebagai berikut: Untuk sebagian besar kerentanan dalam paket OS yang diinstal, OS Config API akan menghasilkan laporan kerentanan dalam waktu beberapa menit setelah perubahan. Untuk CVE, OS Config API menghasilkan laporan kerentanan dalam waktu tiga hingga empat jam setelah CVE dipublikasikan ke OS.

Memperbaiki temuan Pengelola VM

Temuan OS_VULNERABILITY menunjukkan bahwa VM Manager menemukan kerentanan dalam paket sistem operasi yang diinstal di VM Compute Engine.

Untuk memperbaiki temuan ini, lakukan hal berikut:

Buka halaman Temuan di Security Command Center.

Buka Temuan
Jika perlu, pilih organisasi atau project Google Cloud Anda.
Di subbagian Category pada Quick filters, pilih kerentanan OS. Hasil kueri temuan difilter agar hanya menampilkan temuan kerentanan OS.
Di kolom Kategori pada daftar Hasil kueri temuan, klik nama kategori temuan yang Anda perbaiki. Halaman detail untuk kerentanan OS akan terbuka.
Klik tab JSON. JSON untuk temuan ini ditampilkan.
Salin nilai kolom externalUri. Nilai ini adalah URI untuk halaman Info OS dari instance VM Compute Engine tempat sistem operasi yang rentan diinstal.
Terapkan semua patch yang sesuai untuk OS yang ditampilkan di bagian Info dasar. Untuk mengetahui petunjuk tentang cara men-deploy patch, lihat Membuat tugas patch.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Meninjau temuan di konsol Google Cloud

Gunakan prosedur berikut untuk meninjau temuan di Konsol Google Cloud:

Buka halaman Findings Security Command Center di Konsol Google Cloud.
Buka Temuan
Jika perlu, pilih organisasi atau project Google Cloud Anda.
Di bagian Quick filters, pada subbagian Source display name, pilih VM Manager.

Tabel diisi dengan temuan VM Manager.
Untuk melihat detail temuan tertentu, klik nama temuan di bagian Category. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
Pada tab Ringkasan, tinjau informasi tentang temuan tersebut, termasuk informasi tentang hal yang terdeteksi, resource yang terpengaruh, dan lainnya.

Untuk mengetahui informasi tentang cara memperbaiki temuan Pengelola VM, lihat Memperbaiki temuan Pengelola VM.

Menonaktifkan temuan Pengelola VM

Anda mungkin ingin menyembunyikan beberapa atau semua temuan VM Manager di Security Command Center jika tidak relevan dengan persyaratan keamanan Anda.

Anda dapat menyembunyikan temuan Pengelola VM dengan membuat aturan penonaktifan dan menambahkan atribut kueri khusus untuk temuan Pengelola VM yang ingin Anda sembunyikan.

Untuk membuat aturan penonaktifan VM Manager menggunakan Konsol Google Cloud, lakukan hal berikut:

Di konsol Google Cloud, buka halaman Findings Security Command Center.
Buka Temuan
Jika perlu, pilih organisasi atau project Google Cloud Anda.
Klik Opsi penonaktifan, lalu pilih Buat aturan penonaktifan.
Masukkan ID aturan bisukan. Nilai ini wajib diisi.
Masukkan Nonaktifkan deskripsi aturan yang memberikan konteks terkait alasan temuan dibisukan. Nilai ini bersifat opsional, tetapi direkomendasikan.
Konfirmasi cakupan aturan penonaktifan dengan memeriksa nilai Resource induk.
Di kolom Findings query, buat pernyataan kueri dengan mengklik Add filter. Atau, Anda dapat mengetik pernyataan kueri secara manual.
1. Pada dialog Select filter, pilih Finding > Source display name > VM Manager.
2. Klik Terapkan.
3. Ulangi hingga kueri yang dibisukan berisi semua atribut yang ingin Anda sembunyikan.
  
  Misalnya, jika Anda ingin menyembunyikan ID CVE tertentu di temuan kerentanan VM Manager, pilih Vulnerability > CVE ID, lalu pilih ID CVE yang ingin Anda sembunyikan.
  
  Kueri temuan terlihat mirip dengan berikut ini:
Klik Lihat pratinjau temuan yang cocok.

Tabel akan menampilkan temuan yang cocok dengan kueri Anda.
Klik Save.

Sensitive Data Protection

Bagian ini menjelaskan temuan kerentanan yang dihasilkan Perlindungan Data Sensitif, standar kepatuhan yang didukung, dan cara memulihkan temuan tersebut.

Perlindungan Data Sensitif juga mengirimkan temuan pengamatan ke Security Command Center. Untuk mengetahui informasi selengkapnya tentang temuan pengamatan dan Perlindungan Data Sensitif, lihat Perlindungan Data Sensitif.

Untuk mengetahui informasi tentang cara melihat temuan, lihat Meninjau temuan Perlindungan Data Sensitif di Konsol Google Cloud.

Layanan penemuan Perlindungan Data Sensitif membantu Anda menentukan apakah variabel lingkungan Cloud Functions Anda berisi secret, seperti sandi, token autentikasi, dan kredensial Google Cloud. Untuk mengetahui daftar lengkap jenis rahasia yang dideteksi oleh Perlindungan Data Sensitif dalam fitur ini, lihat Kredensial dan rahasia.

**Tabel 25.** Temuan dan perbaikan Perlindungan Data Sensitif
Jenis temuan	Menemukan deskripsi	Standar kepatuhan
`Secrets in environment variables` Nama kategori di API: `SECRETS_IN_ENVIRONMENT_VARIABLES`	Detektor ini memeriksa ada tidaknya secret di variabel lingkungan Cloud Functions. Perbaikan: Hapus secret dari variabel lingkungan dan simpan di Secret Manager.	CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18

Setelah Anda mengaktifkan penemuan secret di Sensitive Data Protection, diperlukan waktu hingga 12 jam untuk menyelesaikan pemindaian awal variabel lingkungan dan agar temuan `Secret in environment variables` muncul di Security Command Center. Selanjutnya, Sensitive Data Protection memindai variabel lingkungan setiap 24 jam. Dalam praktiknya, pemindaian dapat dijalankan lebih sering dari itu.

Untuk mengaktifkan pendeteksi ini, lihat Melaporkan rahasia di variabel lingkungan ke Security Command Center dalam dokumentasi Perlindungan Data Sensitif.

Pengontrol Kebijakan

Pengontrol Kebijakan memungkinkan penerapan dan penerapan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda yang terdaftar sebagai keanggotaan fleet. Kebijakan ini berfungsi sebagai pengaman dan dapat membantu praktik terbaik, keamanan, dan pengelolaan kepatuhan cluster dan fleet Anda.

Halaman ini tidak mencantumkan semua temuan Pengontrol Kebijakan individual, tetapi informasi tentang temuan class Misconfiguration yang ditulis Pengontrol Kebijakan ke Security Command Center sama dengan pelanggaran cluster yang didokumentasikan untuk setiap paket Pengontrol Kebijakan. Dokumentasi untuk setiap jenis temuan Pengontrol Kebijakan ada dalam paket Pengontrol Kebijakan berikut:

CIS Kubernetes Benchmark v1.5.1, serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postingan keamanan yang kuat. Anda juga dapat melihat informasi tentang paket ini di repositori GitHub untuk cis-k8s-v1.5.1.
PCI-DSS v3.2.1, paket yang mengevaluasi kepatuhan resource cluster Anda terhadap beberapa aspek Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v3.2.1. Anda juga dapat melihat informasi tentang paket ini di repositori GitHub untuk pci-dss-v3.

Kemampuan ini tidak kompatibel dengan perimeter layanan Kontrol Layanan VPC di sekitar Stackdriver API.

Menemukan dan memperbaiki temuan Pengontrol Kebijakan

Kategori Pengontrol Kebijakan sesuai dengan nama batasan yang tercantum dalam dokumentasi paket Pengontrol Kebijakan. Misalnya, temuan require-namespace-network-policies menunjukkan bahwa namespace melanggar kebijakan bahwa setiap namespace dalam cluster memiliki NetworkPolicy.

Untuk memperbaiki temuan, lakukan hal berikut:

Buka halaman Temuan di Security Command Center.

Buka Temuan
Jika perlu, pilih organisasi atau project Google Cloud Anda.
Di subbagian Kategori pada Filter cepat, pilih nama Pengontrol Kebijakan yang menurut Anda ingin diperbaiki. Hasil kueri temuan difilter agar hanya menampilkan temuan untuk kategori tersebut.

Tips: Untuk menemukan semua temuan terkait Pengontrol Kebijakan, di subbagian Source display name dari Quick filters, pilih Policy Controller On-Cluster.
Di kolom Kategori pada daftar Hasil kueri temuan, klik nama kategori temuan yang Anda perbaiki. Halaman detail untuk temuan itu akan terbuka.
Pada tab Ringkasan, tinjau informasi tentang temuan tersebut, termasuk informasi tentang hal yang terdeteksi, resource yang terpengaruh, dan lainnya.
Dalam judul Langkah berikutnya, tinjau informasi tentang cara memperbaiki temuan, termasuk link ke dokumentasi Kubernetes tentang masalah tersebut.

Langkah selanjutnya

Pelajari cara menggunakan Security Health Analytics.
Pelajari cara menggunakan Web Security Scanner.
Pelajari cara menggunakan Deteksi Kerentanan Cepat.
Baca saran untuk memperbaiki temuan Security Health Analytics dan memperbaiki temuan Web Security Scanner.