Questa pagina è stata tradotta dall'API Cloud Translation.

Vulnerabilità rilevate

I rilevatori Rapid Vulnerability Detection, Security Health Analytics e Web Security Scanner generano risultati di vulnerabilità disponibili in Security Command Center. Quando sono abilitati in Security Command Center, anche i servizi integrati, come VM Manager, generano risultati di vulnerabilità.

La possibilità di visualizzare e modificare i risultati è determinata dai ruoli e dalle autorizzazioni di Identity and Access Management (IAM) assegnati. Per ulteriori informazioni sui ruoli IAM in Security Command Center, vedi Controllo dell'accesso.

Rilevatori e conformità

Security Command Center monitora la tua conformità con rilevatori mappati ai controlli di un'ampia gamma di standard di sicurezza.

Per ogni standard di sicurezza supportato, Security Command Center controlla un sottoinsieme di controlli. Per i controlli selezionati, Security Command Center mostra quanti controlli vengono superati. Per i controlli che non vengono superati, Security Command Center mostra un elenco di risultati che descrivono gli errori dei controlli.

CIS esamina e certifica le mappature dei rilevatori di Security Command Center a ogni versione supportata del benchmark CIS Google Cloud Foundations. Ulteriori mappature di conformità sono incluse solo a scopo di riferimento.

Security Command Center aggiunge periodicamente supporto per nuovi standard e versioni di benchmark. Le versioni precedenti rimangono supportate, ma verranno ritirate. Ti consigliamo di utilizzare l'ultimo benchmark o lo standard supportato disponibile.

Con il servizio Security posture puoi mappare i criteri dell'organizzazione e i rilevatori di Security Health Analytics agli standard e ai controlli applicabili alla tua attività. Dopo aver creato una postura di sicurezza, puoi monitorare eventuali modifiche all'ambiente che potrebbero influire sulla conformità dell'azienda.

Per ulteriori informazioni sulla gestione della conformità, vedi Valutare e segnalare la conformità con gli standard di sicurezza.

Standard di sicurezza supportati su Google Cloud

Security Command Center mappa i rilevatori per Google Cloud a uno o più dei seguenti standard di conformità:

Controlli per la sicurezza delle informazioni (CIS) 8.0
Benchmark CIS di Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
Benchmark CIS per Kubernetes v1.5.1
Cloud Controls Matrix (CCM) 4
HIPAA (Health Insurance Portability and Accountability Act)
Organizzazione internazionale per la standardizzazione (ISO) 27001, 2022 e 2013
National Institute of Standards and Technology (NIST) 800-53 R5 e R4
NIST CSF 1.0
Open Web Application Security Project (OWASP) Top Ten, 2021 e 2017
Standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI DSS) 4.0 e 3.2.1
Controlli di sistema e organizzazione (SOC) 2 Criteri di Trusted Services (TSC) del 2017

Standard di sicurezza supportati su AWS

Security Command Center mappa i rilevatori per Amazon Web Services (AWS) a uno o più dei seguenti standard di conformità:

CIS Amazon Web Services Foundations 2.0.0
Controlli CS 8.0

Per istruzioni su come visualizzare ed esportare i report di conformità, consulta la sezione Conformità in Utilizzo di Security Command Center nella console Google Cloud.

Trovare la disattivazione dopo la correzione

Dopo aver corretto un risultato di vulnerabilità o configurazione errata, il servizio Security Command Center che ha rilevato il risultato imposta automaticamente lo stato del risultato su INACTIVE alla successiva scansione del risultato da parte del servizio di rilevamento. Il tempo necessario a Security Command Center per impostare un risultato corretto su INACTIVE dipende dalla pianificazione dell'analisi che rileva il risultato.

I servizi Security Command Center impostano anche lo stato di un risultato di vulnerabilità o configurazione errata su INACTIVE quando un'analisi rileva che la risorsa interessata dal risultato viene eliminata.

Per ulteriori informazioni sugli intervalli di scansione, consulta i seguenti argomenti:

Risultati di Security Health Analytics

I rilevatori di Security Health Analytics monitorano un sottoinsieme di risorse da Cloud Asset Inventory (CAI), ricevendo notifiche relative alle modifiche dei criteri di Identity and Access Management (IAM) e delle risorse. Alcuni rilevatori recuperano i dati chiamando direttamente le API Google Cloud, come indicato nelle tabelle più avanti in questa pagina.

Per ulteriori informazioni su Security Health Analytics, sulle pianificazioni delle analisi e sul supporto di Security Health Analytics per i rilevatori di moduli integrati e personalizzati, consulta Panoramica di Security Health Analytics.

Le seguenti tabelle descrivono i rilevatori di Security Health Analytics, gli asset e gli standard di conformità supportati, le impostazioni utilizzate per le analisi e i tipi di risultati generati. Puoi filtrare i risultati in base a vari attributi utilizzando la pagina Vulnerabilità di Security Command Center nella console Google Cloud.

Per istruzioni su come risolvere i problemi e proteggere le risorse, consulta Correzione dei risultati di Security Health Analytics.

Risultati delle vulnerabilità della chiave API

Il rilevatore API_KEY_SCANNER identifica le vulnerabilità relative alle chiavi API utilizzate nel deployment cloud.

**Tabella 1.** Scanner delle chiavi API
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`API key APIs unrestricted` Nome categoria nell'API: `API_KEY_APIS_UNRESTRICTED`	Ricerca della descrizione: le chiavi API sono utilizzate in modo troppo ampio. Per risolvere questo problema, limita l'utilizzo delle chiavi API per consentire solo le API necessarie dall'applicazione. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.12 CIS GCP Foundation 1.1: 1.14 CIS GCP Foundation 1.2: 1.14 CIS GCP Foundation 1.3: 1.14 CIS GCP Foundation 2.0: 1.14 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	Recupera la proprietà `restrictions` di tutte le chiavi API in un progetto, controllando se è impostata su `cloudapis.googleapis.com`. Scansioni in tempo reale: no
`API key apps unrestricted` Nome categoria nell'API: `API_KEY_APPS_UNRESTRICTED`	Ricerca della descrizione: sono presenti chiavi API utilizzate senza limitazioni, che consentono l'utilizzo da parte di qualsiasi app non attendibile. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.11 CIS GCP Foundation 1.1: 1.13 CIS GCP Foundation 1.2: 1.13 CIS GCP Foundation 1.3: 1.13 CIS GCP Foundation 2.0: 1.13	Recupera la proprietà `restrictions` di tutte le chiavi API in un progetto, controllando se `browserKeyRestrictions`, `serverKeyRestrictions`, `androidKeyRestrictions` o `iosKeyRestrictions` è impostato. Scansioni in tempo reale: no
`API key exists` Nome categoria nell'API: `API_KEY_EXISTS`	Descrizione dei risultati: un progetto utilizza chiavi API anziché l'autenticazione standard. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.10 CIS GCP Foundation 1.1: 1.12 CIS GCP Foundation 1.2: 1.12 CIS GCP Foundation 1.3: 1.12 CIS GCP Foundation 2.0: 1.12 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	Recupera tutte le chiavi API di proprietà di un progetto. Scansioni in tempo reale: no
`API key not rotated` Nome categoria nell'API: `API_KEY_NOT_ROTATED`	Descrizione dei risultati: la chiave API non viene ruotata per più di 90 giorni. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.13 CIS GCP Foundation 1.1: 1.15 CIS GCP Foundation 1.2: 1.15 CIS GCP Foundation 1.3: 1.15 CIS GCP Foundation 2.0: 1.15 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	Recupera il timestamp contenuto nella proprietà `createTime` di tutte le chiavi API, controllando se sono trascorsi 90 giorni. Scansioni in tempo reale: no

Risultati relativi alle vulnerabilità di Cloud Asset Inventory

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di Cloud Asset Inventory e appartengono al tipo CLOUD_ASSET_SCANNER.

**Tabella 2.** Scanner di Cloud Asset Inventory
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Cloud Asset API disabled` Nome categoria nell'API: `CLOUD_ASSET_API_DISABLED`	Descrizione dei risultati: l'acquisizione delle risorse e dei criteri IAM di Google Cloud da parte di Cloud Asset Inventory consente analisi della sicurezza, monitoraggio delle modifiche delle risorse e controlli di conformità. Consigliamo di abilitare il servizio Cloud Asset Inventory per tutti i progetti. L'abilitazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium Asset supportati pubsub.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.3: 2.13 CIS GCP Foundation 2.0: 2.13 NIST 800-53 R5: CM-8, PM-5 PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1 ISO-27001 v2022: A.5.9, A.8.8 Cloud Controls Matrix 4: UEM-04 NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3 SOC2 v2017: CC3.2.6, CC6.1.1 HIPAA: 164.310(d)(2)(iii) CIS Controls 8.0: 1.1, 6.6	Controlla se il servizio Cloud Asset Inventory è abilitato. Scansioni in tempo reale: sì

Risultati di vulnerabilità dell'immagine di calcolo

Il rilevatore COMPUTE_IMAGE_SCANNER identifica le vulnerabilità relative alle configurazioni delle immagini di Google Cloud.

**Tabella 3.** Scanner di immagini Compute
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Public Compute image` Nome categoria nell'API: `PUBLIC_COMPUTE_IMAGE`	Ricerca della descrizione: un'immagine di Compute Engine è accessibile pubblicamente. Livello di prezzo: Premium o Standard Asset supportati compute.googleapis.com/Image Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla il criterio di autorizzazione IAM nei metadati delle risorse per le entità `allUsers` o `allAuthenticatedUsers`, che concedono l'accesso pubblico. Scansioni in tempo reale: sì

Risultati delle vulnerabilità delle istanze di calcolo

Il rilevatore COMPUTE_INSTANCE_SCANNER identifica le vulnerabilità relative alle configurazioni delle istanze Compute Engine.

I rilevatori COMPUTE_INSTANCE_SCANNER non segnalano risultati sulle istanze di Compute Engine create da GKE. Queste istanze hanno nomi che iniziano con "gke-", che gli utenti non possono modificare. Per proteggere queste istanze, consulta la sezione Risultati di vulnerabilità del container.

**Tabella 4.** Scanner di istanze Compute
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Confidential Computing disabled` Nome categoria nell'API: `CONFIDENTIAL_COMPUTING_DISABLED`	Ricerca della descrizione: Confidential Computing è disabilitato su un'istanza di Compute Engine. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 4.11 CIS GCP Foundation 1.3: 4.11 CIS GCP Foundation 2.0: 4.11 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Controlla la proprietà `confidentialInstanceConfig` dei metadati dell'istanza per la coppia chiave-valore `"enableConfidentialCompute":true`. Asset esclusi dalle analisi: Istanze GKE Accesso VPC serverless Istanze correlate ai job Dataflow Istanze di Compute Engine che non sono di tipo N2D Scansioni in tempo reale: sì
`Compute project wide SSH keys allowed` Nome categoria nell'API: `COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Descrizione dei risultati: vengono utilizzate chiavi SSH a livello di progetto, che consentono l'accesso a tutte le istanze del progetto. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 4.2 CIS GCP Foundation 1.1: 4.3 CIS GCP Foundation 1.2: 4.3 CIS GCP Foundation 1.3: 4.3 CIS GCP Foundation 2.0: 4.3 NIST 800-53 R5: AC-17, IA-5, SC-8 PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2 ISO-27001 v2022: A.5.14 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-2 SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2 HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii) CIS Controls 8.0: 3.10, 5.2	Controlla l'oggetto `metadata.items[]` nei metadati dell'istanza per la coppia chiave-valore `"key": "block-project-ssh-keys", "value": TRUE`. Asset esclusi dalle analisi: istanze GKE, job Dataflow, istanza Windows Autorizzazioni IAM aggiuntive: `roles/compute.Viewer` Input aggiuntivi: legge i metadati da Compute Engine Scansioni in tempo reale: no
`Compute Secure Boot disabled` Nome categoria nell'API: `COMPUTE_SECURE_BOOT_DISABLED`	Descrizione dei risultati: per questa Shielded VM non è abilitato Avvio protetto. L'utilizzo dell'Avvio protetto aiuta a proteggere le istanze delle macchine virtuali da minacce avanzate come rootkit e bootkit. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla la proprietà `shieldedInstanceConfig` sulle istanze di Compute Engine per determinare se `enableSecureBoot` è impostato su `true`. Questo rilevatore controlla se i dischi collegati sono compatibili con Avvio protetto e Avvio protetto abilitati. Asset esclusi dalle analisi: istanze GKE, dischi Compute Engine che dispongono di acceleratori GPU e non utilizzano Container-Optimized OS, accesso VPC serverless Scansioni in tempo reale: sì
`Compute serial ports enabled` Nome categoria nell'API: `COMPUTE_SERIAL_PORTS_ENABLED`	Descrizione dei risultati: le porte seriali sono abilitate per un'istanza, consentendo le connessioni alla console seriale dell'istanza. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 4.4 CIS GCP Foundation 1.1: 4.5 CIS GCP Foundation 1.2: 4.5 CIS GCP Foundation 1.3: 4.5 CIS GCP Foundation 2.0: 4.5 NIST 800-53 R5: CM-6, CM-7 PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1 ISO-27001 v2022: A.8.9 SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4 CIS Controls 8.0: 4.8	Controlla l'oggetto `metadata.items[]` nei metadati dell'istanza per la coppia chiave-valore `"key": "serial-port-enable", "value": TRUE`. Asset esclusi dalle analisi: istanze GKE Autorizzazioni IAM aggiuntive: `roles/compute.Viewer` Input aggiuntivi: legge i metadati da Compute Engine Scansioni in tempo reale: sì
`Default service account used` Nome categoria nell'API: `DEFAULT_SERVICE_ACCOUNT_USED`	Descrizione dei risultati: un'istanza è configurata per utilizzare l'account di servizio predefinito. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 4.1 CIS GCP Foundation 1.2: 4.1 CIS GCP Foundation 1.3: 4.1 CIS GCP Foundation 2.0: 4.1 NIST 800-53 R5: IA-5 PCI-DSS v4.0: 2.2.2, 2.3.1 ISO-27001 v2022: A.8.2, A.8.9 NIST Cybersecurity Framework 1.0: PR-AC-1 SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3 CIS Controls 8.0: 4.7	Controlla la proprietà `serviceAccounts` nei metadati dell'istanza per verificare la presenza di eventuali indirizzi email di account di servizio con il prefisso `PROJECT_NUMBER-compute@developer.gserviceaccount.com`, per indicare l'account di servizio predefinito creato da Google. Asset esclusi dalle analisi: istanze GKE, job Dataflow Scansioni in tempo reale: sì
`Disk CMEK disabled` Nome categoria nell'API: `DISK_CMEK_DISABLED`	Descrizione del risultato: i dischi in questa VM non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). L'abilitazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Disk Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla nel campo `kmsKeyName` dell'oggetto `diskEncryptionKey`, nei metadati del disco, il nome della risorsa della tua CMEK. Asset esclusi dalle analisi: dischi relativi ad ambienti Cloud Composer, job Dataflow e istanze GKE Scansioni in tempo reale: sì
`Disk CSEK disabled` Nome categoria nell'API: `DISK_CSEK_DISABLED`	Descrizione dei risultati: i dischi in questa VM non sono criptati con chiavi di crittografia fornite dal cliente (CSEK). Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per istruzioni, consulta Rilevatore per casi speciali. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Disk Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 4.6 CIS GCP Foundation 1.1: 4.7 CIS GCP Foundation 1.2: 4.7 CIS GCP Foundation 1.3: 4.7 CIS GCP Foundation 2.0: 4.7 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Controlla il campo `kmsKeyName` nell'oggetto `diskEncryptionKey` per verificare il nome della risorsa della tua CSEK. Asset esclusi dalle analisi: Dischi Compute Engine senza il contrassegno di sicurezza enforce_customer_ provided_disk_encryption_keys impostato su `true` Autorizzazioni IAM aggiuntive: `roles/compute.Viewer` Input aggiuntivi: legge i metadati da Compute Engine Scansioni in tempo reale: sì
`Full API access` Nome categoria nell'API: `FULL_API_ACCESS`	Descrizione dei risultati: un'istanza è configurata in modo da utilizzare l'account di servizio predefinito con accesso completo a tutte le API Google Cloud. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 4.1 CIS GCP Foundation 1.1: 4.2 CIS GCP Foundation 1.2: 4.2 CIS GCP Foundation 1.3: 4.2 CIS GCP Foundation 2.0: 4.2 NIST 800-53 R4: AC-6 NIST 800-53 R5: IA-5 PCI-DSS v3.2.1: 7.1.2 PCI-DSS v4.0: 2.2.2, 2.3.1 ISO-27001 v2013: A.9.2.3 ISO-27001 v2022: A.8.2, A.8.9 NIST Cybersecurity Framework 1.0: PR-AC-1 SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3 CIS Controls 8.0: 4.7	Recupera il campo `scopes` nella proprietà `serviceAccounts` per verificare se viene utilizzato un account di servizio predefinito e se gli è assegnato l'ambito `cloud-platform`. Asset esclusi dalle analisi: istanze GKE, job Dataflow Scansioni in tempo reale: sì
`HTTP load balancer` Nome categoria nell'API: `HTTP_LOAD_BALANCER`	Descrizione dei risultati: un'istanza utilizza un bilanciatore del carico configurato per l'utilizzo di un proxy HTTP di destinazione anziché di un proxy HTTPS di destinazione. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati compute.googleapis.com/TargetHttpProxy Correggi questo risultato Standard di conformità: PCI-DSS v3.2.1: 2.3	Determina se la proprietà `selfLink` della risorsa `targetHttpProxy` corrisponde all'attributo `target` nella regola di forwarding e se quest'ultima contiene un campo `loadBalancingScheme` impostato su `External`. Autorizzazioni IAM aggiuntive: `roles/compute.Viewer` Input aggiuntivi: legge le regole di forwarding per un proxy HTTP di destinazione da Compute Engine, controllando le regole esterne Scansioni in tempo reale: sì
`IP forwarding enabled` Nome categoria nell'API: `IP_FORWARDING_ENABLED`	Descrizione dei risultati: l'IP forwarding è abilitato sulle istanze. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 4.5 CIS GCP Foundation 1.1: 4.6 CIS GCP Foundation 1.2: 4.6 CIS GCP Foundation 1.3: 4.6 CIS GCP Foundation 2.0: 4.6 NIST 800-53 R5: CA-9, SC-7 PCI-DSS v4.0: 1.2.1, 1.4.1 SOC2 v2017: CC6.6.1, CC6.6.4 CIS Controls 8.0: 4.4, 4.5	Controlla se la proprietà `canIpForward` dell'istanza è impostata su `true`. Asset esclusi dalle analisi: istanze GKE, accesso VPC serverless Scansioni in tempo reale: sì
`OS login disabled` Nome categoria nell'API: `OS_LOGIN_DISABLED`	Individuazione della descrizione: OS Login è disabilitato su questa istanza. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 4.3 CIS GCP Foundation 1.1: 4.4 CIS GCP Foundation 1.2: 4.4 CIS GCP Foundation 1.3: 4.4 CIS GCP Foundation 2.0: 4.4 NIST 800-53 R5: AC-2 ISO-27001 v2022: A.5.15 SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9 CIS Controls 8.0: 5.6, 6.7	Controlla l'oggetto `commonInstanceMetadata.items[]` nei metadati di progetto per la coppia chiave-valore, `"key"`: `"enable-oslogin"`, `"value"`: `TRUE`. Il rilevatore controlla anche tutte le istanze in un progetto Compute Engine per determinare se OS Login è disabilitato per le singole istanze. Asset esclusi dalle analisi: istanze GKE, istanze relative ai job Dataflow Autorizzazioni IAM aggiuntive: `roles/compute.Viewer` Input aggiuntivi: legge i metadati da Compute Engine. Il rilevatore esamina anche le istanze di Compute Engine nel progetto Scansioni in tempo reale: no
`Public IP address` Nome categoria nell'API: `PUBLIC_IP_ADDRESS`	Individuazione della descrizione: un'istanza ha un indirizzo IP pubblico. Livello di prezzo: Premium o Standard Asset supportati compute.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 4.9 CIS GCP Foundation 1.2: 4.9 CIS GCP Foundation 1.3: 4.9 CIS GCP Foundation 2.0: 4.9 NIST 800-53 R4: CA-3, SC-7 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 1.2.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla se la proprietà `networkInterfaces` contiene un campo `accessConfigs`, che indica che è configurata per l'utilizzo di un indirizzo IP pubblico. Asset esclusi dalle analisi: istanze GKE, istanze relative ai job Dataflow Scansioni in tempo reale: sì
`Shielded VM disabled` Nome categoria nell'API: `SHIELDED_VM_DISABLED`	Individuazione della descrizione: la Shielded VM è disabilitata su questa istanza. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 4.8 CIS GCP Foundation 1.2: 4.8 CIS GCP Foundation 1.3: 4.8 CIS GCP Foundation 2.0: 4.8	Controlla la proprietà `shieldedInstanceConfig` nelle istanze di Compute Engine per determinare se i campi `enableIntegrityMonitoring` e `enableVtpm` sono impostati su `true`. I campi indicano se la Shielded VM è attiva. Asset esclusi dalle analisi: istanze GKE e accesso VPC serverless Scansioni in tempo reale: sì
`Weak SSL policy` Nome categoria nell'API: `WEAK_SSL_POLICY`	Ricerca della descrizione: un'istanza ha un criterio SSL debole. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati compute.googleapis.com/TargetHttpsProxy compute.googleapis.com/TargetSslProxy Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 3.9 CIS GCP Foundation 1.2: 3.9 CIS GCP Foundation 1.3: 3.9 CIS GCP Foundation 2.0: 3.9 NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 4.1 ISO-27001 v2013: A.14.1.3	Controlla se `sslPolicy` nei metadati della risorsa è vuoto o se utilizza il criterio predefinito di Google Cloud e, per la risorsa `sslPolicies` allegata, se `profile` è impostato su `Restricted` o `Modern`, `minTlsVersion` è impostato su `TLS 1.2` e `customFeatures` è vuoto o non contiene le seguenti crittografie: `TLS_RSA_WITH_AES_128_GCM_SHA256`, `TLS_RSA_WITH_AES_256_GCM_SHA384`, `TLS_RSA_WITH_AES_128_CBC_SHA`, `TLS_RSA_WITH_AES_256_CBC_SHA`, `TLS_RSA_WITH_3DES_EDE_CBC_SHA`. Autorizzazioni IAM aggiuntive: `roles/compute.Viewer` Input aggiuntivi: legge i criteri SSL per l'archiviazione dei proxy di destinazione, verificando la presenza di criteri deboli Scansioni in tempo reale: sì, ma solo quando il TargetHttpsProxy del TargetSslProxy viene aggiornato, non quando il criterio SSL viene aggiornato

Risultati delle vulnerabilità dei container

Questi tipi di risultati si riferiscono tutti alle configurazioni di container GKE e appartengono al tipo di rilevatore CONTAINER_SCANNER.

**Tabella 5.** Scanner per container
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Alpha cluster enabled` Nome categoria nell'API: `ALPHA_CLUSTER_ENABLED`	Descrizione dei risultati: le funzionalità del cluster alpha sono abilitate per un cluster GKE. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GKE 1.0: 6.10.2	Controlla se la proprietà `enableKubernetesAlpha` di un cluster è impostata su `true`. Scansioni in tempo reale: sì
`Auto repair disabled` Nome categoria nell'API: `AUTO_REPAIR_DISABLED`	Ricerca della descrizione: la funzionalità di riparazione automatica di un cluster GKE, che mantiene i nodi in stato integro e in esecuzione, è disabilitata. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.7 CIS GKE 1.0: 6.5.2 PCI-DSS v3.2.1: 2.2	Controlla la proprietà `management` di un pool di nodi per la coppia chiave-valore, `"key":` `"autoRepair"`, `"value":` `true`. Scansioni in tempo reale: sì
`Auto upgrade disabled` Nome categoria nell'API: `AUTO_UPGRADE_DISABLED`	Ricerca della descrizione: la funzionalità di upgrade automatico di un cluster GKE, che mantiene i cluster e i pool di nodi sull'ultima versione stabile di Kubernetes, è disabilitata. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.8 CIS GKE 1.0: 6.5.3 PCI-DSS v3.2.1: 2.2	Controlla la proprietà `management` di un pool di nodi per la coppia chiave-valore, `"key":` `"autoUpgrade"`, `"value":` `true`. Scansioni in tempo reale: sì
`Binary authorization disabled` Nome categoria nell'API: `BINARY_AUTHORIZATION_DISABLED`	Descrizione dei risultati: l'Autorizzazione binaria è disabilitata nel cluster GKE oppure il criterio di Autorizzazione binaria è configurato per consentire il deployment di tutte le immagini. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla quanto segue: Controlla se la proprietà `binaryAuthorization` ha una delle seguenti coppie chiave-valore: `"evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"` `"evaluationMode": "POLICY_BINDINGS"` `"evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"` Controlla se la proprietà del criterio `defaultAdmissionRule` non contiene la coppia chiave-valore `evaluationMode: ALWAYS_ALLOW`. Scansioni in tempo reale: sì
`Cluster logging disabled` Nome categoria nell'API: `CLUSTER_LOGGING_DISABLED`	Ricerca della descrizione: Logging non è abilitato per un cluster GKE. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.2.2, 10.2.7	Controlla se la proprietà `loggingService` di un cluster contiene la località che Cloud Logging deve utilizzare per scrivere i log. Scansioni in tempo reale: sì
`Cluster monitoring disabled` Nome categoria nell'API: `CLUSTER_MONITORING_DISABLED`	Descrizione dei risultati: il monitoraggio è disabilitato sui cluster GKE. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.2 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.1, 10.2	Controlla se la proprietà `monitoringService` di un cluster contiene la località che Cloud Monitoring deve utilizzare per scrivere le metriche. Scansioni in tempo reale: sì
`Cluster private Google access disabled` Nome categoria nell'API: `CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Descrizione dei risultati: gli host dei cluster non sono configurati in modo da utilizzare solo indirizzi IP interni privati per accedere alle API di Google. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.16 PCI-DSS v3.2.1: 1.3	Controlla se la proprietà `privateIpGoogleAccess` di una subnet è impostata su `false`. Input aggiuntivi: legge le subnet dallo spazio di archiviazione, archiviando i risultati solo per i cluster con subnet Scansioni in tempo reale: sì, ma solo se il cluster viene aggiornato, non per gli aggiornamenti della subnet
`Cluster secrets encryption disabled` Nome categoria nell'API: `CLUSTER_SECRETS_ENCRYPTION_DISABLED`	Descrizione dei risultati: la crittografia dei secret a livello di applicazione è disabilitata su un cluster GKE. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GKE 1.0: 6.3.1	Controlla la proprietà `keyName` dell'oggetto `databaseEncryption` per la coppia chiave-valore `"state": ENCRYPTED`. Scansioni in tempo reale: sì
`Cluster shielded nodes disabled` Nome categoria nell'API: `CLUSTER_SHIELDED_NODES_DISABLED`	Descrizione dei risultati: i nodi GKE schermati non sono abilitati per un cluster. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GKE 1.0: 6.5.5	Controlla la proprietà `shieldedNodes` per la coppia chiave-valore `"enabled": true`. Scansioni in tempo reale: sì
`COS not used` Nome categoria nell'API: `COS_NOT_USED`	Ricerca della descrizione: le VM di Compute Engine non utilizzano il Container-Optimized OS, progettato per eseguire container Docker in modo sicuro. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.9 CIS GKE 1.0: 6.5.1 PCI-DSS v3.2.1: 2.2	Controlla la proprietà `config` di un pool di nodi per la coppia chiave-valore `"imageType":` `"COS"`. Scansioni in tempo reale: sì
`Integrity monitoring disabled` Nome categoria nell'API: `INTEGRITY_MONITORING_DISABLED`	Ricerca della descrizione: il monitoraggio dell'integrità è disabilitato per un cluster GKE. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GKE 1.0: 6.5.6	Controlla la proprietà `shieldedInstanceConfig` dell'oggetto `nodeConfig` per la coppia chiave-valore `"enableIntegrityMonitoring": true`. Scansioni in tempo reale: sì
`Intranode visibility disabled` Nome categoria nell'API: `INTRANODE_VISIBILITY_DISABLED`	Descrizione dei risultati: La visibilità tra nodi è disabilitata per un cluster GKE. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GKE 1.0: 6.6.1	Controlla la proprietà `networkConfig` per la coppia chiave-valore `"enableIntraNodeVisibility": true`. Scansioni in tempo reale: sì
`IP alias disabled` Nome categoria nell'API: `IP_ALIAS_DISABLED`	Descrizione dei risultati: è stato creato un cluster GKE con intervalli IP alias disabilitati. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.13 CIS GKE 1.0: 6.6.2 PCI-DSS v3.2.1: 1.3.4, 1.3.7	Controlla se il campo `useIPAliases` di `ipAllocationPolicy` in un cluster è impostato su `false`. Scansioni in tempo reale: sì
`Legacy authorization enabled` Nome categoria nell'API: `LEGACY_AUTHORIZATION_ENABLED`	Descrizione dei risultati: l'autorizzazione precedente è abilitata sui cluster GKE. Livello di prezzo: Premium o Standard Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.3 CIS GKE 1.0: 6.8.3 PCI-DSS v3.2.1: 4.1	Controlla la proprietà `legacyAbac` di un cluster per la coppia chiave-valore `"enabled"`: `true`. Scansioni in tempo reale: sì
`Legacy metadata enabled` Nome categoria nell'API: `LEGACY_METADATA_ENABLED`	Ricerca della descrizione: i metadati legacy sono abilitati sui cluster GKE. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GKE 1.0: 6.4.1	Controlla la proprietà `config` di un pool di nodi per la coppia chiave-valore, `"disable-legacy-endpoints"`: `"false"`. Scansioni in tempo reale: sì
`Master authorized networks disabled` Nome categoria nell'API: `MASTER_AUTHORIZED_NETWORKS_DISABLED`	Descrizione dei risultati: le reti autorizzate del piano di controllo non sono abilitate sui cluster GKE. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.4 CIS GKE 1.0: 6.6.3 PCI-DSS v3.2.1: 1.2.1, 1.3.2	Controlla la proprietà `masterAuthorizedNetworksConfig` di un cluster per la coppia chiave-valore `"enabled"`: `false`. Scansioni in tempo reale: sì
`Network policy disabled` Nome categoria nell'API: `NETWORK_POLICY_DISABLED`	Ricerca della descrizione: il criterio di rete è disabilitato sui cluster GKE. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.11 NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.3 ISO-27001 v2013: A.13.1.1	Controlla il campo `networkPolicy` della proprietà `addonsConfig` per la coppia chiave-valore `"disabled"`: `true`. Scansioni in tempo reale: sì
`Nodepool boot CMEK disabled` Nome categoria nell'API: `NODEPOOL_BOOT_CMEK_DISABLED`	Descrizione dei risultati: i dischi di avvio in questo pool di nodi non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla nella proprietà `bootDiskKmsKey` dei pool di nodi il nome della risorsa della tua CMEK. Scansioni in tempo reale: sì
`Nodepool secure boot disabled` Nome categoria nell'API: `NODEPOOL_SECURE_BOOT_DISABLED`	Descrizione dei risultati: Avvio protetto disabilitato per un cluster GKE. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GKE 1.0: 6.5.7	Controlla la proprietà `shieldedInstanceConfig` dell'oggetto `nodeConfig` per la coppia chiave-valore `"enableSecureBoot": true`. Scansioni in tempo reale: sì
`Over privileged account` Nome categoria nell'API: `OVER_PRIVILEGED_ACCOUNT`	Individuazione della descrizione: un account di servizio dispone di un accesso ai progetti eccessivamente ampio in un cluster. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.17 NIST 800-53 R4: AC-6, SC-7 CIS GKE 1.0: 6.2.1 PCI-DSS v3.2.1: 2.1, 7.1.2 ISO-27001 v2013: A.9.2.3	Valuta la proprietà `config` di un pool di nodi per verificare se non è specificato alcun account di servizio o se viene utilizzato l'account di servizio predefinito. Scansioni in tempo reale: sì
`Over privileged scopes` Nome categoria nell'API: `OVER_PRIVILEGED_SCOPES`	Ricerca della descrizione: un account di servizio del nodo ha ambiti di accesso ampio. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.18 CIS GKE 1.0: 6.2.1	Controlla se l'ambito di accesso elencato nella proprietà `config.oauthScopes` di un pool di nodi è un ambito di accesso all'account di servizio limitato: `https://www.googleapis.com/auth/devstorage.read_only`, `https://www.googleapis.com/auth/logging.write` o `https://www.googleapis.com/auth/monitoring`. Scansioni in tempo reale: sì
`Pod security policy disabled` Nome categoria nell'API: `POD_SECURITY_POLICY_DISABLED`	Descrizione dei risultati: PodSecurityPolicy è disabilitato su un cluster GKE. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.14 CIS GKE 1.0: 6.10.3	Controlla la proprietà `podSecurityPolicyConfig` di un cluster per la coppia chiave-valore, `"enabled"`: `false`. Autorizzazioni IAM aggiuntive: `roles/container.clusterViewer` Input aggiuntivi: legge le informazioni sul cluster da GKE, perché i criteri di sicurezza dei pod sono una funzionalità beta. Kubernetes ha ufficialmente deprecato PodSecurityPolicy versione 1.21. La versione 1.25 di PodSecurityPolicy verrà disattivata. Per informazioni sulle alternative, consulta la pagina relativa al ritiro di PodSecurityPolicy. Scansioni in tempo reale: no
`Private cluster disabled` Nome categoria nell'API: `PRIVATE_CLUSTER_DISABLED`	Ricerca della descrizione: in un cluster GKE è disabilitato un cluster privato. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.15 CIS GKE 1.0: 6.6.5 PCI-DSS v3.2.1: 1.3.2	Controlla se il campo `enablePrivateNodes` della proprietà `privateClusterConfig` è impostato su `false`. Scansioni in tempo reale: sì
`Release channel disabled` Nome categoria nell'API: `RELEASE_CHANNEL_DISABLED`	Ricerca della descrizione: non è presente un abbonamento a un canale di rilascio per un cluster GKE. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GKE 1.0: 6.5.4	Controlla la proprietà `releaseChannel` per la coppia chiave-valore `"channel": UNSPECIFIED`. Scansioni in tempo reale: sì
`Web UI enabled` Nome categoria nell'API: `WEB_UI_ENABLED`	Ricerca della descrizione: l'interfaccia utente web di GKE (dashboard) è abilitata. Livello di prezzo: Premium o Standard Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 7.6 CIS GKE 1.0: 6.10.1 PCI-DSS v3.2.1: 6.6	Controlla il campo `kubernetesDashboard` della proprietà `addonsConfig` per la coppia chiave-valore `"disabled": false`. Scansioni in tempo reale: sì
`Workload Identity disabled` Nome categoria nell'API: `WORKLOAD_IDENTITY_DISABLED`	Individuazione della descrizione: Workload Identity è disabilitato su un cluster GKE. Livello di prezzo: Premium Asset supportati container.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GKE 1.0: 6.2.2	Controlla se è impostata la proprietà `workloadIdentityConfig` di un cluster. Il rilevatore controlla anche se la proprietà `workloadMetadataConfig` di un pool di nodi è impostata su `GKE_METADATA`. Autorizzazioni IAM aggiuntive: `roles/container.clusterViewer` Scansioni in tempo reale: sì

Risultati di vulnerabilità Dataproc

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate a Dataproc e appartengono al tipo di rilevatore DATAPROC_SCANNER.

**Tabella 6.** Scanner Dataproc
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Dataproc CMEK disabled` Nome categoria nell'API: `DATAPROC_CMEK_DISABLED`	Descrizione dei risultati: un cluster Dataproc è stato creato senza una configurazione di crittografia CMEK. Con CMEK, le chiavi che crei e gestisci in Cloud Key Management Service eseguono il wrapping delle chiavi che Google Cloud utilizza per criptare i tuoi dati, offrendoti un maggiore controllo sull'accesso ai tuoi dati. Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium Asset supportati dataproc.googleapis.com/Cluster Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.3: 1.17 CIS GCP Foundation 2.0: 1.17 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Controlla se il campo `kmsKeyName` nella proprietà `encryptionConfiguration` è vuoto. Scansioni in tempo reale: sì
`Dataproc image outdated` Nome categoria nell'API: `DATAPROC_IMAGE_OUTDATED`	Descrizione dei risultati: è stato creato un cluster Dataproc con una versione immagine di Dataproc che è interessata dalle vulnerabilità di sicurezza nell'utilità Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046). Livello di prezzo: Premium o Standard Asset supportati dataproc.googleapis.com/Cluster Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla se il campo `softwareConfig.imageVersion` nella proprietà `config` di `Cluster` è precedente alla 1.3.95 o è una versione di immagine secondaria precedente alla 1.4.77, 1.5.53 o 2.0.27. Scansioni in tempo reale: sì

Risultati delle vulnerabilità del set di dati

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni del set di dati BigQuery e appartengono al tipo di rilevatore DATASET_SCANNER.

**Tabella 7.** Scanner dei set di dati
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`BigQuery table CMEK disabled` Nome categoria nell'API: `BIGQUERY_TABLE_CMEK_DISABLED`	Descrizione dei risultati: una tabella BigQuery non è configurata per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium Asset supportati bigquery.googleapis.com/Table Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 7.2 CIS GCP Foundation 1.3: 7.2 CIS GCP Foundation 2.0: 7.2 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Controlla se il campo `kmsKeyName` nella proprietà `encryptionConfiguration` è vuoto. Scansioni in tempo reale: sì
`Dataset CMEK disabled` Nome categoria nell'API: `DATASET_CMEK_DISABLED`	Ricerca della descrizione: un set di dati BigQuery non è configurato per utilizzare una CMEK predefinita. Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium Asset supportati bigquery.googleapis.com/Dataset Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 7.3 CIS GCP Foundation 1.3: 7.3 CIS GCP Foundation 2.0: 7.3 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Controlla se il campo `kmsKeyName` nella proprietà `defaultEncryptionConfiguration` è vuoto. Scansioni in tempo reale: no
`Public dataset` Nome categoria nell'API: `PUBLIC_DATASET`	Descrizione dei risultati: un set di dati è configurato in modo da essere accessibile al pubblico. Livello di prezzo: Premium o Standard Asset supportati bigquery.googleapis.com/Dataset Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 7.1 CIS GCP Foundation 1.2: 7.1 CIS GCP Foundation 1.3: 7.1 CIS GCP Foundation 2.0: 7.1 NIST 800-53 R4: AC-2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 7.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.14.1.3, A.8.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla il criterio di autorizzazione IAM nei metadati delle risorse per le entità `allUsers` o `allAuthenticatedUsers`, che concedono l'accesso pubblico. Scansioni in tempo reale: sì

Risultati delle vulnerabilità DNS

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di Cloud DNS e appartengono al tipo di rilevatore DNS_SCANNER.

**Tabella 8.** Scanner DNS
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`DNSSEC disabled` Nome categoria nell'API: `DNSSEC_DISABLED`	Ricerca descrizione: DNSSEC è disabilitato per le zone Cloud DNS. Livello di prezzo: Premium Asset supportati dns.googleapis.com/ManagedZone Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 3.3 CIS GCP Foundation 1.1: 3.3 CIS GCP Foundation 1.2: 3.3 CIS GCP Foundation 1.3: 3.3 CIS GCP Foundation 2.0: 3.3 NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2013: A.8.2.3 ISO-27001 v2022: A.8.9 Cloud Controls Matrix 4: IVS-04 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC5.2.2 CIS Controls 8.0: 4.2	Controlla se il campo `state` della proprietà `dnssecConfig` è impostato su `off`. Asset esclusi dalle analisi: zone Cloud DNS non pubbliche. Scansioni in tempo reale: sì
`RSASHA1 for signing` Nome categoria nell'API: `RSASHA1_FOR_SIGNING`	Descrizione dei risultati: RSASHA1 viene utilizzato per la firma della chiave nelle zone Cloud DNS. Livello di prezzo: Premium Asset supportati dns.googleapis.com/ManagedZone Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 3.4, 3.5 CIS GCP Foundation 1.1: 3.4, 3.5 CIS GCP Foundation 1.2: 3.4, 3.5 CIS GCP Foundation 1.3: 3.4, 3.5 CIS GCP Foundation 2.0: 3.4, 3.5 NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.9 Cloud Controls Matrix 4: IVS-04 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC5.2.2 CIS Controls 8.0: 4.2	Controlla se l'oggetto `defaultKeySpecs.algorithm` della proprietà `dnssecConfig` è impostato su `rsasha1`. Scansioni in tempo reale: sì

Risultati delle vulnerabilità del firewall

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni del firewall e appartengono al tipo di rilevatore FIREWALL_SCANNER.

**Tabella 9.** Scanner firewall
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Egress deny rule not set` Nome categoria nell'API: `EGRESS_DENY_RULE_NOT_SET`	Descrizione dei risultati: su un firewall non è impostata una regola di negazione in uscita. Le regole di negazione in uscita devono essere impostate per bloccare il traffico in uscita indesiderato. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: PCI-DSS v3.2.1: 7.2	Controlla se la proprietà `destinationRanges` nel firewall è impostata su `0.0.0.0/0` e la proprietà `denied` contiene la coppia chiave-valore `"IPProtocol"`: `"all"`. Input aggiuntivi: legge i firewall in uscita per un progetto dall'archiviazione Scansioni in tempo reale: sì, ma solo in caso di modifiche al progetto, non in caso di modifiche alle regole firewall
`Firewall rule logging disabled` Nome categoria nell'API: `FIREWALL_RULE_LOGGING_DISABLED`	Descrizione dei risultati: il logging delle regole firewall è disabilitato. La regola firewall dovrebbe essere abilitata per consentire l'audit dell'accesso alla rete. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SI-4 PCI-DSS v3.2.1: 10.1, 10.2 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `logConfig` nei metadati firewall per verificare se è vuota o se contiene la coppia chiave-valore `"enable"`: `false`. Asset esclusi dalle analisi: istanze GKE, regole firewall create da GKE, accesso VPC serverless Scansioni in tempo reale: sì
`Open Cassandra port` Nome categoria nell'API: `OPEN_CASSANDRA_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta Cassandra aperta che consente l'accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per i seguenti protocolli e porte: `TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621`. Scansioni in tempo reale: sì
`Open ciscosecure websm port` Nome categoria nell'API: `OPEN_CISCOSECURE_WEBSM_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta CISCOSECURE_WEBSM aperta che consente l'accesso generico. Livello di prezzo: Premium o Standard Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per il protocollo e la porta seguenti: `TCP:9090`. Scansioni in tempo reale: sì
`Open directory services port` Nome categoria nell'API: `OPEN_DIRECTORY_SERVICES_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta DIRECTORY_Services aperta che consente un accesso generico. Livello di prezzo: Premium o Standard Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per i seguenti protocolli e porte: `TCP:445` e `UDP:445`. Scansioni in tempo reale: sì
`Open DNS port` Nome categoria nell'API: `OPEN_DNS_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta DNS aperta che consente un accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per i seguenti protocolli e porte: `TCP:53` e `UDP:53`. Scansioni in tempo reale: sì
`Open elasticsearch port` Nome categoria nell'API: `OPEN_ELASTICSEARCH_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta ELASTICSEARCH aperta che consente un accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per i seguenti protocolli e porte: `TCP:9200, 9300`. Scansioni in tempo reale: sì
`Open firewall` Nome categoria nell'API: `OPEN_FIREWALL`	Descrizione dei risultati: un firewall è configurato in modo da essere accessibile all'accesso pubblico. Livello di prezzo: Premium o Standard Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: PCI-DSS v3.2.1: 1.2.1	Controlla le proprietà `sourceRanges` e `allowed` per una delle due configurazioni: La proprietà `sourceRanges` contiene `0.0.0.0/0` e la proprietà `allowed` contiene una combinazione di regole che include qualsiasi `protocol` o `protocol:port`, ad eccezione di quanto segue: icmp tcp:22. tcp:443. tcp:3389 udp:3389 sctp:22 La proprietà `sourceRanges` contiene una combinazione di intervalli IP che include qualsiasi indirizzo IP non privato e la proprietà `allowed` contiene una combinazione di regole che consentono tutte le porte TCP o tutte le porte udp. Asset esclusi dalle analisi: regole firewall create da GKE Scansioni in tempo reale: sì
`Open FTP port` Nome categoria nell'API: `OPEN_FTP_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta FTP aperta che consente un accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per il protocollo e la porta seguenti: `TCP:21`. Scansioni in tempo reale: sì
`Open HTTP port` Nome categoria nell'API: `OPEN_HTTP_PORT`	Individuazione della descrizione: un firewall è configurato in modo da avere una porta HTTP aperta che consente un accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per i seguenti protocolli e porte: `TCP:80`. Scansioni in tempo reale: sì
`Open LDAP port` Nome categoria nell'API: `OPEN_LDAP_PORT`	Ricerca di descrizione: un firewall è configurato in modo da avere una porta LDAP aperta che consente un accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per i seguenti protocolli e porte: `TCP:389, 636` e `UDP:389`. Scansioni in tempo reale: sì
`Open Memcached port` Nome categoria nell'API: `OPEN_MEMCACHED_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta MEMCACHED aperta che consente un accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per i seguenti protocolli e porte: `TCP:11211, 11214-11215` e `UDP:11211, 11214-11215`. Scansioni in tempo reale: sì
`Open MongoDB port` Nome categoria nell'API: `OPEN_MONGODB_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta MONGODB aperta che consente l'accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per i seguenti protocolli e porte: `TCP:27017-27019`. Scansioni in tempo reale: sì
`Open MySQL port` Nome categoria nell'API: `OPEN_MYSQL_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta MYSQL aperta che consente l'accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per il protocollo e la porta seguenti: `TCP:3306`. Scansioni in tempo reale: sì
`Open NetBIOS port` Nome categoria nell'API: `OPEN_NETBIOS_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta NETBIOS aperta che consente l'accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per i seguenti protocolli e porte: `TCP:137-139` e `UDP:137-139`. Scansioni in tempo reale: sì
`Open OracleDB port` Nome categoria nell'API: `OPEN_ORACLEDB_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta ORACLEDB aperta che consente un accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per i seguenti protocolli e porte: `TCP:1521, 2483-2484` e `UDP:2483-2484`. Scansioni in tempo reale: sì
`Open pop3 port` Nome categoria nell'API: `OPEN_POP3_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta POP3 aperta che consente l'accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per il protocollo e la porta seguenti: `TCP:110`. Scansioni in tempo reale: sì
`Open PostgreSQL port` Nome categoria nell'API: `OPEN_POSTGRESQL_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta PostgreSQL aperta che consente l'accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla la proprietà `allowed` nei metadati firewall per i seguenti protocolli e porte: `TCP:5432` e `UDP:5432`. Scansioni in tempo reale: sì
`Open RDP port` Nome categoria nell'API: `OPEN_RDP_PORT`	Descrizione dei risultati: un firewall è configurato in modo da avere una porta RDP aperta che consente un accesso generico. Livello di prezzo: Premium o Standard Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 3.7 CIS GCP Foundation 1.1: 3.7 CIS GCP Foundation 1.2: 3.7 CIS GCP Foundation 1.3: 3.7 CIS GCP Foundation 2.0: 3.7 NIST 800-53 R4: SC-7 NIST 800-53 R5: CA-9, SC-7 PCI-DSS v3.2.1: 1.2.1 PCI-DSS v4.0: 1.2.1, 1.4.1 ISO-27001 v2013: A.13.1.1 SOC2 v2017: CC6.6.1, CC6.6.4 CIS Controls 8.0: 4.4, 4.5	Controlla la proprietà `allowed` nei metadati firewall per i seguenti protocolli e porte: `TCP:3389` e `UDP:3389`. Scansioni in tempo reale: sì
`Open Redis port` Nome categoria nell'API: `OPEN_REDIS_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta REDIS aperta che consente un accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla se la proprietà `allowed` nei metadati firewall contiene il protocollo e la porta seguenti: `TCP:6379`. Scansioni in tempo reale: sì
`Open SMTP port` Nome categoria nell'API: `OPEN_SMTP_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta SMTP aperta che consente un accesso generico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla se la proprietà `allowed` nei metadati firewall contiene il protocollo e la porta seguenti: `TCP:25`. Scansioni in tempo reale: sì
`Open SSH port` Nome categoria nell'API: `OPEN_SSH_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta SSH aperta che consente un accesso generico. Livello di prezzo: Premium o Standard Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 3.6 CIS GCP Foundation 1.1: 3.6 CIS GCP Foundation 1.2: 3.6 CIS GCP Foundation 1.3: 3.6 CIS GCP Foundation 2.0: 3.6 NIST 800-53 R4: SC-7 NIST 800-53 R5: CA-9, SC-7 PCI-DSS v3.2.1: 1.2.1 PCI-DSS v4.0: 1.2.1, 1.4.1 ISO-27001 v2013: A.13.1.1 SOC2 v2017: CC6.6.1, CC6.6.4 CIS Controls 8.0: 4.4, 4.5	Controlla se la proprietà `allowed` nei metadati firewall contiene i seguenti protocolli e porte: `TCP:22` e `SCTP:22`. Scansioni in tempo reale: sì
`Open Telnet port` Nome categoria nell'API: `OPEN_TELNET_PORT`	Ricerca della descrizione: un firewall è configurato in modo da avere una porta TELNET aperta che consente un accesso generico. Livello di prezzo: Premium o Standard Asset supportati compute.googleapis.com/Firewall Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 1.2.1 ISO-27001 v2013: A.13.1.1	Controlla se la proprietà `allowed` nei metadati firewall contiene il protocollo e la porta seguenti: `TCP:23`. Scansioni in tempo reale: sì

Risultati relativi alle vulnerabilità IAM

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alla configurazione di Identity and Access Management (IAM) e appartengono al tipo di rilevatore IAM_SCANNER.

**Tabella 10.** Scanner IAM
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Access Transparency disabled` Nome categoria nell'API: `ACCESS_TRANSPARENCY_DISABLED`	Descrizione dei risultati: Google Cloud Access Transparency è disabilitato per la tua organizzazione. Access Transparency registra quando i dipendenti di Google Cloud accedono ai progetti della tua organizzazione per fornire assistenza. Abilita Access Transparency per registrare chi accede alle tue informazioni da Google Cloud, quando e perché. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organization Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.3: 2.14 CIS GCP Foundation 2.0: 2.14	Controlla se nella tua organizzazione è abilitato Access Transparency. Scansioni in tempo reale: no
`Admin service account` Nome categoria nell'API: `ADMIN_SERVICE_ACCOUNT`	Descrizione dei risultati: un account di servizio dispone dei privilegi Amministratore, Proprietario o Editor. Questi ruoli non devono essere assegnati ad account di servizio creati dall'utente. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Cartella cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.4 CIS GCP Foundation 1.1: 1.5 CIS GCP Foundation 1.2: 1.5 CIS GCP Foundation 1.3: 1.5 CIS GCP Foundation 2.0: 1.5 NIST 800-53 R5: AC-6 ISO-27001 v2022: A.5.15, A.8.2 Cloud Controls Matrix 4: IAM-09 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3 CIS Controls 8.0: 5.4	Controlla il criterio di autorizzazione IAM nei metadati delle risorse per qualsiasi account di servizio creato dall'utente (indicato dal prefisso *iam.gserviceaccount.com), a cui è assegnato `roles/Owner` o `roles/Editor`, oppure un ID ruolo che contiene `admin`. Asset esclusi dalle analisi: account di servizio Container Registry (containerregistry.iam.gserviceaccount.com) e account di servizio Security Command Center (security-center-api.iam.gserviceaccount.com) Scansioni in tempo reale*: sì, a meno che l'aggiornamento IAM non venga eseguito su una cartella
`Essential Contacts Not Configured` Nome categoria nell'API: `ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Descrizione dei risultati: la tua organizzazione non ha designato una persona o un gruppo che riceva notifiche da Google Cloud su eventi importanti come attacchi, vulnerabilità e incidenti relativi ai dati all'interno della tua organizzazione Google Cloud. Ti consigliamo di designare come contatto necessario una o più persone o gruppi della tua organizzazione aziendale. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organization Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.3: 1.16 CIS GCP Foundation 2.0: 1.16 NIST 800-53 R5: IR-6 ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6 Cloud Controls Matrix 4: SEF-08 NIST Cybersecurity Framework 1.0: RS-CO-1 SOC2 v2017: CC2.3.1 CIS Controls 8.0: 17.2	Controlla che un contatto sia specificato per le seguenti categorie di contatti essenziali: Informazioni legali Sicurezza Sospensione Tecnico Scansioni in tempo reale: no
`KMS role separation` Nome categoria nell'API: `KMS_ROLE_SEPARATION`	Descrizione dei risultati: la separazione dei compiti non è applicata ed esiste un utente con uno dei seguenti ruoli di Cloud Key Management Service (Cloud KMS) : Criptatore/decrittografia CryptoKey, Criptatore o Decrittografia. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Cartella cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.9 CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 2.0: 1.11 NIST 800-53 R4: AC-5 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.10.1.2, A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla i criteri di autorizzazione IAM nei metadati delle risorse e recupera contemporaneamente le entità a cui è stato assegnato uno dei seguenti ruoli: `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter` e `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer`, `roles/cloudkms.signerVerifier`, `roles/cloudkms.publicKeyViewer`. Scansioni in tempo reale: sì
`Non org IAM member` Nome categoria nell'API: `NON_ORG_IAM_MEMBER`	Individuazione della descrizione: è presente un utente che non utilizza le credenziali dell'organizzazione. Per CIS GCP Foundations 1.0, attualmente, solo le identità con indirizzi email @gmail.com attivano questo rilevatore. Livello di prezzo: Premium o Standard Asset supportati cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Cartella cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.1 CIS GCP Foundation 1.1: 1.1 CIS GCP Foundation 1.2: 1.1 CIS GCP Foundation 1.3: 1.1 CIS GCP Foundation 2.0: 1.1 NIST 800-53 R4: AC-3 PCI-DSS v3.2.1: 7.1.2 ISO-27001 v2013: A.9.2.3	Confronta gli indirizzi email @gmail.com nel campo `user` dei metadati dei criteri di autorizzazione IAM con un elenco di identità approvate per la tua organizzazione. Scansioni in tempo reale: sì
`Open group IAM member` Nome categoria nell'API: `OPEN_GROUP_IAM_MEMBER`	Descrizione dei risultati: un account Google Gruppi che può essere unito senza approvazione viene utilizzato come entità del criterio di autorizzazione IAM. Livello di prezzo: Premium o Standard Asset supportati cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Cartella cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Verifica il criterio IAM nei metadati delle risorse per verificare la presenza di eventuali associazioni contenenti un membro (entità) con prefisso `group`. Se il gruppo è un gruppo aperto, Security Health Analytics genera questo risultato. Input aggiuntivi: legge i metadati di Google Gruppi per verificare se il gruppo identificato è un gruppo aperto. Scansioni in tempo reale: no
`Over privileged service account user` Nome categoria nell'API: `OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Descrizione dei risultati: un utente dispone del ruolo Utente account di servizio o Creatore token account di servizio a livello di progetto, anziché per un account di servizio specifico. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Cartella cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.5 CIS GCP Foundation 1.1: 1.6 CIS GCP Foundation 1.2: 1.6 CIS GCP Foundation 1.3: 1.6 CIS GCP Foundation 2.0: 1.6 NIST 800-53 R4: AC-6 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 7.1.2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla il criterio di autorizzazione IAM nei metadati delle risorse per eventuali entità assegnate `roles/iam.serviceAccountUser` o `roles/iam.serviceAccountTokenCreator` a livello di progetto. Asset esclusi dalle analisi: account di servizio Cloud Build Scansioni in tempo reale: sì
`Primitive roles used` Nome categoria nell'API: `PRIMITIVE_ROLES_USED`	Ricerca della descrizione: un utente ha uno dei seguenti ruoli di base: Proprietario (`roles/owner`) Editor (`roles/editor`) Visualizzatore (`roles/viewer`) Questi ruoli sono troppo permissivi e non dovrebbero essere utilizzati. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Cartella cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: NIST 800-53 R4: AC-6 PCI-DSS v3.2.1: 7.1.2 ISO-27001 v2013: A.9.2.3	Controlla il criterio di autorizzazione IAM nei metadati delle risorse per tutte le entità a cui è assegnato un ruolo `roles/owner`, `roles/editor` o `roles/viewer`. Scansioni in tempo reale: sì
`Redis role used on org` Nome categoria nell'API: `REDIS_ROLE_USED_ON_ORG`	Descrizione dei risultati: viene assegnato un ruolo IAM Redis a livello di organizzazione o cartella. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organization Correggi questo risultato Standard di conformità: PCI-DSS v3.2.1: 7.1.2 ISO-27001 v2013: A.9.2.3	Controlla il criterio di autorizzazione IAM nei metadati delle risorse per le entità assegnate `roles/redis.admin`, `roles/redis.editor`, `roles/redis.viewer` a livello di organizzazione o cartella. Scansioni in tempo reale: sì
`Service account role separation` Nome categoria nell'API: `SERVICE_ACCOUNT_ROLE_SEPARATION`	Descrizione dei risultati: a un utente sono stati assegnati i ruoli Amministratore account di servizio e Utente account di servizio. Ciò costituisce una violazione del principio della "separazione dei compiti". Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Cartella cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.7 CIS GCP Foundation 1.1: 1.8 CIS GCP Foundation 1.2: 1.8 CIS GCP Foundation 1.3: 1.8 CIS GCP Foundation 2.0: 1.8 NIST 800-53 R4: AC-5 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla il criterio di autorizzazione IAM nei metadati delle risorse per tutte le entità assegnate sia `roles/iam.serviceAccountUser` che `roles/iam.serviceAccountAdmin`. Scansioni in tempo reale: sì
`Service account key not rotated` Nome categoria nell'API: `SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Ricerca della descrizione: una chiave dell'account di servizio non viene ruotata per più di 90 giorni. Livello di prezzo: Premium Asset supportati iam.googleapis.com/ServiceAccountKey Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.6 CIS GCP Foundation 1.1: 1.7 CIS GCP Foundation 1.2: 1.7 CIS GCP Foundation 1.3: 1.7 CIS GCP Foundation 2.0: 1.7	Valuta il timestamp di creazione della chiave acquisito nella proprietà `validAfterTime` nei metadati della chiave degli account di servizio. Asset esclusi dalle analisi: chiavi dell'account di servizio scadute e chiavi non gestite dagli utenti Scansioni in tempo reale: sì
`User managed service account key` Nome categoria nell'API: `USER_MANAGED_SERVICE_ACCOUNT_KEY`	Descrizione dei risultati: un utente gestisce una chiave dell'account di servizio. Livello di prezzo: Premium Asset supportati iam.googleapis.com/ServiceAccountKey Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.3 CIS GCP Foundation 1.1: 1.4 CIS GCP Foundation 1.2: 1.4 CIS GCP Foundation 1.3: 1.4 CIS GCP Foundation 2.0: 1.4	Controlla se la proprietà `keyType` nei metadati della chiave dell'account di servizio è impostata su `User_Managed`. Scansioni in tempo reale: sì

Risultati delle vulnerabilità KMS

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di Cloud KMS e appartengono al tipo di rilevatore KMS_SCANNER.

**Tabella 11.** Scanner KMS
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`KMS key not rotated` Nome categoria nell'API: `KMS_KEY_NOT_ROTATED`	Descrizione dei risultati: la rotazione non è configurata su una chiave di crittografia di Cloud KMS. Le chiavi devono essere ruotate entro un periodo di 90 giorni. Livello di prezzo: Premium Asset supportati cloudkms.googleapis.com/CryptoKey Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.8 CIS GCP Foundation 1.1: 1.10 CIS GCP Foundation 1.2: 1.10 CIS GCP Foundation 1.3: 1.10 CIS GCP Foundation 2.0: 1.10 NIST 800-53 R4: SC-12 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2013: A.10.1.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Controlla nei metadati delle risorse l'esistenza delle proprietà `rotationPeriod` o `nextRotationTime`. Asset esclusi dalle analisi: chiavi e chiavi asimmetriche con versioni primarie disattivate o eliminate Scansioni in tempo reale: sì
`KMS project has owner` Nome categoria nell'API: `KMS_PROJECT_HAS_OWNER`	Descrizione dei risultati: un utente dispone delle autorizzazioni di Proprietario per un progetto che contiene chiavi di crittografia. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 1.2: 1.11 CIS GCP Foundation 1.3: 1.11 CIS GCP Foundation 2.0: 1.11 NIST 800-53 R4: AC-6, SC-12 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.10.1.2, A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla il criterio di autorizzazione IAM nei metadati di progetto per le entità assegnate `roles/Owner`. Input aggiuntivi: legge le chiavi di crittografia per un progetto dallo spazio di archiviazione, archiviando i risultati solo per i progetti con chiavi di crittografia Scansioni in tempo reale: sì, ma solo per le modifiche al criterio di autorizzazione IAM, non per le modifiche alle chiavi KMS
`KMS public key` Nome categoria nell'API: `KMS_PUBLIC_KEY`	Descrizione dei risultati: una chiave di crittografia Cloud KMS è accessibile pubblicamente. Livello di prezzo: Premium Asset supportati cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 1.9 CIS GCP Foundation 1.2: 1.9 CIS GCP Foundation 1.3: 1.9 CIS GCP Foundation 2.0: 1.9 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla il criterio di autorizzazione IAM nei metadati delle risorse per le entità `allUsers` o `allAuthenticatedUsers`, che concedono l'accesso pubblico. Scansioni in tempo reale: sì
`Too many KMS users` Nome categoria nell'API: `TOO_MANY_KMS_USERS`	Individuazione della descrizione: più di tre utenti utilizzano le chiavi di crittografia. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati cloudkms.googleapis.com/CryptoKey Correggi questo risultato Standard di conformità: PCI-DSS v3.2.1: 3.5.2 ISO-27001 v2013: A.9.2.3	Controlla i criteri di autorizzazione IAM per keyring, progetti e organizzazioni e recupera le entità con ruoli che consentono di criptare, decriptare o firmare i dati utilizzando le chiavi Cloud KMS: `roles/owner`, `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter`, `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer` e `roles/cloudkms.signerVerifier`. Input aggiuntivi: legge le versioni delle chiavi di crittografia dall'archiviazione, archiviando i risultati solo per le chiavi con versioni attive. Il rilevatore legge anche i criteri di autorizzazione IAM di keyring, progetti e organizzazioni dall'archiviazione Scansioni in tempo reale: sì

Logging dei risultati relativi alle vulnerabilità

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di logging e appartengono al tipo di rilevatore LOGGING_SCANNER.

**Tabella 12.** Scanner di logging
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Audit logging disabled` Nome categoria nell'API: `AUDIT_LOGGING_DISABLED`	Descrizione dei risultati: l'audit logging è stato disabilitato per questa risorsa. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Cartella cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 2.1 CIS GCP Foundation 1.1: 2.1 CIS GCP Foundation 1.2: 2.1 CIS GCP Foundation 1.3: 2.1 CIS GCP Foundation 2.0: 2.1 NIST 800-53 R4: AC-2, AU-2 NIST 800-53 R5: AU-6, AU-7 PCI-DSS v3.2.1: 10.1, 10.2 PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3 ISO-27001 v2013: A.12.4.1, A.16.1.7 ISO-27001 v2022: A.5.25 Cloud Controls Matrix 4: LOG-05 NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1 SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5 HIPAA: 164.308(a)(1)(ii), 164.312(b) CIS Controls 8.0: 8.11, 8.2	Controlla il criterio di autorizzazione IAM nei metadati delle risorse per verificare l'esistenza di un oggetto `auditLogConfigs`. Scansioni in tempo reale: sì
`Bucket logging disabled` Nome categoria nell'API: `BUCKET_LOGGING_DISABLED`	Individuazione della descrizione: è presente un bucket di archiviazione senza il logging abilitato. Livello di prezzo: Premium Asset supportati storage.googleapis.com/Bucket Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 5.3	Controlla se il campo `logBucket` nella proprietà `logging` del bucket è vuoto. Scansioni in tempo reale: sì
`Locked retention policy not set` Nome categoria nell'API: `LOCKED_RETENTION_POLICY_NOT_SET`	Individuazione della descrizione: non è impostato un criterio di conservazione bloccato per i log. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati storage.googleapis.com/Bucket Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 2.3 CIS GCP Foundation 1.2: 2.3 CIS GCP Foundation 1.3: 2.3 CIS GCP Foundation 2.0: 2.3 NIST 800-53 R4: AU-11 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 10.5 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.12.4.2, A.18.1.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla se il campo `isLocked` nella proprietà `retentionPolicy` del bucket è impostato su `true`. Input aggiuntivi: legge il sink di log (filtro di log e destinazione di log) per un bucket al fine di determinare se si tratta di un bucket di log Scansioni in tempo reale: sì
`Log not exported` Nome categoria nell'API: `LOG_NOT_EXPORTED`	Descrizione dei risultati: è presente una risorsa per cui non è configurato un sink di log appropriato. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 2.2 CIS GCP Foundation 1.1: 2.2 CIS GCP Foundation 1.2: 2.2 CIS GCP Foundation 1.3: 2.2 CIS GCP Foundation 2.0: 2.2 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2013: A.18.1.3 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.3	Recupera un oggetto `logSink` in un progetto, controllando che il campo `includeChildren` sia impostato su `true`, che il campo `destination` includa la località in cui scrivere i log e che il campo `filter` sia compilato. Input aggiuntivi: legge il sink di log (filtro di log e destinazione di log) per un bucket al fine di determinare se si tratta di un bucket di log Scansioni in tempo reale: sì, ma solo in caso di modifiche al progetto, non se l'esportazione dei log è configurata per la cartella o l'organizzazione.
`Object versioning disabled` Nome categoria nell'API: `OBJECT_VERSIONING_DISABLED`	Descrizione dei risultati: il controllo delle versioni degli oggetti non è abilitato in un bucket di archiviazione in cui sono configurati i sink. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati storage.googleapis.com/Bucket Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 2.3 NIST 800-53 R4: AU-11 PCI-DSS v3.2.1: 10.5 ISO-27001 v2013: A.12.4.2, A.18.1.3	Controlla se il campo `enabled` nella proprietà `versioning` del bucket è impostato su `true`. Asset esclusi dalle analisi: bucket Cloud Storage con un criterio di conservazione bloccato Input aggiuntivi: legge il sink di log (filtro di log e destinazione di log) per un bucket al fine di determinare se si tratta di un bucket di log Scansioni in tempo reale: sì, ma solo se il controllo delle versioni degli oggetti cambia, non se vengono creati bucket di log.

Monitoraggio dei risultati relativi alle vulnerabilità

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di monitoraggio e appartengono al tipo MONITORING_SCANNER. Tutte le proprietà dei risultati dei rilevatori di Monitoring includono:

Il RecommendedLogFilter da utilizzare per creare le metriche di log.
Il QualifiedLogMetricNames che copre le condizioni elencate nel filtro di log consigliato.
AlertPolicyFailureReasons che indica se nel progetto non sono stati creati criteri di avviso per nessuna delle metriche di log qualificate o se i criteri di avviso esistenti non hanno le impostazioni consigliate.

**Tabella 13.** Monitoraggio dello scanner
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Audit config not monitored` Nome categoria nell'API: `AUDIT_CONFIG_NOT_MONITORED`	Individuazione della descrizione: le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alla configurazione dell'audit. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 2.5 CIS GCP Foundation 1.1: 2.5 CIS GCP Foundation 1.2: 2.5 CIS GCP Foundation 1.3: 2.5 CIS GCP Foundation 2.0: 2.5 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Controlla se la proprietà `filter` della risorsa `LogsMetric` del progetto è impostata su `protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:` e, se `resource.type` è specificato, che il valore è `global`. Il rilevatore cerca anche una risorsa `alertPolicy` corrispondente, controllando che le proprietà `conditions` e `notificationChannels` siano configurate correttamente. Autorizzazioni IAM aggiuntive: `roles/monitoring.alertPolicyViewer` Input aggiuntivi: legge le metriche di log per il progetto dall'archiviazione. Legge i dati dell'account Google Cloud Observability da Google Cloud Observability, presentando i risultati solo per i progetti con account attivi Scansioni in tempo reale*: sì, ma solo in caso di modifiche al progetto, non su metriche di log e modifiche agli avvisi
`Bucket IAM not monitored` Nome categoria nell'API: `BUCKET_IAM_NOT_MONITORED`	Descrizione dei risultati: le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle autorizzazioni IAM di Cloud Storage. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 2.10 CIS GCP Foundation 1.1: 2.10 CIS GCP Foundation 1.2: 2.10 CIS GCP Foundation 1.3: 2.10 CIS GCP Foundation 2.0: 2.10 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Controlla se la proprietà `filter` della risorsa `LogsMetric` del progetto è impostata su `resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"`. Il rilevatore cerca anche una risorsa `alertPolicy` corrispondente, controllando che le proprietà `conditions` e `notificationChannels` siano configurate correttamente. Autorizzazioni IAM aggiuntive: `roles/monitoring.alertPolicyViewer` Input aggiuntivi: legge le metriche di log per il progetto dall'archiviazione. Legge i dati dell'account Google Cloud Observability da Google Cloud Observability, presentando i risultati solo per i progetti con account attivi Scansioni in tempo reale: sì, ma solo in caso di modifiche al progetto, non su metriche di log e modifiche agli avvisi
`Custom role not monitored` Nome categoria nell'API: `CUSTOM_ROLE_NOT_MONITORED`	Individuazione della descrizione: le metriche di log e gli avvisi non sono configurati per monitorare le modifiche ai ruoli personalizzati. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 2.6 CIS GCP Foundation 1.1: 2.6 CIS GCP Foundation 1.2: 2.6 CIS GCP Foundation 1.3: 2.6 CIS GCP Foundation 2.0: 2.6 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Controlla se la proprietà `filter` della risorsa `LogsMetric` del progetto è impostata su `resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")`. Il rilevatore cerca anche una risorsa `alertPolicy` corrispondente, controllando che le proprietà `conditions` e `notificationChannels` siano configurate correttamente. Autorizzazioni IAM aggiuntive: `roles/monitoring.alertPolicyViewer` Input aggiuntivi: legge le metriche di log per il progetto dall'archiviazione. Legge i dati dell'account Google Cloud Observability da Google Cloud Observability, presentando i risultati solo per i progetti con account attivi Scansioni in tempo reale: sì, ma solo in caso di modifiche al progetto, non su metriche di log e modifiche agli avvisi
`Firewall not monitored` Nome categoria nell'API: `FIREWALL_NOT_MONITORED`	Descrizione dei risultati: le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall di rete Virtual Private Cloud (VPC). Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 2.7 CIS GCP Foundation 1.1: 2.7 CIS GCP Foundation 1.2: 2.7 CIS GCP Foundation 1.3: 2.7 CIS GCP Foundation 2.0: 2.7 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Controlla se la proprietà `filter` della risorsa `LogsMetric` del progetto è impostata su `resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")`. Il rilevatore cerca anche una risorsa `alertPolicy` corrispondente, controllando che le proprietà `conditions` e `notificationChannels` siano configurate correttamente. Autorizzazioni IAM aggiuntive: `roles/monitoring.alertPolicyViewer` Input aggiuntivi: legge le metriche di log per il progetto dall'archiviazione. Legge i dati dell'account Google Cloud Observability da Google Cloud Observability, presentando i risultati solo per i progetti con account attivi Scansioni in tempo reale: sì, ma solo in caso di modifiche al progetto, non su metriche di log e modifiche agli avvisi
`Network not monitored` Nome categoria nell'API: `NETWORK_NOT_MONITORED`	Individuazione della descrizione: le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 2.9 CIS GCP Foundation 1.1: 2.9 CIS GCP Foundation 1.2: 2.9 CIS GCP Foundation 1.3: 2.9 CIS GCP Foundation 2.0: 2.9 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Controlla se la proprietà `filter` della risorsa `LogsMetric` del progetto è impostata su `resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")`. Il rilevatore cerca anche una risorsa `alertPolicy` corrispondente, controllando che le proprietà `conditions` e `notificationChannels` siano configurate correttamente. Autorizzazioni IAM aggiuntive: `roles/monitoring.alertPolicyViewer` Input aggiuntivi: legge le metriche di log per il progetto dall'archiviazione. Legge i dati dell'account Google Cloud Observability da Google Cloud Observability, presentando i risultati solo per i progetti con account attivi Scansioni in tempo reale: sì, ma solo in caso di modifiche al progetto, non su metriche di log e modifiche agli avvisi
`Owner not monitored` Nome categoria nell'API: `OWNER_NOT_MONITORED`	Individuazione della descrizione: le metriche dei log e gli avvisi non sono configurati per monitorare le assegnazioni o le modifiche alla proprietà del progetto. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 2.4 CIS GCP Foundation 1.1: 2.4 CIS GCP Foundation 1.2: 2.4 CIS GCP Foundation 1.3: 2.4 CIS GCP Foundation 2.0: 2.4 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2	Controlla se la proprietà `filter` della risorsa `LogsMetric` del progetto è impostata su `(protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")` e, se `resource.type` è specificato, che il valore è `global`. Il rilevatore cerca anche una risorsa `alertPolicy` corrispondente, controllando che le proprietà `conditions` e `notificationChannels` siano configurate correttamente. Autorizzazioni IAM aggiuntive: `roles/monitoring.alertPolicyViewer` Input aggiuntivi: legge le metriche di log per il progetto dall'archiviazione. Legge i dati dell'account Google Cloud Observability da Google Cloud Observability, presentando i risultati solo per i progetti con account attivi Scansioni in tempo reale: sì, ma solo in caso di modifiche al progetto, non su metriche di log e modifiche agli avvisi
`Route not monitored` Nome categoria nell'API: `ROUTE_NOT_MONITORED`	Individuazione della descrizione: le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Controlla se la proprietà `filter` della risorsa `LogsMetric` del progetto è impostata su `resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")`. Il rilevatore cerca anche una risorsa `alertPolicy` corrispondente, controllando che le proprietà `conditions` e `notificationChannels` siano configurate correttamente. Autorizzazioni IAM aggiuntive: `roles/monitoring.alertPolicyViewer` Input aggiuntivi: legge le metriche di log per il progetto dall'archiviazione. Legge i dati dell'account Google Cloud Observability da Google Cloud Observability, presentando i risultati solo per i progetti con account attivi Scansioni in tempo reale: sì, ma solo in caso di modifiche al progetto, non su metriche di log e modifiche agli avvisi
`SQL instance not monitored` `SQL_INSTANCE_NOT_MONITORED`	Descrizione dei risultati: le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla configurazione dell'istanza Cloud SQL. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati cloudresourcemanager.googleapis.com/Project Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	Controlla se la proprietà `filter` della risorsa `LogsMetric` del progetto è impostata su `protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"` e, se `resource.type` è specificato, che il valore è `global`. Il rilevatore cerca anche una risorsa `alertPolicy` corrispondente, controllando che le proprietà `conditions` e `notificationChannels` siano configurate correttamente. Autorizzazioni IAM aggiuntive: `roles/monitoring.alertPolicyViewer` Input aggiuntivi: legge le metriche di log per il progetto dall'archiviazione. Legge i dati dell'account Google Cloud Observability da Google Cloud Observability, presentando i risultati solo per i progetti con account attivi Scansioni in tempo reale: sì, ma solo in caso di modifiche al progetto, non su metriche di log e modifiche agli avvisi

Risultati dell'autenticazione a più fattori

Il rilevatore MFA_SCANNER identifica le vulnerabilità correlate all'autenticazione a più fattori per gli utenti.

**Tabella 14.** Scanner dell'autenticazione a più fattori
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`MFA not enforced` Nome categoria nell'API: `MFA_NOT_ENFORCED`	Alcuni utenti non utilizzano la verifica in due passaggi. Google Workspace consente di specificare un periodo di tolleranza per la registrazione per i nuovi utenti durante il quale devono registrarsi per la verifica in due passaggi. Questo rilevatore crea risultati per gli utenti durante il periodo di tolleranza per la registrazione. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium o Standard Asset supportati cloudresourcemanager.googleapis.com/Organization Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 1.2 CIS GCP Foundation 1.1: 1.2 CIS GCP Foundation 1.2: 1.2 CIS GCP Foundation 1.3: 1.2 CIS GCP Foundation 2.0: 1.2 NIST 800-53 R4: IA-2 PCI-DSS v3.2.1: 8.3 ISO-27001 v2013: A.9.4.2 ISO-27001 v2022: A.8.5	Valuta i criteri di gestione delle identità nelle organizzazioni e le impostazioni utente per gli account gestiti in Cloud Identity. Asset esclusi dalle analisi: unità organizzative a cui sono state concesse eccezioni al criterio Input aggiuntivi: legge i dati da Google Workspace Scansioni in tempo reale: no

Risultati relativi alle vulnerabilità di rete

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di rete di un'organizzazione e appartengono al tipo NETWORK_SCANNER.

**Tabella 15.** Scanner di rete
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Default network` Nome categoria nell'API: `DEFAULT_NETWORK`	Descrizione dei risultati: la rete predefinita esiste in un progetto. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Network Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 3.1 CIS GCP Foundation 1.1: 3.1 CIS GCP Foundation 1.2: 3.1 CIS GCP Foundation 1.3: 3.1 CIS GCP Foundation 2.0: 3.1 NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.9 Cloud Controls Matrix 4: IVS-04 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC5.2.2 CIS Controls 8.0: 4.2	Controlla se la proprietà `name` nei metadati di rete è impostata su `default` Asset esclusi dalle analisi: progetti in cui l'API Compute Engine è disabilitata e le risorse Compute Engine sono in stato bloccato Scansioni in tempo reale: sì
`DNS logging disabled` Nome categoria nell'API: `DNS_LOGGING_DISABLED`	Descrizione dei risultati: il logging DNS su una rete VPC non è abilitato. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Network dns.googleapis.com/Policy Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 2.12 CIS GCP Foundation 1.3: 2.12 CIS GCP Foundation 2.0: 2.12 NIST 800-53 R5: AU-6, AU-7 PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3 ISO-27001 v2022: A.5.25 Cloud Controls Matrix 4: LOG-05 NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1 SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5 HIPAA: 164.308(a)(1)(ii), 164.312(b) CIS Controls 8.0: 8.11, 8.2, 8.6	Controlla tutti gli elementi `policies` associati a una rete VPC tramite il campo `networks[].networkUrl` e cerca almeno un criterio con `enableLogging` impostato su `true`. Asset esclusi dalle analisi: progetti in cui l'API Compute Engine è disabilitata e le risorse Compute Engine sono in stato bloccato Scansioni in tempo reale: sì
`Legacy network` Nome categoria nell'API: `LEGACY_NETWORK`	Descrizione dei risultati: in un progetto è presente una rete legacy. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Network Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 3.2 CIS GCP Foundation 1.1: 3.2 CIS GCP Foundation 1.2: 3.2 CIS GCP Foundation 1.3: 3.2 CIS GCP Foundation 2.0: 3.2 NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.9 Cloud Controls Matrix 4: IVS-04 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC5.2.2 CIS Controls 8.0: 4.2	Controlla i metadati di rete per verificare l'esistenza della proprietà `IPv4Range`. Asset esclusi dalle analisi: progetti in cui l'API Compute Engine è disabilitata e le risorse Compute Engine sono in stato bloccato Scansioni in tempo reale: sì
`Load balancer logging disabled` Nome categoria nell'API: `LOAD_BALANCER_LOGGING_DISABLED`	Descrizione dei risultati: il logging è disabilitato per il bilanciatore del carico. Livello di prezzo: Premium Asset supportati compute.googleapis.com/BackendServices Correggi questo risultato Standard di conformità: CIS GCP Foundation 2.0: 2.16 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2	Controlla se la proprietà `enableLogging` del servizio di backend sul bilanciatore del carico è impostata su `true`. Scansioni in tempo reale: sì

Risultati relativi alle vulnerabilità dei criteri dell'organizzazione

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni dei vincoli Criterio dell'organizzazione e appartengono al tipo ORG_POLICY.

**Tabella 16.** Scanner dei criteri dell'organizzazione
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Org policy Confidential VM policy` Nome categoria nell'API: `ORG_POLICY_CONFIDENTIAL_VM_POLICY`	Descrizione dei risultati: una risorsa Compute Engine non è conforme al criterio dell'organizzazione `constraints/compute.restrictNonConfidentialComputing`. Per saperne di più su questo vincolo dei criteri dell'organizzazione, consulta Applicazione dei vincoli dei criteri dell'organizzazione in Confidential VM. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla se la proprietà `enableConfidentialCompute` di un'istanza Compute Engine è impostata su `true`. Asset esclusi dalle analisi: istanze GKE Autorizzazioni IAM aggiuntive: `permissions/orgpolicy.policy.get` Input aggiuntivi: legge il criterio dell'organizzazione effettivo dal servizio dei criteri dell'organizzazione Scansioni in tempo reale: no
`Org policy location restriction` Nome categoria nell'API: `ORG_POLICY_LOCATION_RESTRICTION`	Descrizione dei risultati: una risorsa Compute Engine non è conforme al vincolo `constraints/gcp.resourceLocations`. Per ulteriori informazioni su questo vincolo dei criteri dell'organizzazione, consulta Applicazione dei vincoli dei criteri dell'organizzazione. Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium Asset supportati Nella riga seguente, consulta Asset supportati per ORG_POLICY_LOCATION_RESTRICTION Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla la proprietà `listPolicy` nei metadati delle risorse supportate per un elenco di località consentite o negate. Autorizzazioni IAM aggiuntive: `permissions/orgpolicy.policy.get` Input aggiuntivi: legge il criterio dell'organizzazione effettivo dal servizio dei criteri dell'organizzazione Scansioni in tempo reale: no
Asset supportati per ORG_POLICY_LOCATION_RESTRICTION Compute Engine compute.googleapis.com/Autoscaler compute.googleapis.com/Address compute.googleapis.com/Commitment compute.googleapis.com/Disk compute.googleapis.com/ForwardingRule compute.googleapis.com/HealthCheck compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/InstanceGroup compute.googleapis.com/InstanceGroupManager compute.googleapis.com/InterconnectAttachment compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NodeGroup compute.googleapis.com/NodeTemplate compute.googleapis.com/PacketMirroring compute.googleapis.com/RegionBackendService compute.googleapis.com/RegionDisk compute.googleapis.com/ResourcePolicy compute.googleapis.com/Reservation compute.googleapis.com/Router compute.googleapis.com/Snapshot compute.googleapis.com/SslCertificate compute.googleapis.com/Subnetwork compute.googleapis.com/TargetHttpProxy compute.google.apis.com/TargetHttpsProxy compute.googleapis.com/TargetInstance compute.googleapis.com/TargetPool compute.googleapis.com/TargetVpnGateway compute.googleapis.com/UrlMap compute.googleapis.com/VpnGateway compute.googleapis.com/VpnTunnel GKE container.googleapis.com/Cluster container.googleapis.com/NodePool Cloud Storage storage.googleapis.com/Bucket Cloud KMS cloudkms.googleapis.com/CryptoKey¹ cloudkms.googleapis.com/CryptoKeyVersion¹ cloudkms.googleapis.com/ImportJob² cloudkms.googleapis.com/KeyRing¹ Dataproc dataproc.googleapis.com/Cluster BigQuery bigquery.googleapis.com/Dataset Dataflow dataflow.googleapis.com/Job³ Cloud SQL sqladmin.googleapis.com/Instance Cloud Composer composer.googleapis.com/Environment Logging logging.googleapis.com/LogBucket Pub/Sub pubsub.googleapis.com/Topic Vertex AI aiplatform.googleapis.com/BatchPredictionJob aiplatform.googleapis.com/CustomJob aiplatform.googleapis.com/DataLabelingJob aiplatform.googleapis.com/Dataset aiplatform.googleapis.com/Endpoint aiplatform.googleapis.com/HyperparameterTuningJob aiplatform.googleapis.com/Model aiplatform.googleapis.com/SpecialistPool aiplatform.googleapis.com/TrainingPipeline Artifact Registry artifactregistry.googleapis.com/Repository ¹ Poiché gli asset Cloud KMS non possono essere eliminati, l'asset non è considerato fuori regione se i relativi dati sono stati eliminati. ² Poiché i job di importazione di Cloud KMS hanno un ciclo di vita controllato e non possono essere terminati in anticipo, un ImportJob non viene considerato fuori regione se il job è scaduto e non può più essere utilizzato per importare le chiavi. ³ Poiché il ciclo di vita dei job Dataflow non può essere gestito, un job non viene considerato fuori regione dopo che ha raggiunto uno stato del terminale (arresto o svuotamento) in cui non può più essere utilizzato per elaborare i dati.

Risultati relativi alle vulnerabilità di Pub/Sub

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni Pub/Sub e appartengono al tipo PUBSUB_SCANNER.

**Tabella 17.** Scanner Pub/Sub
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Pubsub CMEK disabled` Nome categoria nell'API: `PUBSUB_CMEK_DISABLED`	Descrizione dei risultati: un argomento Pub/Sub non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium Asset supportati pubsub.googleapis.com/Topic Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla nel campo `kmsKeyName` il nome della risorsa della tua CMEK. Scansioni in tempo reale: sì

Risultati delle vulnerabilità SQL

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni Cloud SQL e appartengono al tipo SQL_SCANNER.

**Tabella 18.** Scanner SQL
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`AlloyDB auto backup disabled` Nome categoria nell'API: `ALLOYDB_AUTO_BACKUP_DISABLED`	Ricerca della descrizione: in un cluster AlloyDB per PostgreSQL non sono abilitati i backup automatici. Livello di prezzo: Premium Asset supportati alloydb.googleapis.com/Cluster Correggi questo risultato Standard di conformità: NIST 800-53 R4: CP-9 ISO-27001 v2013: A.12.3.1 NIST 800-53 R5: CP-10, CP-9 ISO-27001 v2022: A.8.13 NIST Cybersecurity Framework 1.0: PR-IP-4 HIPAA: 164.308(a)(7)(ii)	Controlla se la proprietà `automated_backup_policy.enabled` nei metadati di un cluster AlloyDB per PostgreSQL è impostata su `true`. Asset esclusi dalle analisi: cluster secondari AlloyDB per PostgreSQL Scansioni in tempo reale: sì
`AlloyDB backups disabled` Nome categoria nell'API: `ALLOYDB_BACKUPS_DISABLED`	Ricerca della descrizione: in un cluster AlloyDB per PostgreSQL non sono abilitati i backup. Livello di prezzo: Premium Asset supportati alloydb.googleapis.com/Cluster Correggi questo risultato Standard di conformità: NIST 800-53 R4: CP-9 ISO-27001 v2013: A.12.3.1 NIST 800-53 R5: CP-10, CP-9 ISO-27001 v2022: A.8.13 NIST Cybersecurity Framework 1.0: PR-IP-4 HIPAA: 164.308(a)(7)(ii)	Controlla se le proprietà `automated_backup_policy.enabled` o `continuous_backup_policy.enabled` nei metadati di un cluster AlloyDB per PostgreSQL sono impostate su `true`. Asset esclusi dalle analisi: cluster secondari AlloyDB per PostgreSQL Scansioni in tempo reale: sì
`AlloyDB CMEK disabled` Nome categoria nell'API: `ALLOYDB_CMEK_DISABLED`	Descrizione dei risultati: un cluster AlloyDB non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Livello di prezzo: Premium Asset supportati alloydb.googleapis.com/Cluster Correggi questo risultato Standard di conformità: NIST 800-53 R5: IA-5, SC-28 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	Controlla il campo `encryption_type` nei metadati del cluster per determinare se la CMEK è abilitata. Scansioni in tempo reale: sì
`AlloyDB log min error statement severity` Nome categoria nell'API: `ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Descrizione dei risultati: il flag di database `log_min_error_statement` per un'istanza AlloyDB per PostgreSQL non è impostato su `error` o su un altro valore consigliato. Livello di prezzo: Premium Asset supportati alloydb.googleapis.com/Instances Correggi questo risultato Standard di conformità: NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3	Per garantire una copertura adeguata dei tipi di messaggi nei log, genera un risultato se il campo `log_min_error_statement` della proprietà `databaseFlags` non è impostato su uno dei seguenti valori: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice`, `warning` o il valore predefinito `error`. Scansioni in tempo reale: sì
`AlloyDB log min messages` Nome categoria nell'API: `ALLOYDB_LOG_MIN_MESSAGES`	Descrizione dei risultati: il flag di database `log_min_messages` per un'istanza AlloyDB per PostgreSQL non è impostato su `warning` o su un altro valore consigliato. Livello di prezzo: Premium Asset supportati alloydb.googleapis.com/Instances Correggi questo risultato Standard di conformità: NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3	Per garantire una copertura adeguata dei tipi di messaggi nei log, genera un risultato se il campo `log_min_messages` della proprietà `databaseFlags` non è impostato su uno dei seguenti valori: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice` o il valore predefinito `warning`. Scansioni in tempo reale: sì
`AlloyDB log error verbosity` Nome categoria nell'API: `ALLOYDB_LOG_ERROR_VERBOSITY`	Descrizione dei risultati: il flag di database `log_error_verbosity` per un'istanza AlloyDB per PostgreSQL non è impostato su `default` o su un altro valore consigliato. Livello di prezzo: Premium Asset supportati alloydb.googleapis.com/Instances Correggi questo risultato Standard di conformità: NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3	Per garantire un'adeguata copertura dei tipi di messaggi nei log, genera un risultato se il campo `log_error_verbosity` della proprietà `databaseFlags` non è impostato su uno dei seguenti valori: `verbose` o il valore predefinito `default`. Scansioni in tempo reale: sì
`AlloyDB public IP` Nome categoria nell'API: `ALLOYDB_PUBLIC_IP`	Descrizione dei risultati: un'istanza di database AlloyDB per PostgreSQL ha un indirizzo IP pubblico. Livello di prezzo: Premium Asset supportati alloydb.googleapis.com/Instances Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3, 4.6	Controlla se il campo `enablePublicIp` della proprietà `instanceNetworkConfig` è configurato per consentire gli indirizzi IP pubblici. Scansioni in tempo reale: sì
`AlloyDB SSL not enforced` Nome categoria nell'API: `ALLOYDB_SSL_NOT_ENFORCED`	Descrizione dei risultati: un'istanza di database AlloyDB per PostgreSQL non richiede che tutte le connessioni in entrata utilizzino SSL. Livello di prezzo: Premium Asset supportati alloydb.googleapis.com/Instances Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 4.1 ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3	Controlla se la proprietà `sslMode` dell'istanza AlloyDB per PostgreSQL è impostata su `ENCRYPTED_ONLY`. Scansioni in tempo reale: sì
`Auto backup disabled` Nome categoria nell'API: `AUTO_BACKUP_DISABLED`	Descrizione dei risultati: in un database Cloud SQL non sono abilitati i backup automatici. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 6.7 CIS GCP Foundation 1.2: 6.7 CIS GCP Foundation 1.3: 6.7 CIS GCP Foundation 2.0: 6.7 NIST 800-53 R4: CP-9 NIST 800-53 R5: CP-10, CP-9 ISO-27001 v2013: A.12.3.1 ISO-27001 v2022: A.8.13 NIST Cybersecurity Framework 1.0: PR-IP-4 HIPAA: 164.308(a)(7)(ii) CIS Controls 8.0: 11.2	Controlla se la proprietà `backupConfiguration.enabled` dei dati Cloud SQL è impostata su `true`. Asset esclusi dalle analisi: repliche Cloud SQL Input aggiuntivi: legge i criteri di autorizzazione IAM per i predecessori dall'archiviazione degli asset di Security Health Analytics Scansioni in tempo reale: sì
`Public SQL instance` Nome categoria nell'API: `PUBLIC_SQL_INSTANCE`	Descrizione dei risultati: un'istanza di database Cloud SQL accetta connessioni da tutti gli indirizzi IP. Livello di prezzo: Premium o Standard Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 6.2 CIS GCP Foundation 1.1: 6.5 CIS GCP Foundation 1.2: 6.5 CIS GCP Foundation 1.3: 6.5 CIS GCP Foundation 2.0: 6.5 NIST 800-53 R4: CA-3, SC-7 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 1.2.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla se la proprietà `authorizedNetworks` delle istanze Cloud SQL è impostata su un singolo indirizzo IP o su un intervallo di indirizzi IP. Scansioni in tempo reale: sì
`SSL not enforced` Nome categoria nell'API: `SSL_NOT_ENFORCED`	Descrizione dei risultati: un'istanza di database Cloud SQL non richiede tutte le connessioni in entrata per utilizzare SSL. Livello di prezzo: Premium o Standard Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: NIST 800-53 R4: SC-7 PCI-DSS v3.2.1: 4.1 ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3	Controlla se la proprietà `sslMode` dell'istanza Cloud SQL è impostata su una modalità SSL approvata, `ENCRYPTED_ONLY` o `TRUSTED_CLIENT_CERTIFICATE_REQUIRED`. Scansioni in tempo reale: sì
`SQL CMEK disabled` Nome categoria nell'API: `SQL_CMEK_DISABLED`	Descrizione dei risultati: un'istanza di database SQL non è criptata con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla nel campo `kmsKeyName` nell'oggetto `diskEncryptionKey`, nei metadati dell'istanza, il nome della risorsa della tua CMEK. Scansioni in tempo reale: sì
`SQL contained database authentication` Nome categoria nell'API: `SQL_CONTAINED_DATABASE_AUTHENTICATION`	Descrizione dei risultati: il flag di database `contained database authentication` per un'istanza di Cloud SQL per SQL Server non è impostato su `off`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 6.3.2 CIS GCP Foundation 1.2: 6.3.7 CIS GCP Foundation 1.3: 6.3.7 CIS GCP Foundation 2.0: 6.3.7 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"contained database authentication"`, `"value"`: `"on"` o se è abilitata per impostazione predefinita. Scansioni in tempo reale: sì
`SQL cross DB ownership chaining` Nome categoria nell'API: `SQL_CROSS_DB_OWNERSHIP_CHAINING`	Descrizione dei risultati: il flag di database `cross_db_ownership_chaining` per un'istanza di Cloud SQL per SQL Server non è impostato su `off`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 6.3.1 CIS GCP Foundation 1.2: 6.3.2 CIS GCP Foundation 1.3: 6.3.2 CIS GCP Foundation 2.0: 6.3.2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"cross_db_ownership_chaining"`, `"value": "on"`. Scansioni in tempo reale: sì
`SQL external scripts enabled` Nome categoria nell'API: `SQL_EXTERNAL_SCRIPTS_ENABLED`	Descrizione dei risultati: il flag di database `external scripts enabled` per un'istanza di Cloud SQL per SQL Server non è impostato su `off`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.3.1 CIS GCP Foundation 1.3: 6.3.1 CIS GCP Foundation 2.0: 6.3.1 NIST 800-53 R5: CM-7, SI-7 PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3 NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3 SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4 CIS Controls 8.0: 2.7	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"external scripts enabled"`, `"value": "off"`. Scansioni in tempo reale: sì
`SQL local infile` Nome categoria nell'API: `SQL_LOCAL_INFILE`	Descrizione dei risultati: il flag di database `local_infile` per un'istanza Cloud SQL per MySQL non è impostato su `off`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 6.1.2 CIS GCP Foundation 1.2: 6.1.3 CIS GCP Foundation 1.3: 6.1.3 CIS GCP Foundation 2.0: 6.1.3 NIST 800-53 R5: CM-6, CM-7 PCI-DSS v4.0: 2.2.1 ISO-27001 v2022: A.8.8 NIST Cybersecurity Framework 1.0: PR-IP-1 CIS Controls 8.0: 16.7	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"local_infile"`, `"value": "on"`. Scansioni in tempo reale: sì
`SQL log checkpoints disabled` Nome categoria nell'API: `SQL_LOG_CHECKPOINTS_DISABLED`	Descrizione dei risultati: il flag di database `log_checkpoints` per un'istanza Cloud SQL per PostgreSQL non è impostato su `on`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 6.2.1 CIS GCP Foundation 1.2: 6.2.1	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"log_checkpoints"`, `"value": "on"`. Scansioni in tempo reale: sì
`SQL log connections disabled` Nome categoria nell'API: `SQL_LOG_CONNECTIONS_DISABLED`	Descrizione dei risultati: il flag di database `log_connections` per un'istanza Cloud SQL per PostgreSQL non è impostato su `on`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 6.2.2 CIS GCP Foundation 1.2: 6.2.3 CIS GCP Foundation 1.3: 6.2.2 CIS GCP Foundation 2.0: 6.2.2 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"log_connections"`, `"value": "on"`. Scansioni in tempo reale: sì
`SQL log disconnections disabled` Nome categoria nell'API: `SQL_LOG_DISCONNECTIONS_DISABLED`	Descrizione dei risultati: il flag di database `log_disconnections` per un'istanza Cloud SQL per PostgreSQL non è impostato su `on`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 6.2.3 CIS GCP Foundation 1.2: 6.2.4 CIS GCP Foundation 1.3: 6.2.3 CIS GCP Foundation 2.0: 6.2.3 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"log_disconnections"`, `"value": "on"`. Scansioni in tempo reale: sì
`SQL log duration disabled` Nome categoria nell'API: `SQL_LOG_DURATION_DISABLED`	Descrizione dei risultati: il flag di database `log_duration` per un'istanza Cloud SQL per PostgreSQL non è impostato su `on`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.2.5	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"log_duration"`, `"value": "on"`. Scansioni in tempo reale: sì
`SQL log error verbosity` Nome categoria nell'API: `SQL_LOG_ERROR_VERBOSITY`	Descrizione dei risultati: il flag di database `log_error_verbosity` per un'istanza Cloud SQL per PostgreSQL non è impostato su `default` o `verbose`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.2.2 CIS GCP Foundation 1.3: 6.2.1 CIS GCP Foundation 2.0: 6.2.1 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Controlla se la proprietà `databaseFlags` dei metadati dell'istanza per il campo `log_error_verbosity` è impostata su `default` o `verbose`. Scansioni in tempo reale: sì
`SQL log lock waits disabled` Nome categoria nell'API: `SQL_LOG_LOCK_WAITS_DISABLED`	Descrizione dei risultati: il flag di database `log_lock_waits` per un'istanza Cloud SQL per PostgreSQL non è impostato su `on`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 6.2.4 CIS GCP Foundation 1.2: 6.2.6	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"log_lock_waits"`, `"value": "on"`. Scansioni in tempo reale: sì
`SQL log min duration statement enabled` Nome categoria nell'API: `SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Descrizione dei risultati: il flag di database `log_min_duration_statement` per un'istanza Cloud SQL per PostgreSQL non è impostato su "-1". Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 6.2.7 CIS GCP Foundation 1.2: 6.2.16 CIS GCP Foundation 1.3: 6.2.8 CIS GCP Foundation 2.0: 6.2.7 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"log_min_duration_statement"`, `"value": "-1"`. Scansioni in tempo reale: sì
`SQL log min error statement` Nome categoria nell'API: `SQL_LOG_MIN_ERROR_STATEMENT`	Descrizione dei risultati: il flag di database `log_min_error_statement` per un'istanza Cloud SQL per PostgreSQL non è impostato in modo appropriato. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 6.2.5	Controlla se il campo `log_min_error_statement` della proprietà `databaseFlags` è impostato su uno dei seguenti valori: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice`, `warning` o il valore predefinito `error`. Scansioni in tempo reale: sì
`SQL log min error statement severity` Nome categoria nell'API: `SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Descrizione dei risultati: il flag di database `log_min_error_statement` per un'istanza Cloud SQL per PostgreSQL non ha un livello di gravità appropriato. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.2.14 CIS GCP Foundation 1.3: 6.2.7 CIS GCP Foundation 2.0: 6.2.6 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Controlla se il campo `log_min_error_statement` della proprietà `databaseFlags` è impostato su uno dei seguenti valori: `error`, `log`, `fatal` o `panic`. Scansioni in tempo reale: sì
`SQL log min messages` Nome categoria nell'API: `SQL_LOG_MIN_MESSAGES`	Descrizione dei risultati: il flag di database `log_min_messages` per un'istanza Cloud SQL per PostgreSQL non è impostato su `warning` o su un altro valore consigliato. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.2.13 CIS GCP Foundation 1.3: 6.2.6 CIS GCP Foundation 2.0: 6.2.5 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Per garantire una copertura adeguata dei tipi di messaggi nei log, genera un risultato se il campo `log_min_messages` della proprietà `databaseFlags` non è impostato su uno dei seguenti valori: `debug5`, `debug4`, `debug3`, `debug2`, `debug1`, `info`, `notice` o il valore predefinito `warning`. Scansioni in tempo reale: sì
`SQL log executor stats enabled` Nome categoria nell'API: `SQL_LOG_EXECUTOR_STATS_ENABLED`	Descrizione dei risultati: il flag di database `log_executor_stats` per un'istanza Cloud SQL per PostgreSQL non è impostato su `off`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.2.11	Controlla se la proprietà `databaseFlags` dei metadati dell'istanza per il campo `log_executor_stats` è impostata su `on`. Scansioni in tempo reale: sì
`SQL log hostname enabled` Nome categoria nell'API: `SQL_LOG_HOSTNAME_ENABLED`	Descrizione dei risultati: il flag di database `log_hostname` per un'istanza Cloud SQL per PostgreSQL non è impostato su `off`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.2.8	Controlla se la proprietà `databaseFlags` dei metadati dell'istanza per il campo `log_hostname` è impostata su `on`. Scansioni in tempo reale: sì
`SQL log parser stats enabled` Nome categoria nell'API: `SQL_LOG_PARSER_STATS_ENABLED`	Descrizione dei risultati: il flag di database `log_parser_stats` per un'istanza Cloud SQL per PostgreSQL non è impostato su `off`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.2.9	Controlla se la proprietà `databaseFlags` dei metadati dell'istanza per il campo `log_parser_stats` è impostata su `on`. Scansioni in tempo reale: sì
`SQL log planner stats enabled` Nome categoria nell'API: `SQL_LOG_PLANNER_STATS_ENABLED`	Descrizione dei risultati: il flag di database `log_planner_stats` per un'istanza Cloud SQL per PostgreSQL non è impostato su `off`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.2.10	Controlla se la proprietà `databaseFlags` dei metadati dell'istanza per il campo `log_planner_stats` è impostata su `on`. Scansioni in tempo reale: sì
`SQL log statement` Nome categoria nell'API: `SQL_LOG_STATEMENT`	Descrizione dei risultati: il flag di database `log_statement` per un'istanza Cloud SQL per PostgreSQL non è impostato su `ddl` (tutte le istruzioni di definizione dei dati). Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.2.7 CIS GCP Foundation 1.3: 6.2.4 CIS GCP Foundation 2.0: 6.2.4 NIST 800-53 R5: AU-12, AU-3, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5 ISO-27001 v2022: A.5.28, A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1 SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3 CIS Controls 8.0: 8.5	Controlla se la proprietà `databaseFlags` dei metadati dell'istanza per il campo `log_statement` è impostata su `ddl`. Scansioni in tempo reale: sì
`SQL log statement stats enabled` Nome categoria nell'API: `SQL_LOG_STATEMENT_STATS_ENABLED`	Descrizione dei risultati: il flag di database `log_statement_stats` per un'istanza Cloud SQL per PostgreSQL non è impostato su `off`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.2.12	Controlla se la proprietà `databaseFlags` dei metadati dell'istanza per il campo `log_statement_stats` è impostata su `on`. Scansioni in tempo reale: sì
`SQL log temp files` Nome categoria nell'API: `SQL_LOG_TEMP_FILES`	Descrizione dei risultati: il flag di database `log_temp_files` per un'istanza Cloud SQL per PostgreSQL non è impostato su "0". Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 6.2.6 CIS GCP Foundation 1.2: 6.2.15	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"log_temp_files"`, `"value": "0"`. Scansioni in tempo reale: sì
`SQL no root password` Nome categoria nell'API: `SQL_NO_ROOT_PASSWORD`	Descrizione dei risultati: un database Cloud SQL con un indirizzo IP pubblico non ha una password configurata per l'account root. Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 6.3 CIS GCP Foundation 1.1: 6.1.1 CIS GCP Foundation 1.2: 6.1.1 CIS GCP Foundation 1.3: 6.1.1 CIS GCP Foundation 2.0: 6.1.1 NIST 800-53 R4: AC-3 PCI-DSS v3.2.1: 2.1 ISO-27001 v2013: A.8.2.3, A.9.4.2 ISO-27001 v2022: A.8.5	Controlla se la proprietà `rootPassword` dell'account principale è vuota. Autorizzazioni IAM aggiuntive: `roles/cloudsql.client` Input aggiuntivi: istanze attive di query Scansioni in tempo reale: no
`SQL public IP` Nome categoria nell'API: `SQL_PUBLIC_IP`	Descrizione dei risultati: un database Cloud SQL ha un indirizzo IP pubblico. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.1: 6.6 CIS GCP Foundation 1.2: 6.6 CIS GCP Foundation 1.3: 6.6 CIS GCP Foundation 2.0: 6.2.9, 6.6 NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3, 4.6	Controlla se il tipo di indirizzo IP di un database Cloud SQL è impostato su `Primary`, per indicare che è pubblico. Scansioni in tempo reale: sì
`SQL remote access enabled` Nome categoria nell'API: `SQL_REMOTE_ACCESS_ENABLED`	Descrizione dei risultati: il flag di database `remote access` per un'istanza di Cloud SQL per SQL Server non è impostato su `off`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.3.5 CIS GCP Foundation 1.3: 6.3.5 CIS GCP Foundation 2.0: 6.3.5 NIST 800-53 R5: CM-6, CM-7 PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1 ISO-27001 v2022: A.8.9 SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4 CIS Controls 8.0: 4.8	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"remote access"`, `"value": "off"`. Scansioni in tempo reale: sì
`SQL skip show database disabled` Nome categoria nell'API: `SQL_SKIP_SHOW_DATABASE_DISABLED`	Descrizione dei risultati: il flag di database `skip_show_database` per un'istanza Cloud SQL per MySQL non è impostato su `on`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.1.2 CIS GCP Foundation 1.3: 6.1.2 CIS GCP Foundation 2.0: 6.1.2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"skip_show_database"`, `"value": "on"`. Scansioni in tempo reale: sì
`SQL trace flag 3625` Nome categoria nell'API: `SQL_TRACE_FLAG_3625`	Descrizione dei risultati: il flag di database `3625 (trace flag)` per un'istanza di Cloud SQL per SQL Server non è impostato su `on`. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.3.6 CIS GCP Foundation 2.0: 6.3.6 NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.1, A.8.9 Cloud Controls Matrix 4: CCC-01 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9 CIS Controls 8.0: 4.1	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"3625 (trace flag)"`, `"value": "on"`. Scansioni in tempo reale: sì
`SQL user connections configured` Nome categoria nell'API: `SQL_USER_CONNECTIONS_CONFIGURED`	Descrizione dei risultati: è configurato il flag di database `user connections` per un'istanza Cloud SQL per SQL Server. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.3.3 CIS GCP Foundation 1.3: 6.3.3 CIS GCP Foundation 2.0: 6.3.3 NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.1, A.8.9 Cloud Controls Matrix 4: CCC-01 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9 CIS Controls 8.0: 4.1	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"user connections"`, `"value": "0"`. Scansioni in tempo reale: sì
`SQL user options configured` Nome categoria nell'API: `SQL_USER_OPTIONS_CONFIGURED`	Descrizione dei risultati: è configurato il flag di database `user options` per un'istanza Cloud SQL per SQL Server. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 6.3.4 CIS GCP Foundation 1.3: 6.3.4 CIS GCP Foundation 2.0: 6.3.4 NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8 PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1 ISO-27001 v2022: A.8.1, A.8.9 Cloud Controls Matrix 4: CCC-01 NIST Cybersecurity Framework 1.0: PR-IP-1 SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9 CIS Controls 8.0: 4.1	Controlla la proprietà `databaseFlags` dei metadati dell'istanza per la coppia chiave-valore `"name"`: `"user options"`, `"value": ""` (vuoto). Scansioni in tempo reale: sì
`SQL weak root password` Nome categoria nell'API: `SQL_WEAK_ROOT_PASSWORD`	Descrizione dei risultati: un database Cloud SQL con un indirizzo IP pubblico ha anche una password debole configurata per l'account root. L'abilitazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium Asset supportati sqladmin.googleapis.com/Instance Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Confronta la password dell'account root del tuo database Cloud SQL con un elenco di password comuni. Autorizzazioni IAM aggiuntive: `roles/cloudsql.client` Input aggiuntivi: istanze attive di query Scansioni in tempo reale: no

Risultati relativi alle vulnerabilità dello spazio di archiviazione

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni dei bucket Cloud Storage e appartengono al tipo STORAGE_SCANNER.

**Tabella 19.** Scanner archiviazione
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Bucket CMEK disabled` Nome categoria nell'API: `BUCKET_CMEK_DISABLED`	Descrizione dei risultati: un bucket non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium Asset supportati storage.googleapis.com/Bucket Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla il campo `encryption` nei metadati del bucket per verificare il nome della risorsa della tua CMEK. Scansioni in tempo reale: sì
`Bucket policy only disabled` Nome categoria nell'API: `BUCKET_POLICY_ONLY_DISABLED`	Descrizione dei risultati: l'accesso uniforme a livello di bucket, precedentemente denominato Solo criterio bucket, non è configurato. Livello di prezzo: Premium Asset supportati storage.googleapis.com/Bucket Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.2: 5.2 CIS GCP Foundation 1.3: 5.2 CIS GCP Foundation 2.0: 5.2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla se la proprietà `uniformBucketLevelAccess` in un bucket è impostata su `"enabled":false` Scansioni in tempo reale: sì
`Public bucket ACL` Nome categoria nell'API: `PUBLIC_BUCKET_ACL`	Ricerca della descrizione: un bucket Cloud Storage è accessibile pubblicamente. Livello di prezzo: Premium o Standard Asset supportati storage.googleapis.com/Bucket Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 5.1 CIS GCP Foundation 1.1: 5.1 CIS GCP Foundation 1.2: 5.1 CIS GCP Foundation 1.3: 5.1 CIS GCP Foundation 2.0: 5.1 NIST 800-53 R4: AC-2 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 7.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.14.1.3, A.8.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	Controlla il criterio di autorizzazione IAM di un bucket per i ruoli pubblici `allUsers` o `allAuthenticatedUsers`. Scansioni in tempo reale: sì
`Public log bucket` Nome categoria nell'API: `PUBLIC_LOG_BUCKET`	Ricerca della descrizione: un bucket di archiviazione utilizzato come sink di log è accessibile pubblicamente. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium o Standard Asset supportati storage.googleapis.com/Bucket Correggi questo risultato Standard di conformità: NIST 800-53 R4: AU-9 PCI-DSS v3.2.1: 10.5 ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3	Controlla il criterio di autorizzazione IAM di un bucket per le entità `allUsers` o `allAuthenticatedUsers`, che concedono l'accesso pubblico. Input aggiuntivi: legge il sink di log (filtro di log e destinazione di log) per un bucket al fine di determinare se si tratta di un bucket di log Scansioni in tempo reale: sì, ma solo se il criterio IAM sul bucket viene modificato, non se viene modificato il sink di log.

Risultati di vulnerabilità della subnet

Le vulnerabilità di questo tipo di rilevatore si riferiscono tutte alle configurazioni della subnet di un'organizzazione e appartengono al tipo SUBNETWORK_SCANNER.

**Tabella 20.** Scanner delle subnet
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`Flow logs disabled` Nome categoria nell'API: `FLOW_LOGS_DISABLED`	Descrizione dei risultati: è presente una subnet VPC in cui i log di flusso sono disabilitati. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Subnetwork Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 3.9 CIS GCP Foundation 1.1: 3.8 CIS GCP Foundation 1.2: 3.8 NIST 800-53 R4: SI-4 PCI-DSS v3.2.1: 10.1, 10.2 ISO-27001 v2013: A.13.1.1	Controlla se la proprietà `enableFlowLogs` delle subnet Compute Engine manca o è impostata su `false`. Asset esclusi dalle analisi: accesso VPC serverless, subnet del bilanciatore del carico Scansioni in tempo reale: sì
`Flow logs settings not recommended` Nome categoria nell'API: `VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Descrizione dei risultati: per una subnet VPC, i log di flusso VPC sono disattivati o non sono configurati in base ai suggerimenti di CIS Benchmark 1.3. Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Subnetwork Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.3: 3.8 CIS GCP Foundation 2.0: 3.8 NIST 800-53 R5: SI-4 ISO-27001 v2022: A.8.15, A.8.16 Cloud Controls Matrix 4: IVS-03 NIST Cybersecurity Framework 1.0: DE-CM-1 SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4 CIS Controls 8.0: 13.6, 8.2	Controlla se la proprietà `enableFlowLogs` delle subnet VPC manca o è impostata su `false`. Se Log di flusso VPC è abilitato, controlla la proprietà `Aggregation Interval` impostata su 5 SEC, `Include metadata` impostata su `true` e `Sample rate` su `100%`. Asset esclusi dalle analisi: accesso VPC serverless, subnet del bilanciatore del carico Scansioni in tempo reale: sì
`Private Google access disabled` Nome categoria nell'API: `PRIVATE_GOOGLE_ACCESS_DISABLED`	Ricerca della descrizione: sono presenti subnet private senza accesso alle API pubbliche di Google. Livello di prezzo: Premium Asset supportati storage.googleapis.com/Bucket compute.googleapis.com/Subnetwork Correggi questo risultato Standard di conformità: CIS GCP Foundation 1.0: 3.8	Controlla se la proprietà `privateIpGoogleAccess` delle subnet Compute Engine è impostata su `false`. Scansioni in tempo reale: sì

Risultati AWS

**Tabella 21.** Risultati AWS
Rilevatore	Riepilogo	Impostazioni di scansione degli asset
`AWS Cloud Shell Full Access Restricted` Nome categoria nell'API: `ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED`	Descrizione dei risultati: AWS CloudShell è un modo pratico per eseguire i comandi dell'interfaccia a riga di comando sui servizi AWS; un criterio IAM gestito ("AWSCloudShellFullAccess") fornisce l'accesso completo a CloudShell, consentendo di caricare e scaricare file tra il sistema locale di un utente e l'ambiente CloudShell. Nell'ambiente CloudShell un utente dispone delle autorizzazioni sudo e può accedere a internet. Pertanto, è possibile installare (ad esempio) un software per il trasferimento di file e spostare i dati da CloudShell a server internet esterni. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: CIS AWS Foundation 2.0.0: 1.22	Assicurati che l'accesso ad AWSCloudShellFullAccess sia limitato Scansioni in tempo reale: no
`Access Keys Rotated Every 90 Days or Less` Nome categoria nell'API: `ACCESS_KEYS_ROTATED_90_DAYS_LESS`	Descrizione dei risultati: Le chiavi di accesso sono costituite da un ID chiave di accesso e da una chiave di accesso segreta, utilizzate per firmare le richieste programmatiche inoltrate ad AWS. Gli utenti di AWS devono disporre delle proprie chiavi di accesso per effettuare chiamate programmatiche ad AWS tramite AWS Command Line Interface (AWS CLI), strumenti per Windows PowerShell, SDK AWS o chiamate HTTP dirette utilizzando le API per i singoli servizi AWS. È consigliabile ruotare regolarmente tutte le chiavi di accesso. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-3(15) PCI-DSS v3.2.1: 8.2.4 CIS AWS Foundation 2.0.0: 1.14 CIS Controls 8.0: 5	Assicurati che le chiavi di accesso vengano ruotate ogni 90 giorni o meno Scansioni in tempo reale: no
`All Expired Ssl Tls Certificates Stored Aws Iam Removed` Nome categoria nell'API: `ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED`	Descrizione dei risultati: Per attivare le connessioni HTTPS al tuo sito web o alla tua applicazione in AWS, devi disporre di un certificato del server SSL/TLS. Puoi utilizzare ACM o IAM per archiviare i certificati server ed eseguirne il deployment. Utilizza IAM come gestore dei certificati solo se devi supportare le connessioni HTTPS in una regione non supportata da ACM. IAM cripta in modo sicuro le tue chiavi private e archivia la versione criptata nello spazio di archiviazione dei certificati SSL IAM. IAM supporta il deployment di certificati server in tutte le regioni, ma è necessario ottenere il certificato da un provider esterno per utilizzarlo con AWS. Non puoi caricare un certificato ACM su IAM. Inoltre, non puoi gestire i certificati dalla console IAM. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AU-11,CM-12,SI-12 PCI-DSS v4.0: 9.4.2 ISO-27001 v2022: A.5.10,A.5.9,A.8.1 Cloud Controls Matrix 4: DSP-01 NIST Cybersecurity Framework 1.0: PR-IP-6 CIS AWS Foundation 2.0.0: 1.19 CIS Controls 8.0: 3.1	Verifica che tutti i certificati SSL/TLS scaduti archiviati in AWS IAM vengano rimossi Scansioni in tempo reale: no
`Autoscaling Group Elb Healthcheck Required` Nome categoria nell'API: `AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED`	Descrizione dei risultati: Questo verifica se i gruppi di scalabilità automatica associati a un bilanciatore del carico utilizzano i controlli di integrità di Elastic Load Balancing. Ciò garantisce che il gruppo possa determinare l'integrità di un'istanza in base a test aggiuntivi forniti dal bilanciatore del carico. L'utilizzo dei controlli di integrità di Elastic Load Balancing può supportare la disponibilità delle applicazioni che utilizzano i gruppi di scalabilità automatica EC2. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-2	Controlla che tutti i gruppi di scalabilità automatica associati a un bilanciatore del carico utilizzino controlli di integrità Scansioni in tempo reale: no
`Auto Minor Version Upgrade Feature Enabled Rds Instances` Nome categoria nell'API: `AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES`	Descrizione dei risultati: Assicurati che per le istanze di database RDS sia abilitato il flag per l'upgrade automatico della versione secondaria per ricevere automaticamente upgrade secondari del motore durante il periodo di manutenzione specificato. Quindi, le istanze RDS possono ricevere le nuove funzionalità, correzioni di bug e patch di sicurezza per i motori del database. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: RA-5,RA-7,SI-2 ISO-27001 v2022: A.8.8 Cloud Controls Matrix 4: UEM-03 NIST Cybersecurity Framework 1.0: ID-RA-1 SOC2 v2017: CC7.1.1,CC7.1.2,CC7.1.3,CC7.1.4,CC7.1.5 CIS AWS Foundation 2.0.0: 2.3.2 CIS Controls 8.0: 7.4	Verifica che la funzionalità di upgrade automatico della versione secondaria sia abilitata per le istanze RDS Scansioni in tempo reale: no
`Aws Config Enabled All Regions` Nome categoria nell'API: `AWS_CONFIG_ENABLED_ALL_REGIONS`	Descrizione dei risultati: AWS Config è un servizio web che gestisce la configurazione delle risorse AWS supportate all'interno del tuo account e ti fornisce i file di log. Le informazioni registrate includono l'elemento di configurazione (risorsa AWS), le relazioni tra gli elementi di configurazione (risorse AWS), eventuali modifiche alla configurazione tra le risorse. È consigliabile abilitare AWS Config in tutte le regioni. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: CM-8,PM-5 PCI-DSS v4.0: 11.2.1,11.2.2,12.5.1,9.5.1,9.5.1.1 ISO-27001 v2022: A.5.9,A.8.8 Cloud Controls Matrix 4: UEM-04 NIST Cybersecurity Framework 1.0: ID-AM-1,PR-DS-3 SOC2 v2017: CC3.2.6,CC6.1.1 HIPAA: 164.310(d)(2)(iii) CIS AWS Foundation 2.0.0: 3.5 CIS Controls 8.0: 1.1	Assicurati che AWS Config sia abilitato in tutte le regioni Scansioni in tempo reale: no
`Aws Security Hub Enabled` Nome categoria nell'API: `AWS_SECURITY_HUB_ENABLED`	Descrizione dei risultati: Security Hub raccoglie dati sulla sicurezza da tutti gli account, servizi e prodotti dei partner di terze parti supportati da AWS e ti aiuta ad analizzare le tendenze della sicurezza e a identificare i problemi di sicurezza con la massima priorità. Quando si abilita Security Hub, inizia a utilizzare, aggregare, organizzare e dare priorità ai risultati dei servizi AWS abilitati, come Amazon GuardDuty, Amazon Inspector e Amazon Macie. Puoi anche abilitare le integrazioni con i prodotti di sicurezza dei partner AWS. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: CA-7 PCI-DSS v3.2.1: 11.5 CIS AWS Foundation 2.0.0: 4.16	Assicurati che AWS Security Hub sia abilitato Scansioni in tempo reale: no
`Cloudtrail Logs Encrypted Rest Using Kms Cmks` Nome categoria nell'API: `CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS`	Descrizione dei risultati: AWS CloudTrail è un servizio web che registra le chiamate API AWS per un account e rende questi log disponibili a utenti e risorse in base ai criteri IAM. AWS Key Management Service (KMS) è un servizio gestito che aiuta a creare e controllare le chiavi di crittografia utilizzate per criptare i dati degli account e utilizza moduli di sicurezza hardware (HSM) per proteggere la sicurezza delle chiavi di crittografia. I log di CloudTrail possono essere configurati in modo da sfruttare la crittografia lato server (SSE) e le chiavi master KMS create dal cliente (CMK) per proteggere ulteriormente i log di CloudTrail. Ti consigliamo di configurare CloudTrail in modo da utilizzare SSE-KMS. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: IA-5,SC-28,SI-7(6) PCI-DSS v3.2.1: 10.5.2 PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 3.7 CIS Controls 8.0: 3.11	Verifica che i log di CloudTrail siano crittografati at-rest mediante chiavi CMK di KMS Scansioni in tempo reale: no
`Cloudtrail Log File Validation Enabled` Nome categoria nell'API: `CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED`	Descrizione dei risultati: La convalida del file di log di CloudTrail crea un file digest con firma digitale contenente un hash di ogni log che CloudTrail scrive in S3. Questi file digest possono essere utilizzati per determinare se un file di log è stato modificato, eliminato o invariato dopo che CloudTrail ha consegnato il log. È consigliabile abilitare la convalida dei file su tutti i CloudTrail. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AU-6,AU-7,SI-7(7) PCI-DSS v3.2.1: 11.5 PCI-DSS v4.0: 10.4.1,10.4.1.1,10.4.2,10.4.3 ISO-27001 v2022: A.5.25 Cloud Controls Matrix 4: LOG-05 NIST Cybersecurity Framework 1.0: DE-AE-2,PR-PT-1,RS-AN-1 SOC2 v2017: CC4.1.1,CC4.1.2,CC4.1.3,CC4.1.4,CC4.1.5,CC4.1.6,CC4.1.7,CC4.1.8,CC7.3.1,CC7.3.2,CC7.3.3,CC7.3.4,CC7.3.5 HIPAA: 164.308(a)(1)(ii),164.312(b) CIS AWS Foundation 2.0.0: 3.2 CIS Controls 8.0: 8.11	Verifica che la convalida del file di log di CloudTrail sia abilitata Scansioni in tempo reale: no
`Cloudtrail Trails Integrated Cloudwatch Logs` Nome categoria nell'API: `CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS`	Descrizione dei risultati: AWS CloudTrail è un servizio web che registra le chiamate API AWS effettuate in un determinato account AWS. Le informazioni registrate includono l'identità del chiamante API, l'ora della chiamata API, l'indirizzo IP di origine del chiamante API, i parametri di richiesta e gli elementi di risposta restituiti dal servizio AWS. CloudTrail utilizza Amazon S3 per l'archiviazione e la distribuzione dei file di log, in modo che i file di log siano conservati in modo duraturo. Oltre ad acquisire i log di CloudTrail all'interno di un bucket S3 specificato per l'analisi a lungo termine, l'analisi in tempo reale può essere eseguita configurando CloudTrail per l'invio dei log ai log di CloudWatch. Per un trail abilitato in tutte le regioni in un account, CloudTrail invia i file di log da tutte quelle regioni a un gruppo di log di CloudWatch Logs. È consigliabile inviare i log di CloudTrail a CloudWatch Logs. Nota: lo scopo di questa raccomandazione è garantire che l'attività dell'account AWS venga acquisita, monitorata e attivata in modo appropriato. CloudWatch Logs è un modo nativo per ottenere questo risultato utilizzando i servizi AWS, ma non preclude l'uso di una soluzione alternativa. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AU-12,AU-3,AU-7 PCI-DSS v4.0: 10.2.1,10.2.1.2,10.2.1.5,9.4.5 ISO-27001 v2022: A.5.28,A.8.15 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: DE-AE-3,DE-CM-1 SOC2 v2017: CC5.2.3,CC7.2.1,CC7.2.2,CC7.2.3 CIS AWS Foundation 2.0.0: 3.4 CIS Controls 8.0: 8.5,8.9	Assicurati che i trail di CloudTrail siano integrati con i log di CloudWatch Scansioni in tempo reale: no
`Cloudwatch Alarm Action Check` Nome categoria nell'API: `CLOUDWATCH_ALARM_ACTION_CHECK`	Descrizione dei risultati: Questo controlla se Amazon Cloudwatch ha azioni definite quando un allarme passa tra gli stati "OK", "ALARM" e "INSUFFICIENT_DATA". La configurazione delle azioni per lo stato ALARM negli allarmi Amazon CloudWatch è molto importante per attivare una risposta immediata quando sono presenti soglie di violazione delle metriche monitorate. Garantisce una risoluzione rapida dei problemi, riduce i tempi di inattività e consente la correzione automatica, mantenendo l'integrità del sistema e prevenendo le interruzioni. Le sveglie hanno almeno un'azione. Gli allarmi hanno almeno un'azione quando passano allo stato "INSUFFICIENT_DATA" da qualsiasi altro stato. (Facoltativo) Le sveglie hanno almeno un'azione quando passano allo stato "OK" da qualsiasi altro stato. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-20	Controlla se per gli allarmi CloudWatch è abilitata almeno un'azione allarme, un'azione INSUFFICIENT_DATA o un'azione Ok. Scansioni in tempo reale: no
`Cloudwatch Log Group Encrypted` Nome categoria nell'API: `CLOUDWATCH_LOG_GROUP_ENCRYPTED`	Descrizione dei risultati: Questo controllo garantisce che i log di CloudWatch siano configurati con KMS. I dati del gruppo di log sono sempre criptati in CloudWatch Logs. Per impostazione predefinita, CloudWatch Logs utilizza la crittografia lato server per i dati di log at-rest. In alternativa, puoi utilizzare AWS Key Management Service per questa crittografia. In questo caso, la crittografia viene eseguita utilizzando una chiave KMS di AWS. La crittografia con AWS KMS viene abilitata a livello di gruppo di log associando una chiave KMS a un gruppo di log, quando lo crei o dopo che è stato creato. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: PCI-DSS v3.2.1: 3.4	Controlla che tutti i gruppi di log in Amazon CloudWatch Logs siano criptati con KMS Scansioni in tempo reale: no
`CloudTrail CloudWatch Logs Enabled` Nome categoria nell'API: `CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED`	Descrizione dei risultati: Questo controllo verifica se i trail di CloudTrail sono configurati in modo da inviare i log ai log di CloudWatch. Il controllo ha esito negativo se la proprietà CloudWatchLogsLogGroupArn della traccia è vuota. CloudTrail registra le chiamate API AWS effettuate in un determinato account. Le informazioni registrate includono: Identità del chiamante API L'ora della chiamata API L'indirizzo IP di origine del chiamante API I parametri della richiesta Gli elementi di risposta restituiti dal servizio AWS CloudTrail utilizza Amazon S3 per l'archiviazione e la distribuzione dei file di log. Puoi acquisire i log di CloudTrail in un bucket S3 specificato per un'analisi a lungo termine. Per eseguire l'analisi in tempo reale, puoi configurare CloudTrail in modo che invii i log a CloudWatch Logs. Per un trail abilitato in tutte le regioni di un account, CloudTrail invia i file di log di tutte queste regioni a un gruppo di log di log di CloudWatch. Security Hub consiglia di inviare i log di CloudTrail a CloudWatch Logs. Tieni presente che questo consiglio ha lo scopo di garantire che l'attività dell'account venga acquisita, monitorata e attivata in modo appropriato. Puoi utilizzare i log di CloudWatch per configurarlo con i servizi AWS. Questo consiglio non preclude l'uso di una soluzione diversa. L'invio dei log di CloudTrail a CloudWatch Logs facilita il logging delle attività storiche e in tempo reale in base a utente, API, risorsa e indirizzo IP. Puoi usare questo approccio per stabilire allarmi e notifiche per attività anomale o di sensibilità dell'account. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-20 PCI-DSS v3.2.1: 10.5.3	Controlla che tutti i trail di CloudTrail siano configurati in modo da inviare i log ad AWS CloudWatch Scansioni in tempo reale: no
`No AWS Credentials in CodeBuild Project Environment Variables` Nome categoria nell'API: `CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK`	Descrizione dei risultati: Questo controllo consente di verificare se il progetto contiene le variabili di ambiente `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY`. Le credenziali di autenticazione `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY` non devono mai essere memorizzate in testo in chiaro, poiché ciò potrebbe causare un’esposizione accidentale dei dati e accessi non autorizzati. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: IA-5,SA-3	Controlla che tutti i progetti contenenti le variabili env AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non siano in testo non crittografato Scansioni in tempo reale: no
`Codebuild Project Source Repo Url Check` Nome categoria nell'API: `CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK`	Descrizione dei risultati: Questo controllo consente di verificare se l'URL del repository di origine Bitbucket del progetto AWS CodeBuild contiene token di accesso personale o un nome utente e una password. Il controllo non va a buon fine se l'URL del repository di codice sorgente Bitbucket contiene token di accesso personale o un nome utente e una password. Le credenziali di accesso non devono essere archiviate o trasmesse in chiaro, né apparire nell'URL del repository di codice sorgente. Invece dei token di accesso personali o delle credenziali di accesso, devi accedere al tuo provider di origine in CodeBuild e modificare l'URL del repository di origine in modo che contenga solo il percorso alla posizione del repository Bitbucket. L'utilizzo di token di accesso personali o di credenziali di accesso potrebbe causare un'esposizione accidentale dei dati o accessi non autorizzati. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla che tutti i progetti che usano github o bitbucket come origine utilizzino oauth Scansioni in tempo reale: no
`Credentials Unused 45 Days Greater Disabled` Nome categoria nell'API: `CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED`	Descrizione dei risultati: Gli utenti AWS IAM possono accedere alle risorse AWS utilizzando diversi tipi di credenziali, come password o chiavi di accesso. È consigliabile disattivare o rimuovere tutte le credenziali che non sono state utilizzate per almeno 45 giorni. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-2 PCI-DSS v4.0: 8.3.7 NIST Cybersecurity Framework 1.0: PR-AC-1 CIS AWS Foundation 2.0.0: 1.12 CIS Controls 8.0: 5.3	Verifica che le credenziali non utilizzate per almeno 45 giorni siano disattivate Scansioni in tempo reale: no
`Default Security Group Vpc Restricts All Traffic` Nome categoria nell'API: `DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC`	Descrizione dei risultati: Un VPC include un gruppo di sicurezza predefinito le cui impostazioni iniziali negano tutto il traffico in entrata, consentono tutto il traffico in uscita e tutto il traffico tra le istanze assegnate al gruppo di sicurezza. Se non specifichi un gruppo di sicurezza quando avvii un'istanza, questa viene assegnata automaticamente a questo gruppo di sicurezza predefinito. I gruppi di sicurezza forniscono filtri stateful del traffico di rete in entrata/in uscita verso le risorse AWS. È consigliabile che il gruppo di sicurezza predefinito limiti tutto il traffico. Per il VPC predefinito in ogni regione deve essere aggiornato il proprio gruppo di sicurezza predefinito in modo da renderlo conforme. Tutti i VPC appena creati conterranno automaticamente un gruppo di sicurezza predefinito che dovrà essere corretto per rispettare questo suggerimento. NOTA:quando si implementa questo suggerimento, il logging del flusso VPC è indispensabile per determinare il privilegio minimo richiesto dall'accesso alle porte per il corretto funzionamento dei sistemi, poiché può registrare tutte le accettazioni e rifiuti di pacchetti che si verificano nei gruppi di sicurezza attuali. In questo modo si riduce drasticamente la principale barriera alla progettazione privilegio minimo, ovvero la scoperta del numero minimo di porte richieste dai sistemi nell’ambiente. Anche se il suggerimento sul logging del flusso VPC in questo benchmark non viene adottato come misura di sicurezza permanente, dovrebbe essere utilizzato durante qualsiasi periodo di rilevamento e progettazione per i gruppi di sicurezza con privilegi minimi. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 5.4 CIS Controls 8.0: 3.3	Assicurati che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico Scansioni in tempo reale: no
`Dms Replication Not Public` Nome categoria nell'API: `DMS_REPLICATION_NOT_PUBLIC`	Descrizione dei risultati: Controlla se le istanze di replica AWS DMS sono pubbliche. A questo scopo, esamina il valore del campo `PubliclyAccessible`. Un'istanza di replica privata ha un indirizzo IP privato a cui non puoi accedere all'esterno della rete di replica. Un'istanza di replica deve avere un indirizzo IP privato quando i database di origine e di destinazione si trovano nella stessa rete. La rete deve inoltre essere connessa al VPC dell'istanza di replica tramite VPN, AWS Direct Connect o peering VPC. Per saperne di più sulle istanze di replica pubbliche e private, vedi Istanze di replica pubbliche e private nella guida dell'utente di AWS Database Migration Service. Dovresti inoltre assicurarti che l'accesso alla configurazione dell'istanza AWS DMS sia limitato solo agli utenti autorizzati. Per farlo, limita le autorizzazioni IAM degli utenti per modificare le impostazioni e le risorse AWS DMS. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Controlla se le istanze di replica di AWS Database Migration Service sono pubbliche Scansioni in tempo reale: no
`Do Setup Access Keys During Initial User Setup All Iam Users Console` Nome categoria nell'API: `DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE`	Descrizione dei risultati: Quando crei un nuovo utente IAM, per impostazione predefinita la console AWS non è selezionata. Quando crei le credenziali utente IAM, devi determinare il tipo di accesso richiesto. Accesso programmatico: l'utente IAM potrebbe dover effettuare chiamate API, utilizzare AWS CLI o gli strumenti per Windows PowerShell. In questo caso, crea una chiave di accesso (ID chiave di accesso e una chiave di accesso segreta) per l'utente in questione. Accesso alla console di gestione AWS: se l'utente deve accedere alla console di gestione AWS, crea una password per l'utente. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 1.11 CIS Controls 8.0: 3.3,5.4	Non impostare le chiavi di accesso durante la configurazione utente iniziale per tutti gli utenti IAM che dispongono di una password della console Scansioni in tempo reale: no
`Dynamodb Autoscaling Enabled` Nome categoria nell'API: `DYNAMODB_AUTOSCALING_ENABLED`	Descrizione dei risultati: Questo determina se una tabella Amazon DynamoDB può scalare la capacità di lettura e scrittura in base alle esigenze. Questo controllo viene superato se la tabella utilizza la modalità di capacità on demand o la modalità con provisioning con scalabilità automatica configurata. La scalabilità della capacità in relazione alla domanda evita eccezioni di limitazione, che aiutano a mantenere la disponibilità delle applicazioni. Le tabelle DynamoDB in modalità di capacità on demand sono limitate solo dalle quote predefinite delle tabelle per la velocità effettiva DynamoDB. Per aumentare queste quote, puoi inviare un ticket di assistenza tramite AWS Support. Le tabelle DynamoDB in modalità con provisioning con scalabilità automatica regolano dinamicamente la capacità della velocità effettiva sottoposta a provisioning in risposta ai modelli di traffico. Per ulteriori informazioni sulla limitazione delle richieste DynamoDB, consulta Limitazione delle richieste e capacità di burst nella Guida per gli sviluppatori di Amazon DynamoDB. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-13(5)	Le tabelle DynamoDB devono scalare automaticamente la capacità in base alla domanda Scansioni in tempo reale: no
`Dynamodb In Backup Plan` Nome categoria nell'API: `DYNAMODB_IN_BACKUP_PLAN`	Descrizione dei risultati: Questo controllo valuta se una tabella DynamoDB è coperta da un piano di backup. Il controllo ha esito negativo se una tabella DynamoDB non è coperta da un piano di backup. Questo controllo valuta solo le tabelle DynamoDB in stato ATTIVO. I backup ti aiutano a recuperare più rapidamente da un incidente di sicurezza. Inoltre, rafforzano la resilienza dei tuoi sistemi. L'inclusione delle tabelle DynamoDB in un piano di backup consente di proteggere i dati da perdite o eliminazioni non intenzionali. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-13(5)	Le tabelle DynamoDB devono essere coperte da un piano di backup Scansioni in tempo reale: no
`Dynamodb Pitr Enabled` Nome categoria nell'API: `DYNAMODB_PITR_ENABLED`	Descrizione dei risultati: Il recupero point-in-time (PITR) è uno dei meccanismi disponibili per il backup delle tabelle DynamoDB. Un backup point-in-time viene conservato per 35 giorni. Se hai bisogno di una conservazione più lunga, consulta Configurare i backup pianificati per Amazon DynamoDB utilizzando AWS Backup nella documentazione di AWS. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-13(5)	Controlla che il recupero point-in-time (PITR) sia abilitato per tutte le tabelle AWS DynamoDB Scansioni in tempo reale: no
`Dynamodb Table Encrypted Kms` Nome categoria nell'API: `DYNAMODB_TABLE_ENCRYPTED_KMS`	Descrizione dei risultati: Controlla se tutte le tabelle DynamoDB sono criptate con una chiave KMS gestita dal cliente (non predefinita). Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-7(6)	Controlla che tutte le tabelle DynamoDB siano criptate con AWS Key Management Service (KMS) Scansioni in tempo reale: no
`Ebs Optimized Instance` Nome categoria nell'API: `EBS_OPTIMIZED_INSTANCE`	Descrizione dei risultati: Controlla se l'ottimizzazione EBS è abilitata per le istanze EC2 che possono essere ottimizzate per EBS Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-5(2)	Controlla che l'ottimizzazione EBS sia abilitata per tutte le istanze che la supportano Scansioni in tempo reale: no
`Ebs Snapshot Public Restorable Check` Nome categoria nell'API: `EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK`	Descrizione dei risultati: Controlla se gli snapshot di Amazon Elastic Block Store non sono pubblici. Il controllo non va a buon fine se gli snapshot Amazon EBS sono ripristinabili da chiunque. Gli snapshot EBS vengono utilizzati per eseguire il backup dei dati presenti sui volumi EBS su Amazon S3 in un momento specifico. Puoi utilizzare gli snapshot per ripristinare gli stati precedenti dei volumi EBS. Raramente è accettabile condividere uno snapshot con il pubblico. In genere la decisione di condividere pubblicamente uno snapshot è stata presa per errore o senza una completa comprensione delle implicazioni. Questo controllo aiuta a garantire che tutte le condivisioni di questo tipo siano state completamente pianificate e intenzionali. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Gli snapshot Amazon EBS non devono essere ripristinabili pubblicamente Scansioni in tempo reale: no
`Ebs Volume Encryption Enabled All Regions` Nome categoria nell'API: `EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS`	Descrizione dei risultati: Elastic Compute Cloud (EC2) supporta la crittografia at-rest quando si utilizza il servizio Elastic Block Store (EBS). Se questa opzione è disattivata per impostazione predefinita, è supportata la forzatura della crittografia durante la creazione del volume EBS. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: IA-5,SC-28,SI-7(6) PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 2.2.1 CIS Controls 8.0: 3.11	Assicurati che la crittografia del volume EBS sia abilitata in tutte le regioni Scansioni in tempo reale: no
`Ec2 Instances In Vpc` Nome categoria nell'API: `EC2_INSTANCES_IN_VPC`	Descrizione dei risultati: Amazon VPC offre più funzionalità di sicurezza rispetto a EC2 Classic. È consigliabile che tutti i nodi appartengano a un VPC Amazon. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-7	Verifica che tutte le istanze appartengano a un VPC Scansioni in tempo reale: no
`Ec2 Instance No Public Ip` Nome categoria nell'API: `EC2_INSTANCE_NO_PUBLIC_IP`	Descrizione dei risultati: Le istanze EC2 che hanno un indirizzo IP pubblico sono esposte a maggiore rischio di compromissione. Si consiglia di non configurare le istanze EC2 con un indirizzo IP pubblico. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Verifica che nessuna istanza abbia un IP pubblico Scansioni in tempo reale: no
`Ec2 Managedinstance Association Compliance Status Check` Nome categoria nell'API: `EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK`	Descrizione dei risultati: Un'associazione di State Manager è una configurazione che viene assegnata alle tue istanze gestite. La configurazione definisce lo stato da mantenere sulle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato e in esecuzione sulle tue istanze o che determinate porte devono essere chiuse. Le istanze EC2 associate ad AWS Systems Manager sono sotto la gestione di Systems Manager, il che semplifica l'applicazione delle patch, la correzione degli errori di configurazione e la risposta agli eventi di sicurezza. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: PCI-DSS v3.2.1: 6.2	Controlla lo stato di conformità dell'associazione dei gestori di sistema AWS Scansioni in tempo reale: no
`Ec2 Managedinstance Patch Compliance Status Check` Nome categoria nell'API: `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`	Descrizione dei risultati: Questo controllo verifica se lo stato di conformità dell'associazione con AWS Systems Manager è COMPLIANT o NON_COMPLIANT dopo l'esecuzione dell'associazione su un'istanza. Il controllo non va a buon fine se lo stato di conformità dell'associazione è NON_COMPLIANT. Un'associazione di State Manager è una configurazione che viene assegnata alle tue istanze gestite. La configurazione definisce lo stato da mantenere sulle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato e in esecuzione sulle tue istanze o che determinate porte devono essere chiuse. Dopo aver creato una o più associazioni di amministratori di stato, avrai immediatamente a disposizione le informazioni sullo stato di conformità. Puoi visualizzare lo stato di conformità nella console o in risposta ai comandi AWS CLI o alle azioni corrispondenti dell'API Systems Manager. Per le associazioni, la conformità della configurazione mostra lo stato di conformità (Conforme o Non conforme). Mostra anche il livello di gravità assegnato all'associazione, ad esempio Critica o Media. Per saperne di più sulla conformità dell'associazione di State Manager, consulta la sezione Informazioni sulla conformità dell'associazione di State Manager nella Guida dell'utente di AWS Systems Manager. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-2 PCI-DSS v3.2.1: 6.2	Controlla lo stato di conformità delle patch di AWS Systems Manager Scansioni in tempo reale: no
`Ec2 Metadata Service Allows Imdsv2` Nome categoria nell'API: `EC2_METADATA_SERVICE_ALLOWS_IMDSV2`	Descrizione dei risultati: Quando si abilita il servizio metadati sulle istanze AWS EC2, gli utenti hanno la possibilità di utilizzare Instance Metadata Service versione 1 (IMDSv1; metodo di richiesta/risposta) o Instance Metadata Service versione 2 (IMDSv2; metodo orientato alla sessione). Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-6 CIS AWS Foundation 2.0.0: 5.6	Verifica che il servizio di metadati EC2 consenta solo IMDSv2 Scansioni in tempo reale: no
`Ec2 Volume Inuse Check` Nome categoria nell'API: `EC2_VOLUME_INUSE_CHECK`	Descrizione dei risultati: Identificare e rimuovere i volumi Elastic Block Store (EBS) non collegati (non utilizzati) nell'account AWS per ridurre il costo della fattura mensile di AWS. L'eliminazione dei volumi EBS inutilizzati riduce anche il rischio che i dati riservati/sensibili escano dalla tua sede. Inoltre, questo controllo verifica anche se le istanze EC2 sono archiviate e configurate per eliminare i volumi alla terminazione. Per impostazione predefinita, le istanze EC2 sono configurate in modo da eliminare i dati in qualsiasi volume EBS associato all'istanza e il volume EBS principale dell'istanza. Tuttavia, tutti i volumi EBS non root collegati all'istanza, all'avvio o durante l'esecuzione, vengono mantenuti per impostazione predefinita dopo la terminazione. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: CM-2	Controlla se i volumi EBS sono collegati alle istanze EC2 e configurati per l'eliminazione al termine dell'istanza Scansioni in tempo reale: no
`Efs Encrypted Check` Nome categoria nell'API: `EFS_ENCRYPTED_CHECK`	Descrizione dei risultati: Amazon EFS supporta due forme di crittografia per i file system: la crittografia dei dati in transito e la crittografia at-rest. Questo verifica che tutti i file system EFS siano configurati con la crittografia at-rest in tutte le regioni abilitate nell'account. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-7(6) PCI-DSS v3.2.1: 8.2.1	Controlla se EFS è configurato per criptare i dati dei file utilizzando KMS Scansioni in tempo reale: no
`Efs In Backup Plan` Nome categoria nell'API: `EFS_IN_BACKUP_PLAN`	Descrizione dei risultati: Le best practice di Amazon consigliano di configurare i backup per Elastic File Systems (EFS). In questo modo viene controllato tutti gli EFS in ogni regione abilitata nel tuo account AWS per verificare la presenza di backup abilitati. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-13(5)	Controlla se i file system EFS sono inclusi nei piani di backup AWS Scansioni in tempo reale: no
`Elb Acm Certificate Required` Nome categoria nell'API: `ELB_ACM_CERTIFICATE_REQUIRED`	Descrizione dei risultati: Controlla se il bilanciatore del carico classico utilizza certificati HTTPS/SSL forniti da AWS Certificate Manager (ACM). Se il bilanciatore del carico classico configurato con il listener HTTPS/SSL non utilizza un certificato fornito da ACM, il controllo ha esito negativo. Per creare un certificato, puoi utilizzare ACM o uno strumento che supporta i protocolli SSL e TLS, come OpenSSL. Security Hub consiglia di utilizzare ACM per creare o importare certificati per il bilanciatore del carico. ACM si integra con i bilanciatori del carico classici per consentirti di eseguire il deployment del certificato sul tuo bilanciatore del carico. Inoltre, questi certificati dovrebbero essere rinnovati automaticamente. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-17,AC-4,IA-5,SC-12,SC-13,SC-23,SC-7,SC-8,SI-7,SI-7(6)	Controlla che tutti i bilanciatori del carico classici utilizzino i certificati SSL forniti da AWS Certificate Manager Scansioni in tempo reale: no
`Elb Deletion Protection Enabled` Nome categoria nell'API: `ELB_DELETION_PROTECTION_ENABLED`	Descrizione dei risultati: Controlla se per un bilanciatore del carico delle applicazioni è abilitata la protezione da eliminazione. Il controllo non va a buon fine se non è configurata la protezione da eliminazione. Abilita la protezione dall'eliminazione per proteggere il bilanciatore del carico delle applicazioni dall'eliminazione. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-5(2)	La protezione dall'eliminazione del bilanciatore del carico delle applicazioni deve essere abilitata Scansioni in tempo reale: no
`Elb Logging Enabled` Nome categoria nell'API: `ELB_LOGGING_ENABLED`	Descrizione dei risultati: Questo controllo consente di verificare se il bilanciatore del carico delle applicazioni e il bilanciatore del carico classico hanno la registrazione abilitata. Il controllo non riesce se access_logs.s3.enabled è falso. Elastic Load Balancing fornisce i log degli accessi che acquisiscono informazioni dettagliate sulle richieste inviate al bilanciatore del carico. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi di richiesta e le risposte del server. Puoi utilizzare questi log di accesso per analizzare i modelli di traffico e risolvere i problemi. Per saperne di più, vedi Accedere ai log per il bilanciatore del carico classico nella Guida dell'utente per i bilanciatori del carico classici. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-7(8) PCI-DSS v3.2.1: 10.3.1	Controlla se i bilanciatori del carico classici e delle applicazioni hanno la registrazione abilitata Scansioni in tempo reale: no
`Elb Tls Https Listeners Only` Nome categoria nell'API: `ELB_TLS_HTTPS_LISTENERS_ONLY`	Descrizione dei risultati: Questo controllo garantisce che tutti i bilanciatori del carico classici siano configurati in modo da utilizzare la comunicazione sicura. Un listener è un processo che verifica le richieste di connessione. È configurato con un protocollo e una porta per le connessioni front-end (dal client al bilanciatore del carico), nonché un protocollo e una porta per le connessioni back-end (dal bilanciatore del carico all'istanza). Per informazioni su porte, protocolli e configurazioni listener supportate da Elastic Load Balancing, vedi Listener per il bilanciatore del carico classico. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-7(6)	Controlla che tutti i bilanciatori del carico classici siano configurati con listener SSL o HTTPS Scansioni in tempo reale: no
`Encrypted Volumes` Nome categoria nell'API: `ENCRYPTED_VOLUMES`	Descrizione dei risultati: Controlla se i volumi EBS in stato collegato sono criptati. Per superare questo controllo, i volumi EBS devono essere in uso e criptati. Se il volume EBS non è collegato, non è soggetto a questo controllo. Per un ulteriore livello di sicurezza dei tuoi dati sensibili nei volumi EBS, devi attivare la crittografia at-rest EBS. La crittografia di Amazon EBS offre una soluzione di crittografia semplice per le tue risorse EBS, che non richiede la creazione, la manutenzione e la protezione della tua infrastruttura di gestione delle chiavi. Utilizza le chiavi KMS durante la creazione di volumi e snapshot criptati. Per ulteriori informazioni sulla crittografia Amazon EBS, vedi Crittografia Amazon EBS nella Guida dell'utente di Amazon EC2 per le istanze Linux. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-7(6) PCI-DSS v3.2.1: 8.2.1	I volumi Amazon EBS collegati devono essere criptati at-rest Scansioni in tempo reale: no
`Encryption At Rest Enabled Rds Instances` Nome categoria nell'API: `ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES`	Descrizione dei risultati: Le istanze DB criptate di Amazon RDS utilizzano l'algoritmo di crittografia AES-256 standard di settore per crittografare i dati sul server che ospita le tue istanze DB Amazon RDS. Dopo che i dati sono stati criptati, Amazon RDS gestisce l'autenticazione degli accessi e la loro decrittografia in modo trasparente, con un impatto minimo sulle prestazioni. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: IA-5,SC-28,SI-7(6) PCI-DSS v3.2.1: 8.2.1 PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 2.3.1 CIS Controls 8.0: 3.11	Verifica che la crittografia at-rest sia abilitata per le istanze RDS Scansioni in tempo reale: no
`Encryption Enabled Efs File Systems` Nome categoria nell'API: `ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS`	Descrizione dei risultati: I dati EFS devono essere criptati at-rest utilizzando AWS KMS (Key Management Service). Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: IA-5,SC-28 PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 2.4.1 CIS Controls 8.0: 3.11	Assicurati che la crittografia sia abilitata per i file system EFS Scansioni in tempo reale: no
`Iam Password Policy` Nome categoria nell'API: `IAM_PASSWORD_POLICY`	Descrizione dei risultati: AWS consente l'applicazione di criteri personalizzati per le password nel tuo account AWS per specificare i requisiti di complessità e i periodi di rotazione obbligatori per le password degli utenti IAM. Se non imposti un criterio personalizzato per le password, le password utente IAM devono soddisfare il criterio predefinito per le password AWS. Le best practice per la sicurezza di AWS consigliano i seguenti requisiti di complessità delle password: Richiedi almeno un carattere maiuscolo nella password. Richiedi almeno un carattere minuscolo nelle password. Richiede almeno un simbolo nelle password. Richiedi almeno un numero nelle password. Richiedi una lunghezza minima della password di almeno 14 caratteri. Richiedi almeno 24 password prima di consentire il riutilizzo. Richiedine almeno 90 prima della scadenza della password Questo controllo consente di verificare tutti i requisiti dei criteri relativi alle password specificati. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: IA-5(1) PCI-DSS v3.2.1: 8.2.5	Controlla se il criterio della password dell'account per gli utenti IAM soddisfa i requisiti specificati Scansioni in tempo reale: no
`Iam Password Policy Prevents Password Reuse` Nome categoria nell'API: `IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE`	Descrizione dei risultati: I criteri delle password IAM possono impedire il riutilizzo di una determinata password da parte dello stesso utente. È consigliabile che il criterio relativo alle password impedisca il riutilizzo delle password. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: IA-5 PCI-DSS v4.0: 2.2.2,8.3.5,8.3.6,8.6.3 ISO-27001 v2022: A.5.17 Cloud Controls Matrix 4: IAM-02 SOC2 v2017: CC6.1.3,CC6.1.8,CC6.1.9 CIS AWS Foundation 2.0.0: 1.9 CIS Controls 8.0: 5.2	Assicurati che il criterio della password IAM impedisca il riutilizzo della password Scansioni in tempo reale: no
`Iam Password Policy Requires Minimum Length 14 Greater` Nome categoria nell'API: `IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER`	Descrizione dei risultati: I criteri relativi alle password vengono in parte utilizzati per applicare i requisiti di complessità delle password. È possibile utilizzare i criteri delle password IAM per assicurarsi che le password siano lunghe almeno una determinata lunghezza. È consigliabile che il criterio per le password richieda una lunghezza minima della password di 14 caratteri. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: CIS AWS Foundation 2.0.0: 1.8 CIS Controls 8.0: 5,5.2	Assicurati che il criterio della password IAM richieda una lunghezza minima di 14 caratteri Scansioni in tempo reale: no
`Iam Policies Allow Full Administrative Privileges Attached` Nome categoria nell'API: `IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED`	Descrizione dei risultati: I criteri IAM consentono di concedere i privilegi a utenti, gruppi o ruoli. È consigliato e considerato un consiglio di sicurezza standard per concedere il privilegio minimo, ovvero concedere solo le autorizzazioni necessarie per eseguire un'attività. Stabilisci che cosa devono fare gli utenti, quindi crea criteri per loro che consentano loro di eseguire solo quelle attività, invece di concedere privilegi amministrativi completi. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 1.16 CIS Controls 8.0: 3.3	Assicurati che non siano collegati criteri IAM che consentono privilegi amministrativi completi ":" Scansioni in tempo reale: no
`Iam Users Receive Permissions Groups` Nome categoria nell'API: `IAM_USERS_RECEIVE_PERMISSIONS_GROUPS`	Descrizione dei risultati: Agli utenti IAM viene concesso l'accesso a servizi, funzioni e dati tramite criteri IAM. Esistono quattro modi per definire i criteri per un utente: 1) modificare direttamente il criterio utente, ovvero un criterio incorporato o utente; 2) collegare un criterio direttamente a un utente; 3) aggiungere l'utente a un gruppo IAM a cui è associato un criterio e 4) aggiungere l'utente a un gruppo IAM con un criterio in linea. È consigliata solo la terza implementazione. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-2,AC-5,AC-6,AU-9 PCI-DSS v4.0: 10.3.1,7.1.1,7.2.1,7.2.2,7.2.4,7.2.6,7.3.1,7.3.2 ISO-27001 v2022: A.5.15,A.5.3,A.8.2,A.8.3 Cloud Controls Matrix 4: IAM-04 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.3.1,CC6.3.2,CC6.3.3 HIPAA: 164.308(a)(3)(ii),164.308(a)(4)(i),164.308(a)(4)(ii) CIS AWS Foundation 2.0.0: 1.15 CIS Controls 8.0: 6.8	Assicurati che gli utenti IAM ricevano le autorizzazioni solo tramite i gruppi Scansioni in tempo reale: no
`Iam User Group Membership Check` Nome categoria nell'API: `IAM_USER_GROUP_MEMBERSHIP_CHECK`	Descrizione dei risultati: Per poter aderire alle best practice per la sicurezza IAM, gli utenti IAM dovrebbero sempre far parte di un gruppo IAM. Aggiungendo utenti a un gruppo, è possibile condividere i criteri tra tipi di utenti. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-6	Controlla se gli utenti IAM sono membri di almeno un gruppo IAM Scansioni in tempo reale: no
`Iam User Mfa Enabled` Nome categoria nell'API: `IAM_USER_MFA_ENABLED`	Descrizione dei risultati: L'autenticazione a più fattori (MFA) è una best practice che aggiunge un ulteriore livello di protezione oltre ai nomi utente e alle password. Con l'MFA, quando un utente accede alla console di gestione AWS, deve fornire un codice di autenticazione sensibile al tempo, fornito da un dispositivo virtuale o fisico registrato. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: PCI-DSS v3.2.1: 8.3.2	Controlla se per gli utenti IAM AWS è abilitata l'autenticazione a più fattori (MFA) Scansioni in tempo reale: no
`Iam User Unused Credentials Check` Nome categoria nell'API: `IAM_USER_UNUSED_CREDENTIALS_CHECK`	Descrizione dei risultati: Questo controllo consente di verificare la presenza di eventuali password IAM o chiavi di accesso attive che non sono state utilizzate negli ultimi 90 giorni. Le best practice consigliano di rimuovere, disattivare o ruotare tutte le credenziali non utilizzate per almeno 90 giorni. In questo modo si riduce la finestra di opportunità per l'utilizzo delle credenziali associate a un account compromesso o abbandonato. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-6 PCI-DSS v3.2.1: 8.1.4	Controlla che tutti gli utenti IAM AWS dispongano di password o chiavi di accesso attive che non sono state utilizzate in maxCredentialUsageAge giorni (il valore predefinito è 90) Scansioni in tempo reale: no
`Kms Cmk Not Scheduled For Deletion` Nome categoria nell'API: `KMS_CMK_NOT_SCHEDULED_FOR_DELETION`	Descrizione dei risultati: Questo controllo verifica se è stata pianificata l'eliminazione delle chiavi KMS. Se è stata pianificata l'eliminazione di una chiave KMS, il controllo non va a buon fine. Una volta eliminate, le chiavi KMS non possono essere recuperate. Inoltre, i dati criptati in una chiave KMS non sono recuperabili definitivamente se la chiave KMS viene eliminata. Se dati significativi sono stati criptati in una chiave KMS pianificata per l'eliminazione, valuta la possibilità di decriptarli o di ricriptare i dati con una nuova chiave KMS, a meno che tu non stia eseguendo intenzionalmente una cancellazione crittografica. Quando viene pianificata l'eliminazione di una chiave KMS, viene applicato un periodo di attesa obbligatorio per consentire al tempo di annullare l'eliminazione, nel caso in cui sia stata pianificata per errore. Il periodo di attesa predefinito è di 30 giorni, ma può essere ridotto a un massimo di 7 giorni quando è pianificata l'eliminazione della chiave KMS. Durante il periodo di attesa, l'eliminazione pianificata può essere annullata e la chiave KMS non verrà eliminata. Per ulteriori informazioni sull'eliminazione delle chiavi KMS, consulta la sezione sull'eliminazione delle chiavi KMS nella guida per gli sviluppatori di AWS Key Management Service. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-12	Controlla che non sia pianificata l'eliminazione di tutte le CMK Scansioni in tempo reale: no
`Lambda Concurrency Check` Nome categoria nell'API: `LAMBDA_CONCURRENCY_CHECK`	Descrizione dei risultati: Controlla se la funzione Lambda è configurata con un limite di esecuzione simultanea a livello di funzione. La regola è NON_COMPLIANT se la funzione Lambda non è configurata con un limite di esecuzione simultanea a livello di funzione. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla se le funzioni Lambda sono configurate con un limite di esecuzione simultanea a livello di funzione Scansioni in tempo reale: no
`Lambda Dlq Check` Nome categoria nell'API: `LAMBDA_DLQ_CHECK`	Descrizione dei risultati: Controlla se una funzione Lambda è configurata con una coda di messaggi non recapitabili. La regola è NON_COMPLIANT se la funzione Lambda non è configurata con una coda di messaggi non recapitabili. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-2	Controlla se le funzioni Lambda sono configurate con una coda di messaggi non recapitabili Scansioni in tempo reale: no
`Lambda Function Public Access Prohibited` Nome categoria nell'API: `LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED`	Descrizione dei risultati: Le best practice di AWS consigliano che la funzione Lambda non sia esposta pubblicamente. Questo criterio controlla tutte le funzioni Lambda di cui è stato eseguito il deployment in tutte le regioni abilitate all'interno del tuo account e avrà esito negativo se sono configurate per consentire l'accesso pubblico. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Controlla se il criterio collegato alla funzione Lambda vieta l'accesso pubblico Scansioni in tempo reale: no
`Lambda Inside Vpc` Nome categoria nell'API: `LAMBDA_INSIDE_VPC`	Descrizione dei risultati: Controlla se una funzione Lambda è in un VPC. Potresti vedere risultati non riusciti per le risorse Lambda@Edge. Non valuta la configurazione del routing della subnet VPC per determinare la connettività pubblica. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Controlla se esistono funzioni Lambda all'interno di un VPC Scansioni in tempo reale: no
`Mfa Delete Enabled S3 Buckets` Nome categoria nell'API: `MFA_DELETE_ENABLED_S3_BUCKETS`	Descrizione dei risultati: Una volta abilitata l'eliminazione MFA sul tuo bucket S3 sensibile e classificato, l'utente deve disporre di due forme di autenticazione. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 2.1.2 CIS Controls 8.0: 3.3,6.5	Assicurati che l'eliminazione con autenticazione MFA sia abilitata sui bucket S3 Scansioni in tempo reale: no
`Mfa Enabled Root User Account` Nome categoria nell'API: `MFA_ENABLED_ROOT_USER_ACCOUNT`	Descrizione dei risultati: L'account utente "root" è l'utente con più privilegi in un account AWS. L’autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione oltre a nome utente e password. Con l'autenticazione MFA abilitata, quando un utente accede a un sito web AWS, gli verrà richiesto di inserire nome utente e password, nonché un codice di autenticazione dal dispositivo AWS MFA. Nota:quando l'MFA virtuale viene utilizzata per gli account "root", è consigliabile utilizzare NON un dispositivo personale, ma un dispositivo mobile dedicato (tablet o smartphone) gestito in modo da essere sempre carico e protetto indipendentemente dai singoli dispositivi personali. ("MFA virtuale non personale") Questo riduce i rischi di perdere l'accesso all'MFA a causa di perdita del dispositivo, permuta del dispositivo o se il proprietario del dispositivo non è più impiegato presso l'azienda. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: IA-2,IA-2(8) PCI-DSS v3.2.1: 8.3.2 PCI-DSS v4.0: 2.2.7,8.4.1 ISO-27001 v2022: A.8.2 Cloud Controls Matrix 4: IAM-10 NIST Cybersecurity Framework 1.0: PR-AC-7 SOC2 v2017: CC6.1.3,CC6.1.4,CC6.1.6,CC6.1.7,CC6.1.8 CIS AWS Foundation 2.0.0: 1.5 CIS Controls 8.0: 6.5	Assicurati che l'autenticazione MFA sia abilitata per l'account utente "root" Scansioni in tempo reale: no
`Multi Factor Authentication Mfa Enabled All Iam Users Console` Nome categoria nell'API: `MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE`	Descrizione dei risultati: L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di garanzia dell'autenticazione oltre alle credenziali tradizionali. Con MFA abilitata, quando un utente accede alla console AWS gli verrà richiesto di inserire nome utente e password, nonché un codice di autenticazione dal token MFA fisico o virtuale. È consigliabile abilitare la MFA per tutti gli account che hanno una password per la console. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: IA-2,IA-2(8) PCI-DSS v3.2.1: 8.3.2 PCI-DSS v4.0: 2.2.7,8.4.1 ISO-27001 v2022: A.8.2 Cloud Controls Matrix 4: IAM-10 NIST Cybersecurity Framework 1.0: PR-AC-7 SOC2 v2017: CC6.1.3,CC6.1.4,CC6.1.6,CC6.1.7,CC6.1.8 CIS AWS Foundation 2.0.0: 1.10 CIS Controls 8.0: 6.5	Verifica che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM con una password per la console Scansioni in tempo reale: no
`No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration` Nome categoria nell'API: `NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION`	Descrizione dei risultati: La funzione Network Access Control List (NACL) fornisce un filtro stateless del traffico di rete in entrata e in uscita verso le risorse AWS. Si consiglia di non consentire l'accesso NACL in entrata senza restrizioni alle porte di amministrazione del server remoto, come SSH alla porta `22` e RDP alla porta `3389`, utilizzando i protocolli TDP (6), UDP (17) o TUTTI (-1) Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: CIS AWS Foundation 2.0.0: 5.1	Assicurati che nessun ACL di rete consenta il traffico in entrata da 0.0.0.0/0 alle porte di amministrazione del server remoto Scansioni in tempo reale: no
`No Root User Account Access Key Exists` Nome categoria nell'API: `NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS`	Descrizione dei risultati: L'account utente "root" è l'utente con più privilegi in un account AWS. Le chiavi di accesso AWS forniscono l'accesso programmatico a un determinato account AWS. È consigliabile eliminare tutte le chiavi di accesso associate all'account utente "root". Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2 PCI-DSS v3.2.1: 8.1.1 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 1.4 CIS Controls 8.0: 3.3,5.4	Assicurati che non esistano chiavi di accesso all'account utente "root" Scansioni in tempo reale: no
`No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration` Nome categoria nell'API: `NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION`	Descrizione dei risultati: I gruppi di sicurezza forniscono filtri stateful del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun gruppo di sicurezza consenta l'accesso senza restrizioni in entrata alle porte di amministrazione del server remoto, come SSH alla porta `22` e RDP alla porta `3389`, utilizzando i protocolli TDP (6), UDP (17) o TUTTI (-1) Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: CIS AWS Foundation 2.0.0: 5.2	Assicurati che nessun gruppo di sicurezza consenta il traffico in entrata da 0.0.0.0/0 alle porte di amministrazione del server remoto Scansioni in tempo reale: no
`No Security Groups Allow Ingress 0 Remote Server Administration` Nome categoria nell'API: `NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION`	Descrizione dei risultati: I gruppi di sicurezza forniscono filtri stateful del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun gruppo di sicurezza consenta l'accesso senza limitazioni in entrata alle porte di amministrazione del server remoto, come la porta SSH alla porta `22` e l'RDP alla porta `3389`. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: CIS AWS Foundation 2.0.0: 5.3	Assicurati che nessun gruppo di sicurezza consenta il traffico in entrata da ::/0 alle porte di amministrazione del server remoto Scansioni in tempo reale: no
`One Active Access Key Available Any Single Iam User` Nome categoria nell'API: `ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER`	Descrizione dei risultati: Le chiavi di accesso sono credenziali a lungo termine per un utente IAM o per l'utente "root" dell'account AWS. Puoi utilizzare le chiavi di accesso per firmare richieste di pubblicità programmatica in AWS CLI o API AWS (direttamente o tramite l'SDK AWS) Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: CIS AWS Foundation 2.0.0: 1.13 CIS Controls 8.0: 5	Assicurati che sia disponibile una sola chiave di accesso attiva per ogni singolo utente IAM Scansioni in tempo reale: no
`Public Access Given Rds Instance` Nome categoria nell'API: `PUBLIC_ACCESS_GIVEN_RDS_INSTANCE`	Descrizione dei risultati: Assicurati e verifica che le istanze del database RDS di cui è stato eseguito il provisioning nel tuo account AWS limitino l'accesso non autorizzato per ridurre al minimo i rischi per la sicurezza. Per limitare l'accesso a qualsiasi istanza di database RDS accessibile pubblicamente, devi disabilitare il flag "accessibile pubblicamente" del database e aggiornare il gruppo di sicurezza VPC associato all'istanza. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2,SC-7 PCI-DSS v3.2.1: 2.2.2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7 HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1) CIS AWS Foundation 2.0.0: 2.3.3 CIS Controls 8.0: 3.3	Verifica che l'accesso pubblico non sia concesso all'istanza RDS Scansioni in tempo reale: no
`Rds Enhanced Monitoring Enabled` Nome categoria nell'API: `RDS_ENHANCED_MONITORING_ENABLED`	Descrizione dei risultati: Il monitoraggio avanzato fornisce metriche in tempo reale sul sistema operativo su cui viene eseguita l'istanza RDS, tramite un agente installato nell'istanza. Per ulteriori dettagli, consulta l'articolo sul monitoraggio delle metriche del sistema operativo con il monitoraggio avanzato. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-2	Controlla se il monitoraggio avanzato è abilitato per tutte le istanze DB RDS Scansioni in tempo reale: no
`Rds Instance Deletion Protection Enabled` Nome categoria nell'API: `RDS_INSTANCE_DELETION_PROTECTION_ENABLED`	Descrizione dei risultati: L'abilitazione della protezione da eliminazione dell'istanza è un livello aggiuntivo di protezione contro l'eliminazione accidentale del database o quella da parte di un'entità non autorizzata. Quando la protezione dall'eliminazione è abilitata, un'istanza DB RDS non può essere eliminata. Per poter portare a termine una richiesta di eliminazione, è necessario disabilitare la protezione da eliminazione. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-13(5)	Controlla se per tutte le istanze RDS è abilitata la protezione da eliminazione Scansioni in tempo reale: no
`Rds In Backup Plan` Nome categoria nell'API: `RDS_IN_BACKUP_PLAN`	Descrizione dei risultati: Questo controllo valuta se le istanze DB Amazon RDS sono coperte da un piano di backup. Questo controllo non riesce se un'istanza DB RDS non è coperta da un piano di backup. AWS Backup è un servizio di backup completamente gestito che centralizza e automatizza il backup dei dati tra i servizi AWS. Con AWS Backup puoi creare criteri di backup chiamati piani di backup. Puoi utilizzare questi piani per definire i requisiti di backup, ad esempio la frequenza di backup dei dati e per quanto tempo conservare tali backup. L'inclusione di istanze DB RDS in un piano di backup consente di proteggere i dati da perdite o eliminazioni non intenzionali. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-13(5)	Le istanze DB di RDS devono essere coperte da un piano di backup Scansioni in tempo reale: no
`Rds Logging Enabled` Nome categoria nell'API: `RDS_LOGGING_ENABLED`	Descrizione dei risultati: Questo controlla se i seguenti log di Amazon RDS sono abilitati e inviati a CloudWatch. Nei database RDS devono essere abilitati i log pertinenti. Il logging del database fornisce record dettagliati delle richieste inviate a RDS. I log del database sono utili per le verifiche di sicurezza e accesso e per la diagnosi dei problemi di disponibilità. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-7(8)	Controlla se i log esportati sono abilitati per tutte le istanze DB RDS Scansioni in tempo reale: no
`Rds Multi Az Support` Nome categoria nell'API: `RDS_MULTI_AZ_SUPPORT`	Descrizione dei risultati: Le istanze DB RDS devono essere configurate per più zone di disponibilità (AZ). Ciò garantisce la disponibilità dei dati archiviati. Le implementazioni con più AZ consentono il failover automatico in caso di problemi con la disponibilità della zona di disponibilità e durante la normale manutenzione RDS. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-13(5)	Controlla se l'alta disponibilità è abilitata per tutte le istanze DB RDS Scansioni in tempo reale: no
`Redshift Cluster Configuration Check` Nome categoria nell'API: `REDSHIFT_CLUSTER_CONFIGURATION_CHECK`	Descrizione dei risultati: Questo verifica la presenza di elementi essenziali di un cluster Redshift: crittografia at-rest, logging e tipo di nodo. Questi elementi di configurazione sono importanti per la manutenzione di un cluster Redshift sicuro e osservabile. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-7(8) PCI-DSS v3.2.1: 10.3.1	Controlla che tutti i cluster Redshift dispongano di crittografia at-rest, logging e tipo di nodo. Scansioni in tempo reale: no
`Redshift Cluster Maintenancesettings Check` Nome categoria nell'API: `REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK`	Descrizione dei risultati: Gli upgrade automatici della versione principale vengono eseguiti in base al periodo di manutenzione Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-2	Controlla che tutti i cluster Redshift abbiano allowVersionUpgrade abilitato e preferredMaintenanceWindow e automatedSnapshotRetentionPeriod impostati Scansioni in tempo reale: no
`Redshift Cluster Public Access Check` Nome categoria nell'API: `REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK`	Descrizione dei risultati: L'attributo PubliclyAccessible della configurazione del cluster Amazon Redshift indica se il cluster è accessibile pubblicamente. Se il cluster è configurato con PubliclyAccessible impostato su true, si tratta di un'istanza per internet che ha un nome DNS risolvibile pubblicamente, che si risolve in un indirizzo IP pubblico. Quando il cluster non è accessibile pubblicamente, si tratta di un'istanza interna con un nome DNS che si risolve in un indirizzo IP privato. A meno che tu non voglia che il tuo cluster sia accessibile pubblicamente, il cluster non deve essere configurato con PubliclyAccessible impostato su true. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Controlla se i cluster Redshift sono accessibili pubblicamente Scansioni in tempo reale: no
`Restricted Common Ports` Nome categoria nell'API: `RESTRICTED_COMMON_PORTS`	Descrizione dei risultati: Questo controlla se il traffico in entrata senza restrizioni per i gruppi di sicurezza è accessibile alle porte specificate che presentano il rischio più elevato. Questo controllo non riesce se una delle regole in un gruppo di sicurezza consente il traffico in entrata da "0.0.0.0/0" o "::/0" per quelle porte. L'accesso senza restrizioni (0.0.0.0/0) aumenta le opportunità di attività dannose, come hacking, attacchi denial-of-service e perdita di dati. I gruppi di sicurezza forniscono filtri stateful del traffico di rete in entrata e in uscita verso le risorse AWS. Nessun gruppo di sicurezza deve consentire l'accesso senza limitazioni in entrata alle seguenti porte: 20, 21 (FTP) 22 (SSH) 23 (Telnet) 25 (SMTP) 110 (POP3) 135 (RPC) 143 (IMAP) 445 (CIFS) 1433, 1434 (MSSQL) 3000 (framework di sviluppo web Go, Node.js e Ruby) 3306 (mySQL) 3389 (RDP) 4333 (Ahsp) 5000 (framework di sviluppo web Python) 5432 (postgresql) 5500 (fcp-addr-srvr1) 5601 (Dashboard di OpenSearch) 8080 (proxy) 8088 (porta HTTP legacy) 8888 (porta HTTP alternativa) 9200 o 9300 (OpenSearch) Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio Scansioni in tempo reale: no
`Restricted Ssh` Nome categoria nell'API: `RESTRICTED_SSH`	Descrizione dei risultati: I gruppi di sicurezza forniscono filtri stateful del traffico di rete in entrata e in uscita verso le risorse AWS. CIS consiglia che nessun gruppo di sicurezza consenta l'accesso senza restrizioni in entrata alla porta 22. La rimozione della connettività senza limitazioni ai servizi della console remota, come SSH, riduce l'esposizione del server al rischio. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 alla porta 22 Scansioni in tempo reale: no
`Rotation Customer Created Cmks Enabled` Nome categoria nell'API: `ROTATION_CUSTOMER_CREATED_CMKS_ENABLED`	Descrizione dei risultati: Controlla se rotazione della chiave automatica è abilitata per ogni chiave e corrisponde all'ID della chiave della chiave AWS KMS creata dal cliente. La regola è NON_COMPLIANT se il ruolo Registratore AWS Config per una risorsa non dispone dell'autorizzazione kms:DescribeKey. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Assicurati che sia abilitata la rotazione per le chiavi CMK create dal cliente Scansioni in tempo reale: no
`Rotation Customer Created Symmetric Cmks Enabled` Nome categoria nell'API: `ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED`	Descrizione dei risultati: AWS Key Management Service (KMS) consente ai clienti di ruotare la chiave di supporto, ovvero il materiale della chiave archiviata nel KMS, collegata all'ID della chiave master del cliente (CMK) creata dal cliente. È la chiave di supporto utilizzata per eseguire operazioni crittografiche come crittografia e decriptazione. Al momento, la rotazione automatica delle chiavi conserva tutte le chiavi di backup precedenti, in modo che la decrittografia dei dati criptati possa avvenire in modo trasparente. Ti consigliamo di abilitare rotazione della chiave CMK per le chiavi simmetriche. La rotazione della chiave non può essere abilitata per qualsiasi CMK asimmetrica. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: IA-5,SC-28 PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10,CC6.1.3 HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 3.8 CIS Controls 8.0: 3.11	Assicurati che sia abilitata la rotazione per le chiavi CMK simmetriche create dal cliente Scansioni in tempo reale: no
`Routing Tables Vpc Peering Are Least Access` Nome categoria nell'API: `ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS`	Descrizione dei risultati: Controlla se le tabelle di route per il peering VPC sono configurate con l'entità con privilegi minimi. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Assicurati che le tabelle di routing per il peering VPC siano ad "accesso minimo" Scansioni in tempo reale: no
`S3 Account Level Public Access Blocks` Nome categoria nell'API: `S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS`	Descrizione dei risultati: L'accesso pubblico al blocco Amazon S3 fornisce impostazioni per punti di accesso, bucket e account per aiutarti a gestire l'accesso pubblico alle risorse Amazon S3. Per impostazione predefinita, i nuovi bucket, i punti di accesso e gli oggetti non consentono l'accesso pubblico. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.	Controlla se le impostazioni richieste di blocco dell'accesso pubblico S3 sono configurate a livello di account Scansioni in tempo reale: no
`S3 Bucket Logging Enabled` Nome categoria nell'API: `S3_BUCKET_LOGGING_ENABLED`	Descrizione dei risultati: La funzionalità di logging degli accessi al server AWS S3 registra le richieste di accesso ai bucket di archiviazione, il che è utile per i controlli di sicurezza. Per impostazione predefinita, il logging degli accessi al server non è abilitato per i bucket S3. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-7(8) PCI-DSS v3.2.1: 10.3.1	Controlla se il logging è abilitato su tutti i bucket S3 Scansioni in tempo reale: no
`S3 Bucket Policy Set Deny Http Requests` Nome categoria nell'API: `S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS`	Descrizione dei risultati: A livello di bucket Amazon S3, puoi configurare le autorizzazioni tramite un criterio del bucket, in modo che gli oggetti siano accessibili solo tramite HTTPS. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-17,IA-5,SC-8 PCI-DSS v4.0: 2.2.7,4.1.1,4.2.1,4.2.1.2,4.2.2,8.3.2 ISO-27001 v2022: A.5.14 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-2 SOC2 v2017: CC6.1.11,CC6.1.3,CC6.1.8,CC6.7.2 HIPAA: 164.312(a)(2)(iv),164.312(e)(1),164.312(e)(2)(i),164.312(e)(2)(ii) CIS AWS Foundation 2.0.0: 2.1.1 CIS Controls 8.0: 3.10	Assicurati che il criterio bucket S3 sia impostato in modo da rifiutare le richieste HTTP Scansioni in tempo reale: no
`S3 Bucket Replication Enabled` Nome categoria nell'API: `S3_BUCKET_REPLICATION_ENABLED`	Descrizione dei risultati: Questo controllo verifica se per un bucket Amazon S3 è abilitata la replica tra regioni. Se nel bucket non è abilitata la replica tra regioni o se è abilitata anche la replica nella stessa regione, il controllo ha esito negativo. La replica è la copia automatica e asincrona degli oggetti nei bucket nella stessa regione AWS o in regioni AWS diverse. La replica copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine a un bucket o bucket di destinazione. Le best practice di AWS consigliano la replica per i bucket di origine e di destinazione di proprietà dello stesso account AWS. Oltre alla disponibilità, devi prendere in considerazione altre impostazioni di protezione dei sistemi. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-13(5)	Controlla se la replica tra regioni di bucket S3 è abilitata Scansioni in tempo reale: no
`S3 Bucket Server Side Encryption Enabled` Nome categoria nell'API: `S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED`	Descrizione dei risultati: Questo verifica che nel bucket S3 sia abilitata la crittografia predefinita di Amazon S3 o che il criterio del bucket S3 neghi esplicitamente le richieste di tipo put senza crittografia lato server. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-7(6) PCI-DSS v3.2.1: 10.5.2	Assicurati che tutti i bucket S3 utilizzino la crittografia at-rest Scansioni in tempo reale: no
`S3 Bucket Versioning Enabled` Nome categoria nell'API: `S3_BUCKET_VERSIONING_ENABLED`	Descrizione dei risultati: Amazon S3 consente di mantenere più varianti di un oggetto nello stesso bucket e può aiutarti a recuperare più facilmente da azioni utente indesiderate e da errori dell'applicazione. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-13(5) PCI-DSS v3.2.1: 10.5.5	Controlla che il controllo delle versioni sia abilitato per tutti i bucket S3 Scansioni in tempo reale: no
`S3 Default Encryption Kms` Nome categoria nell'API: `S3_DEFAULT_ENCRYPTION_KMS`	Descrizione dei risultati: Controlla se i bucket Amazon S3 sono criptati con AWS Key Management Service (KMS AWS) Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-7(6)	Controlla che tutti i bucket siano criptati con KMS Scansioni in tempo reale: no
`Sagemaker Notebook Instance Kms Key Configured` Nome categoria nell'API: `SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED`	Descrizione dei risultati: Controlla se è configurata una chiave AWS Key Management Service (KMS AWS) per un'istanza di blocco note Amazon SageMaker. La regola è NON_COMPLIANT se non si specifica "KmsKeyId" per l'istanza di blocco note SageMaker. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-7(6) PCI-DSS v3.2.1: 8.2.1	Controlla che tutte le istanze di blocco note SageMaker siano configurate per utilizzare KMS Scansioni in tempo reale: no
`Sagemaker Notebook No Direct Internet Access` Nome categoria nell'API: `SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS`	Descrizione dei risultati: Controlla se l'accesso diretto a internet è disabilitato per un'istanza di blocco note SageMaker. A questo scopo, controlla se il campo DirectInternetAccess è disabilitato per l'istanza del blocco note. Se configuri l'istanza SageMaker senza un VPC, per impostazione predefinita l'accesso diretto a internet è abilitato sull'istanza. Devi configurare l'istanza con un VPC e cambiare l'impostazione predefinita in Disabilita: accedi a internet tramite un VPC. Per addestrare o ospitare modelli da un blocco note, devi disporre dell'accesso a internet. Per abilitare l'accesso a internet, assicurati che il tuo VPC abbia un gateway NAT e che il tuo gruppo di sicurezza consenta le connessioni in uscita. Per saperne di più su come connettere un'istanza di blocco note alle risorse in un VPC, consulta Connettere un'istanza di blocco note alle risorse in un VPC nella Guida per gli sviluppatori di Amazon SageMaker. Devi inoltre assicurarti che l'accesso alla configurazione SageMaker sia limitato solo agli utenti autorizzati. Limita le autorizzazioni IAM degli utenti per modificare le impostazioni e le risorse di SageMaker. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Controlla se l'accesso diretto a internet è disabilitato per tutte le istanze di blocco note Amazon SageMaker Scansioni in tempo reale: no
`Secretsmanager Rotation Enabled Check` Nome categoria nell'API: `SECRETSMANAGER_ROTATION_ENABLED_CHECK`	Descrizione dei risultati: Controlla se un secret archiviato in AWS Secrets Manager è configurato con la rotazione automatica. Se il secret non è configurato con la rotazione automatica, il controllo non va a buon fine. Se fornisci un valore personalizzato per il parametro `maximumAllowedRotationFrequency`, il controllo passa solo se il secret viene ruotato automaticamente entro il periodo di tempo specificato. Secret Manager ti aiuta a migliorare la security posture della tua organizzazione. I secret includono credenziali del database, password e chiavi API di terze parti. Puoi utilizzare Secret Manager per archiviare i secret a livello centrale, criptarli automaticamente, controllare l'accesso ai secret e ruotare i secret in modo sicuro e automatico. Secret Manager può ruotare i secret. Puoi utilizzare la rotazione per sostituire i secret a lungo termine con quelli a breve termine. La rotazione dei tuoi secret limita il tempo per cui un utente non autorizzato può utilizzare un secret compromesso. Per questo motivo, dovresti ruotare frequentemente i secret. Per saperne di più sulla rotazione, consulta la sezione Rotazione dei secret di AWS Secrets Manager nella guida dell'utente di AWS Secrets Manager. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: AC-3(15) PCI-DSS v3.2.1: 8.2.4	Controlla che la rotazione sia abilitata per tutti i secret di AWS Secrets Manager Scansioni in tempo reale: no
`Sns Encrypted Kms` Nome categoria nell'API: `SNS_ENCRYPTED_KMS`	Descrizione dei risultati: Controlla se un argomento SNS è criptato at-rest utilizzando KMS AWS. I controlli hanno esito negativo se un argomento SNS non utilizza una chiave KMS per la crittografia lato server (SSE). La crittografia dei dati at-rest riduce il rischio che un utente non autenticato in AWS possa accedere ai dati archiviati sul disco. Inoltre, aggiunge un altro insieme di controlli dell'accesso per limitare la possibilità da parte di utenti non autorizzati di accedere ai dati. Ad esempio, sono necessarie le autorizzazioni API per decriptare i dati prima che possano essere letti. Gli argomenti SNS dovrebbero essere criptati at-rest per un ulteriore livello di sicurezza. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-7(6)	Controlla che tutti gli argomenti SNS siano criptati con KMS Scansioni in tempo reale: no
`Vpc Default Security Group Closed` Nome categoria nell'API: `VPC_DEFAULT_SECURITY_GROUP_CLOSED`	Descrizione dei risultati: Questo controllo verifica se il gruppo di sicurezza predefinito di un VPC consente il traffico in entrata o in uscita. Se il gruppo di sicurezza consente il traffico in entrata o in uscita, il controllo non va a buon fine. Le regole per il gruppo di sicurezza predefinito consentono tutto il traffico in uscita e in entrata proveniente dalle interfacce di rete (e dalle relative istanze associate) assegnate allo stesso gruppo di sicurezza. Ti consigliamo di non utilizzare il gruppo di sicurezza predefinito. Poiché il gruppo di sicurezza predefinito non può essere eliminato, devi modificare l'impostazione delle regole del gruppo di sicurezza predefinito in modo da limitare il traffico in entrata e in uscita. In questo modo si evita il traffico indesiderato se il gruppo di sicurezza predefinito viene configurato per errore per risorse come le istanze EC2. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Assicurati che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico Scansioni in tempo reale: no
`Vpc Flow Logging Enabled All Vpcs` Nome categoria nell'API: `VPC_FLOW_LOGGING_ENABLED_ALL_VPCS`	Descrizione dei risultati: I log di flusso VPC sono una funzionalità che consente di acquisire informazioni sul traffico IP da e verso le interfacce di rete nel VPC. Dopo aver creato un log di flusso, puoi visualizzare e recuperare i relativi dati in Amazon CloudWatch Logs. È consigliabile abilitare i log di flusso VPC per i pacchetti "Rifiutati" per i VPC. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-4,SI-7(8) PCI-DSS v3.2.1: 10.3.1 ISO-27001 v2022: A.8.15,A.8.16 Cloud Controls Matrix 4: IVS-03 NIST Cybersecurity Framework 1.0: DE-CM-1 SOC2 v2017: CC7.2.1,CC7.2.2,CC7.2.3,CC7.2.4 CIS AWS Foundation 2.0.0: 3.9 CIS Controls 8.0: 13.6,8.2	Assicurati che il logging dei flussi VPC sia abilitato in tutti i VPC Scansioni in tempo reale: no
`Vpc Sg Open Only To Authorized Ports` Nome categoria nell'API: `VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS`	Descrizione dei risultati: Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente il traffico in entrata senza restrizioni da porte non autorizzate. Lo stato del controllo è determinato come segue: Se utilizzi il valore predefinito per AuthorizedTcpPorts, il controllo non riesce se il gruppo di sicurezza consente il traffico in ingresso illimitato da qualsiasi porta diversa dalle porte 80 e 443. Se fornisci valori personalizzati per AuthorizedTcpPorts o AuthorizedUdpPorts, il controllo non riesce se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta non in elenco. Se non viene utilizzato alcun parametro, il controllo non va a buon fine per qualsiasi gruppo di sicurezza con una regola per il traffico in entrata senza restrizioni. I gruppi di sicurezza forniscono filtri stateful del traffico di rete in entrata e in uscita verso AWS. Le regole del gruppo di sicurezza devono seguire l'entità dell'accesso con privilegi minimi. L'accesso senza restrizioni (indirizzo IP con suffisso /0) aumenta le opportunità di attività dannose come hacking, attacchi denial of service e perdita di dati. A meno che una porta non sia specificamente consentita, deve negare l'accesso illimitato. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SC-7 PCI-DSS v3.2.1: 2.2.2	Controlla che tutti i gruppi di sicurezza con 0.0.0.0/0 di qualsiasi VPC consentano solo traffico TCP/UDP in entrata specifico Scansioni in tempo reale: no
`Both VPC VPN Tunnels Up` Nome categoria nell'API: `VPC_VPN_2_TUNNELS_UP`	Descrizione dei risultati: Un tunnel VPN è un collegamento criptato in cui i dati possono passare dalla rete del cliente a o da AWS all'interno di una connessione VPN Site-to-Site AWS. Ogni connessione VPN include due tunnel VPN che puoi utilizzare contemporaneamente per garantire l'alta disponibilità. È importante assicurarsi che entrambi i tunnel VPN siano configurati per una connessione VPN è importante per confermare una connessione sicura e ad alta disponibilità tra un VPC AWS e la rete remota. Questo controllo verifica che entrambi i tunnel VPN forniti dalla VPN Site-to-Site AWS siano in stato attivo. Il controllo non riesce se uno o entrambi i tunnel sono in stato ATTIVO. Livello di prezzo: Enterprise Correggi questo risultato Standard di conformità: NIST 800-53 R5: SI-13(5)	Controlla che entrambi i tunnel VPN forniti da AWS tra siti siano in stato attivo Scansioni in tempo reale: no

Risultati di Web Security Scanner

Le scansioni personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le scansioni personalizzate delle applicazioni di cui è stato eseguito il deployment con URL e IP pubblici che non sono protetti da un firewall.

**Tabella 21.** Risultati di Web Security Scanner
Categoria	Descrizione del risultato	OWASP 2017 - Top 10	Top 10 della classifica OWASP 2021
`Accessible Git repository` Nome categoria nell'API: `ACCESSIBLE_GIT_REPOSITORY`	Un repository Git è esposto pubblicamente. Per risolvere il risultato, rimuovi l'accesso pubblico involontario al repository GIT. Livello di prezzo: Standard Correggi questo risultato	A5	A01
`Accessible SVN repository` Nome categoria nell'API: `ACCESSIBLE_SVN_REPOSITORY`	Un repository SVN è esposto pubblicamente. Per risolvere il problema, rimuovi l'accesso pubblico non intenzionale al repository SVN. Livello di prezzo: Standard Correggi questo risultato	A5	A01
`Cacheable password input` Nome categoria nell'API: `CACHEABLE_PASSWORD_INPUT`	Le password inserite nell'applicazione web possono essere memorizzate nella cache di una normale cache del browser anziché un archivio sicuro delle password. Livello di prezzo: Premium Correggi questo risultato	A3	A04
`Clear text password` Nome categoria nell'API: `CLEAR_TEXT_PASSWORD`	Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere questo risultato, cripta la password trasmessa sulla rete. Livello di prezzo: Standard Correggi questo risultato	A3	A02
`Insecure allow origin ends with validation` Nome categoria nell'API: `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta `Origin` prima di rifletterlo all'interno dell'intestazione della risposta `Access-Control-Allow-Origin`. Per risolvere questo risultato, verifica che il dominio principale previsto faccia parte del valore dell'intestazione `Origin` prima di rifletterlo nell'intestazione della risposta `Access-Control-Allow-Origin`. Per i caratteri jolly del sottodominio, anteponi il punto al dominio principale, ad esempio `.endsWith(".google.com")`. Livello di prezzo: Premium Correggi questo risultato	A5	A01
`Insecure allow origin starts with validation` Nome categoria nell'API: `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta `Origin` prima di rifletterlo all'interno dell'intestazione della risposta `Access-Control-Allow-Origin`. Per risolvere questo risultato, verifica che il dominio previsto corrisponda completamente al valore dell'intestazione `Origin` prima di rifletterlo nell'intestazione della risposta `Access-Control-Allow-Origin`, ad esempio `.equals(".google.com")`. Livello di prezzo: Premium Correggi questo risultato	A5	A01
`Invalid content type` Nome categoria nell'API: `INVALID_CONTENT_TYPE`	È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. Per risolvere questo risultato, imposta l'intestazione HTTP `X-Content-Type-Options` con il valore corretto. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Invalid header` Nome categoria nell'API: `INVALID_HEADER`	Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Mismatching security header values` Nome categoria nell'API: `MISMATCHING_SECURITY_HEADER_VALUES`	Un'intestazione di sicurezza presenta valori duplicati e non corrispondenti, che generano un comportamento indefinito. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Misspelled security header name` Nome categoria nell'API: `MISSPELLED_SECURITY_HEADER_NAME`	Un'intestazione di sicurezza contiene errori di ortografia e viene ignorata. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Mixed content` Nome categoria nell'API: `MIXED_CONTENT`	Le risorse vengono pubblicate tramite HTTP su una pagina HTTPS. Per risolvere questo problema, assicurati che tutte le risorse siano pubblicate tramite HTTPS. Livello di prezzo: Standard Correggi questo risultato	A6	A05
`Outdated library` Nome categoria nell'API: `OUTDATED_LIBRARY`	È stata rilevata una libreria con vulnerabilità note. Per risolvere il problema, esegui l'upgrade delle librerie a una versione più recente. Livello di prezzo: Standard Correggi questo risultato	A9	A06
`Server side request forgery` Nome categoria nell'API: `SERVER_SIDE_REQUEST_FORGERY`	È stata rilevata una vulnerabilità di falsificazione delle richieste lato server (SSRF, Server-Side Request Forgery). Per risolvere questo risultato, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può inviare richieste. Livello di prezzo: Standard Correggi questo risultato	Non applicabile	A10
`Session ID leak` Nome categoria nell'API: `SESSION_ID_LEAK`	Quando effettui una richiesta interdominio, l'applicazione web include l'identificatore della sessione dell'utente nell'intestazione della richiesta `Referer`. Questa vulnerabilità consente al dominio ricevente di accedere all'identificatore della sessione, che può essere utilizzato per impersonare o identificare in modo univoco l'utente. Livello di prezzo: Premium Correggi questo risultato	A2	A07
`SQL injection` Nome categoria nell'API: `SQL_INJECTION`	È stata rilevata una potenziale vulnerabilità di SQL injection. Per risolvere questo risultato, utilizza le query con parametri per evitare che gli input dell'utente influenzino la struttura della query SQL. Livello di prezzo: Premium Correggi questo risultato	A1	A03
`Struts insecure deserialization` Nome categoria nell'API: `STRUTS_INSECURE_DESERIALIZATION`	È stato rilevato l'utilizzo di una versione vulnerabile di Apache Struts. Per risolvere questo risultato, esegui l'upgrade di Apache Struts alla versione più recente. Livello di prezzo: Premium Correggi questo risultato	A8	A08
`XSS` Nome categoria nell'API: `XSS`	Un campo di questa applicazione web è vulnerabile a un attacco cross-site scripting (XSS). Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente. Livello di prezzo: Standard Correggi questo risultato	A7	A03
`XSS angular callback` Nome categoria nell'API: `XSS_ANGULAR_CALLBACK`	Una stringa fornita dall'utente non presenta caratteri di escape e AngularJS può interporla. Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente e gestiti dal framework Angular. Livello di prezzo: Standard Correggi questo risultato	A7	A03
`XSS error` Nome categoria nell'API: `XSS_ERROR`	Un campo di questa applicazione web è vulnerabile a un attacco di cross-site scripting. Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente. Livello di prezzo: Standard Correggi questo risultato	A7	A03
`XXE reflected file leakage` Nome categoria nell'API: `XXE_REFLECTED_FILE_LEAKAGE`	È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare la perdita di un file da parte dell'applicazione web sull'host. Per risolvere questo risultato, configura i parser XML in modo da non consentire le entità esterne. Livello di prezzo: Premium Correggi questo risultato	A4	A05
`Prototype pollution` Nome categoria nell'API: `PROTOTYPE_POLLUTION`	L'applicazione è vulnerabile all'inquinamento del prototipo. Questa vulnerabilità si verifica quando alle proprietà dell'oggetto `Object.prototype` possono essere assegnati valori controllabili da utenti malintenzionati. Si presume che i valori inseriti in questi prototipi si traducano universalmente in cross-site scripting o in vulnerabilità simili lato client, nonché in bug logici. Livello di prezzo: Standard Correggi questo risultato	A1	A03

Risultati e correzioni di Rapid Vulnerability Detection

Rapid Vulnerability Detection rileva credenziali deboli, installazioni software incomplete e altre vulnerabilità critiche che hanno un'alta probabilità di essere sfruttate. Il servizio rileva automaticamente endpoint di rete, protocolli, porte aperte, servizi di rete e pacchetti software installati.

I risultati di Rapid Vulnerability Detection sono avvisi precoci delle vulnerabilità che consigliamo di correggere immediatamente.

Per informazioni su come visualizzare i risultati, consulta Revisione dei risultati in Security Command Center.

Le scansioni di Rapid Vulnerability Detection identificano i seguenti tipi di risultati.

**Tabella 23.** Risultati e correzioni di Rapid Vulnerability Detection
Tipo di risultato	Descrizione del risultato	I primi 10 codici OWASP
Risultati credenziali inefficaci
`WEAK_CREDENTIALS`	Questo rilevatore verifica la presenza di credenziali inefficaci utilizzando metodi di forza bruta ncrack. Servizi supportati: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Soluzione : applica norme efficaci per le password. Crea credenziali univoche per i tuoi servizi ed evita di utilizzare parole del dizionario nelle password.	2021 A07 2017 A2
Risultati dell'interfaccia esposta
`ELASTICSEARCH_API_EXPOSED`	L' API Elasticsearch consente ai chiamanti di eseguire query arbitrarie, scrivere ed eseguire script e aggiungere ulteriori documenti al servizio. Soluzione: rimuovi l'accesso diretto all'API Elasticsearch instradando le richieste tramite un'applicazione o limita l'accesso ai soli utenti autenticati. Per maggiori informazioni, vedi Impostazioni di sicurezza in Elasticsearch.	2021 A01, A05 2017 A5, A6
`EXPOSED_GRAFANA_ENDPOINT`	In Grafana dalla versione 8.0.0 alla versione 8.3.0, gli utenti possono accedere senza autenticazione a un endpoint che presenta una vulnerabilità directory attraversal che consente a qualsiasi utente di leggere qualsiasi file sul server senza autenticazione. Per maggiori informazioni, vedi CVE-2021-43798. Soluzione: applica la patch a Grafana o esegui l'upgrade di Grafana a una versione successiva. Per maggiori informazioni, consulta Traversal del percorso di Grafana.	2021 A06, A07 2017 A2, A9
`EXPOSED_METABASE`	Le versioni dalla x.40.0 alla x.40.4 di Metabase, una piattaforma di analisi dei dati open source, presentano una vulnerabilità nel supporto delle mappe GeoJSON personalizzate e una potenziale inclusione di file locali, comprese le variabili di ambiente. Gli URL non sono stati convalidati prima del caricamento. Per maggiori informazioni, vedi CVE-2021-41277. Soluzione:esegui l'upgrade alle versioni di manutenzione 0.40.5 o successive o 1.40.5 o successive. Per maggiori informazioni, consulta La convalida degli URL GeoJSON può esporre file del server e variabili di ambiente a utenti non autorizzati.	2021 A06 2017 A3, A9
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	Questo rilevatore controlla se gli endpoint sensibili dell'attuatore delle applicazioni Spring Boot sono esposti. Alcuni degli endpoint predefiniti, come `/heapdump`, potrebbero esporre informazioni sensibili. Altri endpoint, come `/env`, potrebbero portare all'esecuzione di codice remoto. Al momento, è selezionata solo l'opzione `/heapdump`. Soluzione : disattiva l'accesso agli endpoint sensibili dell'attuatore. Per maggiori informazioni, consulta Protezione degli endpoint HTTP.	2021 A01, A05 2017 A5, A6
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	Questo rilevatore verifica se l' API Hadoop Yarn ResourceManager, che controlla le risorse di calcolo e archiviazione di un cluster Hadoop, è esposta e consente l'esecuzione di codice non autenticata. Soluzione: utilizza gli controllo dell'accesso dell'accesso con l'API.	2021 A01, A05 2017 A5, A6
`JAVA_JMX_RMI_EXPOSED`	L' estensione Java Management (JMX) consente il monitoraggio e la diagnostica remoti delle applicazioni Java. L'esecuzione di JMX con l'endpoint Remote Method Invocation non protetto consente a qualsiasi utente remoto di creare un javax.management.loading.MLet MBean e di utilizzarlo per creare nuovi MBean da URL arbitrari. Soluzione: per configurare correttamente il monitoraggio remoto, consulta Monitoraggio e gestione con la tecnologia JMX.	2021 A01, A05 2017 A5, A6
`JUPYTER_NOTEBOOK_EXPOSED_UI`	Questo rilevatore controlla se è esposto un blocco note Jupyter non autenticato. Jupyter consente l'esecuzione remota di codice sulla macchina host. Un blocco note Jupyter non autenticato mette la VM di hosting a rischio di esecuzione di codice remota. Soluzione: aggiungi l'autenticazione dei token al server di blocco note Jupyter oppure usa versioni più recenti del blocco note Jupyter che utilizzano l'autenticazione dei token per impostazione predefinita.	2021 A01, A05 2017 A5, A6
`KUBERNETES_API_EXPOSED`	L' API Kubernetes è esposta ed è accessibile ai chiamanti non autenticati. Ciò consente l'esecuzione arbitraria di codice sul cluster Kubernetes. Soluzione: richiedi l'autenticazione per tutte le richieste API. Per ulteriori informazioni, consulta la guida sull' autenticazione dell'API Kubernetes.	2021 A01, A05 2017 A5, A6
`UNFINISHED_WORDPRESS_INSTALLATION`	Questo rilevatore controlla se un'installazione di WordPress non è stata completata. Un'installazione di WordPress non completata espone la pagina `/wp-admin/install.php`, che consente a un utente malintenzionato di impostare la password di amministratore e, potenzialmente, di compromettere il sistema. Soluzione: completa l' installazione di WordPress.	2021 A05 2017 A6
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	Questo rilevatore verifica la presenza di un'istanza Jenkins non autenticata inviando un ping di probe all'endpoint `/view/all/newJob` come visitatore anonimo. Un'istanza Jenkins autenticata mostra il modulo `createItem`, che consente la creazione di job arbitrari che potrebbero portare all'esecuzione remota di codice. Soluzione: segui la guida di Jenkins sulla gestione della sicurezza per bloccare l'accesso non autenticato.	2021 A01, A05 2017 A5, A6
Risultati software vulnerabili
`APACHE_HTTPD_RCE`	In Apache HTTP Server 2.4.49 è stato rilevato un difetto che consente a un utente malintenzionato di utilizzare un attacco path traversal per mappare gli URL ai file al di fuori della radice prevista del documento e vedere l'origine dei file interpretati, come gli script CGI. È noto che questo problema è sfruttato in natura. Questo problema riguarda Apache 2.4.49 e 2.4.50, ma non le versioni precedenti. Per ulteriori informazioni su questa vulnerabilità, consulta: Record CVE-2021-41773 Vulnerabilità di Apache HTTP Server 2.4 Soluzione: proteggi i file al di fuori della radice dei documenti configurando l'istruzione "Requiry all deny" in Apache HTTP Server.	2021 A01, A06 2017 A5, A9
`APACHE_HTTPD_SSRF`	Gli utenti malintenzionati possono creare un URI per il server web Apache per fare in modo che `mod_proxy` inoltri la richiesta a un server di origine scelto dall'utente malintenzionato. Questo problema riguarda Apache HTTP Server 2.4.48 e precedenti. Per ulteriori informazioni su questa vulnerabilità, consulta: Record CVE-2021-40438 Vulnerabilità di Apache HTTP Server 2.4 Soluzione : esegui l'upgrade del server HTTP Apache a una versione successiva.	2021 A06, A10 2017 A9
`CONSUL_RCE`	Gli utenti malintenzionati possono eseguire codice arbitrario su un server di Consul perché l'istanza di Consul è configurata con `-enable-script-checks` impostato su `true` e l'API HTTP di Consul non è protetta e accessibile sulla rete. In Consul 0.9.0 e versioni precedenti, i controlli degli script sono attivi per impostazione predefinita. Per maggiori informazioni, consulta Protezione di Consul dai rischi RCE in configurazioni specifiche. Per verificare la presenza di questa vulnerabilità, Rapid Vulnerability Detection registra un servizio sull'istanza di Consul utilizzando l'endpoint REST `/v1/health/service`, che esegue una delle seguenti operazioni: Un comando `curl` a un server remoto esterno alla rete. Un utente malintenzionato può utilizzare il comando `curl` per esfiltrare i dati dal server. Un comando `printf`. Rapid Vulnerability Detection verifica quindi l'output del comando utilizzando l'endpoint REST `/v1/health/service`. Dopo il controllo, Rapid Vulnerability Detection esegue la pulizia e l'annullamento della registrazione del servizio utilizzando l'endpoint REST `/v1/agent/service/deregister/`. Soluzione: imposta abilita-script-checks su `false` nella configurazione dell'istanza della console.	2021 A05, A06 2017 A6, A9
`DRUID_RCE`	Apache Druid include la possibilità di eseguire codice JavaScript fornito dall'utente incorporato in vari tipi di richieste. Questa funzionalità è destinata all'uso in ambienti con attendibilità elevata ed è disabilitata per impostazione predefinita. Tuttavia, in Druid 0.20.0 e versioni precedenti, è possibile che un utente autenticato invii una richiesta appositamente creata che costringe Druid a eseguire il codice JavaScript fornito dall'utente per quella richiesta, a prescindere dalla configurazione del server. Questo può essere sfruttato per eseguire il codice sulla macchina di destinazione con i privilegi del processo del server Druid. Per maggiori informazioni, consulta Dettagli CVE-2021-25646. Soluzione : esegui l'upgrade di Apache Druid alla versione successiva.	2021 A05, A06 2017 A6, A9
`DRUPAL_RCE` Questa categoria include due vulnerabilità in Drupal. Più risultati di questo tipo possono indicare più di una vulnerabilità.	Le versioni di Drupal precedenti alla 7.58, 8.x prima della 8.3.9, 8.4.x prima della 8.4.6 e 8.5.x prima della 8.5.1 sono vulnerabili all'esecuzione remota di codice nelle richieste AJAX dell'API Form. Soluzione : esegui l'upgrade a versioni alternative di Drupal.	2021 A06 2017 A9
	Le versioni 8.5.x di Drupal precedenti alla 8.5.11 e 8.6.x precedenti alla 8.6.10 sono vulnerabili all'esecuzione remota di codice quando è abilitato il modulo RESTful Web Service o JSON:API. Questa vulnerabilità può essere sfruttata da un utente malintenzionato non autenticato utilizzando una richiesta POST personalizzata. Soluzione : esegui l'upgrade a versioni alternative di Drupal.	2021 A06 2017 A9
`FLINK_FILE_DISCLOSURE`	Una vulnerabilità nelle versioni 1.11.0, 1.11.1 e 1.11.2 di Apache Flink consente a utenti malintenzionati di leggere qualsiasi file nel file system locale di JobManager tramite l'interfaccia REST del processo JobManager. L'accesso è limitato ai file accessibili dal processo JobManager. Soluzione: se le istanze di Flink sono esposte, esegui l'upgrade a Flink 1.11.3 o 1.12.0.	2021 A01, A05, A06 2017 A5, A6, A9
`GITLAB_RCE`	Nelle versioni 11.9 e successive di GitLab Community Edition (CE) ed Enterprise Edition (EE), GitLab non convalida correttamente i file immagine trasmessi a un parser di file. Un utente malintenzionato può sfruttare questa vulnerabilità per l'esecuzione di comandi remoti. Soluzione: esegui l'upgrade a GitLab CE o EE release 13.10.3, 13.9.6 e 13.8.8 o successive. Per maggiori informazioni, consulta Azione richiesta dai clienti autogestiti in risposta alla CVE-2021-22205.	2021 A06 2017 A9
`GoCD_RCE`	In GoCD 21.2.0 e versioni precedenti, è presente un endpoint a cui è possibile accedere senza autenticazione. Questo endpoint ha una vulnerabilità di attraversamento della directory che consente a un utente di leggere qualsiasi file sul server senza autenticazione. Soluzione:esegui l'upgrade alla versione 21.3.0 o successiva. Per maggiori informazioni, vedi Note di rilascio di GoCD 21.3.0.	2021 A06, A07 2017 A2, A9
`JENKINS_RCE`	Le versioni 2.56 e precedenti di Jenkins, e 2.46.1 LTS e precedenti sono vulnerabili all'esecuzione di codice remota. Questa vulnerabilità può essere attivata da un utente malintenzionato non autenticato utilizzando un oggetto Java serializzato dannoso. Soluzione : installa una versione alternativa di Jenkins.	2021 A06, A08 2017 A8, A9
`JOOMLA_RCE` Questa categoria include due vulnerabilità in Joomla. Più risultati di questo tipo possono indicare più di una vulnerabilità.	Le versioni 1.5.x, 2.x e 3.x di Joomla precedenti alla 3.4.6 sono vulnerabili all'esecuzione di codice da remoto. Questa vulnerabilità può essere attivata con un'intestazione creata contenente oggetti PHP serializzati. Soluzione : installa una versione alternativa di Joomla.	2021 A06, A08 2017 A8, A9
	Le versioni da 3.0.0 a 3.4.6 di Joomla sono vulnerabili all'esecuzione di codice da remoto. Questa vulnerabilità può essere attivata inviando una richiesta POST che contiene un oggetto PHP serializzato creato. Soluzione : installa una versione alternativa di Joomla.	2021 A06 2017 A9
`LOG4J_RCE`	In Apache Log4j2 2.14.1 e versioni precedenti, le funzionalità JNDI utilizzate nelle configurazioni, nei messaggi di log e nei parametri non proteggono da LDAP controllati da utenti malintenzionati e da altri endpoint relativi a JNDI. Per maggiori informazioni, consulta CVE-2021-44228. Soluzione: per informazioni sulla correzione, consulta Vulnerabilità di sicurezza di Apache Log4j.	2021 A06 2017 A9
`MANTISBT_PRIVILEGE_ESCALATION`	MantisBT alla versione 2.3.0 consente la reimpostazione arbitraria della password e l'accesso amministrativo non autenticato fornendo un valore `confirm_hash` vuoto a `verify.php`. Soluzione: aggiorna MantisBT a una versione più recente o segui le istruzioni di Mantis per applicare una correzione di sicurezza critica.	2021 A06 2017 A9
`OGNL_RCE`	Le istanze del server Confluence e del data center contengono una vulnerabilità di iniezione OGNL che consente a un utente malintenzionato non autenticato di eseguire codice arbitrario. Per maggiori informazioni, consulta CVE-2021-26084. Soluzione: per informazioni sulla correzione, consulta Iniezione di OGNL Confluence Server Webwork - CVE-2021-26084.	2021 A03 2017 A1
`OPENAM_RCE`	I server OpenAM 14.6.2 e precedenti e i server ForgeRock AM 6.5.3 e versioni precedenti presentano una vulnerabilità Java di deserializzazione nel parametro `jato.pageSession` su più pagine. Lo sfruttamento non richiede l'autenticazione e l'esecuzione di codice remoto può essere attivata inviando al server una singola richiesta `/ccversion/` creata. La vulnerabilità esiste a causa dell'utilizzo dell'applicazione Sun ONE. Per maggiori informazioni, vedi CVE-2021-35464. Soluzione*:esegui l'upgrade a una versione più recente. Per informazioni sulla correzione di ForgeRock, consulta AM Security Advisory #202104.	2021 A06 2017 A9
`ORACLE_WEBLOGIC_RCE`	Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità, tra cui le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità facilmente sfruttabile consente a un utente malintenzionato non autenticato con accesso alla rete tramite HTTP di compromettere un server Oracle WebLogic. Gli attacchi andati a buon fine di questa vulnerabilità possono causare il rilevamento di Oracle WebLogic Server. Per maggiori informazioni, vedi CVE-2020-14882. Soluzione: per informazioni sulle patch, consulta Oracle Critical Patch Update Advisory - Ottobre 2020.	2021 A06, A07 2017 A2, A9
`PHPUNIT_RCE`	Le versioni PHPUnit precedenti alla 5.6.3 consentono l'esecuzione di codice remoto con una singola richiesta POST non autenticata. Soluzione: esegui l'upgrade alle versioni più recenti della PHPUnit.	2021: A05 2017: A6
`PHP_CGI_RCE`	Le versioni di PHP precedenti alla 5.3.12 e le versioni 5.4.x precedenti alla 5.4.2, se configurate come script CGI, consentono l'esecuzione di codice remoto. Il codice vulnerabile non gestisce correttamente le stringhe di query prive di un carattere `=` (segno di uguale). In questo modo gli utenti malintenzionati possono aggiungere opzioni della riga di comando che vengono eseguite sul server. Soluzione: installa una versione PHP alternativa.	2021 A05, A06 2017 A6, A9
`PORTAL_RCE`	La deserializzazione dei dati non attendibili nelle versioni di Liferay Portal precedenti alla 7.2.1 CE GA2 consente a utenti malintenzionati remoti di eseguire codice arbitrario tramite servizi web JSON. Soluzione : esegui l'upgrade alle versioni più recenti del portale Liferay.	2021 A06, A08 2017 A8, A9
`REDIS_RCE`	Se un'istanza Redis non richiede l'autenticazione per eseguire i comandi di amministrazione, i malintenzionati potrebbero essere in grado di eseguire codice arbitrario. Soluzione : configura Redis per richiedere l'autenticazione.	2021 A01, A05 2017 A5, A6
`SOLR_FILE_EXPOSED`	L'autenticazione non è abilitata in Apache Solr, un server di ricerca open source. Quando Apache Solr non richiede l'autenticazione, un utente malintenzionato può creare direttamente una richiesta per abilitare una configurazione specifica e, infine, implementare una falsificazione di richieste lato server (SSRF) o leggere file arbitrari. Soluzione : esegui l'upgrade a versioni alternative di Apache Solr.	2021 A07, A10 2017 A2
`SOLR_RCE`	Le versioni di Apache Solr da 5.0.0 ad Apache Solr 8.3.1 sono vulnerabili all'esecuzione di codice in remoto tramite VelocityResponseWriter se `params.resource.loader.enabled` è impostato su `true`. In questo modo gli utenti malintenzionati possono creare un parametro che contiene un modello di velocità dannoso. Soluzione : esegui l'upgrade a versioni alternative di Apache Solr.	2021 A06 2017 A9
`STRUTS_RCE` Questa categoria include tre vulnerabilità in Apache Struts. Più risultati di questo tipo possono indicare più di una vulnerabilità.	Le versioni di Apache Struts precedenti alla 2.3.32 e 2.5.x precedenti alla 2.5.10.1 sono vulnerabili all'esecuzione di codice remota. La vulnerabilità può essere attivata da un utente malintenzionato non autenticato che fornisce un'intestazione Content-Type creata appositamente. Soluzione : installa una versione alternativa di Apache Struts.	2021 A06 2017 A9
	Il plug-in REST nelle versioni di Apache Struts da 2.1.1 a 2.3.x precedenti alle 2.3.34 e 2.5.x prima della 2.5.13 sono vulnerabili all'esecuzione remota di codice durante la deserializzazione dei payload XML creati. Soluzione : installa una versione alternativa di Apache Struts.	2021 A06, A08 2017 A8, A9
	Le versioni da 2.3 a 2.3.34 e da 2.5 a 2.5.16 di Apache Struts sono vulnerabili all'esecuzione di codice remoto quando `alwaysSelectFullNamespace` è impostato su `true` e sono presenti determinate altre configurazioni di azioni. Soluzione : installa la versione 2.3.35 o 2.5.17.	2021 A06 2017 A9
`TOMCAT_FILE_DISCLOSURE`	Le versioni 9.x di Apache Tomcat precedenti alla 9.0.31, 8.x precedenti alla 8.5.51, 7.x precedenti alla 7.0.100 e tutte le 6.x sono vulnerabili alla divulgazione di codice sorgente e configurazione tramite un connettore del protocollo Apache JServ esposto. In alcuni casi, questa opzione viene utilizzata per eseguire codice da remoto se il caricamento di file è consentito. Soluzione:esegui l'upgrade a versioni alternative di Apache Tomcat.	2021 A06 2017 A3, A9
`VBULLETIN_RCE`	I server vBulletin che eseguono le versioni dalla 5.0.0 alla 5.5.4 sono vulnerabili all'esecuzione di codice remota. Questa vulnerabilità può essere sfruttata da un utente malintenzionato non autenticato utilizzando un parametro di query in una richiesta `routestring`. Soluzione : esegui l'upgrade a versioni alternative di VMware vCenter Server.	2021 A03, A06 2017 A1, A9
`VCENTER_RCE`	Le versioni di VMware vCenter Server 7.x prima della 7.0 U1c, 6.7 prima della 6.7 U3l e 6.5 prima della 6.5 U3n sono vulnerabili all'esecuzione di codice remota. Questa vulnerabilità può essere attivata da un utente malintenzionato che carica un file Java Server Pages creato in una directory accessibile dal web e attiva l'esecuzione del file. Soluzione : esegui l'upgrade a versioni alternative di VMware vCenter Server.	2021 A06 2017 A9
`WEBLOGIC_RCE`	Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità nell'esecuzione di codice in remoto, tra cui le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità è correlata ai CVE-2020-14750, CVE-2020-14882 e CVE-2020-14883. Per maggiori informazioni, vedi CVE-2020-14883. Soluzione: per informazioni sulle patch, consulta Oracle Critical Patch Update Advisory - Ottobre 2020.	2021 A06, A07 2017 A2, A9

Risultati del motore per suggerimenti IAM

La tabella seguente elenca i risultati di Security Command Center generati dal motore per suggerimenti IAM.

Ogni risultato del motore per suggerimenti IAM contiene suggerimenti specifici per rimuovere o sostituire un ruolo che include autorizzazioni eccessive da un'entità nel tuo ambiente Google Cloud.

I risultati generati dai suggerimenti corrispondenti del motore per suggerimenti IAM che vengono visualizzati nella pagina IAM del progetto, della cartella o dell'organizzazione interessata.

Per saperne di più sull'integrazione del motore per suggerimenti IAM con Security Command Center, consulta Origini di sicurezza.

Risultati motore per suggerimenti IAM
Rilevatore	Riepilogo
`IAM role has excessive permissions` Nome categoria nell'API: `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	Ricerca della descrizione: il motore per suggerimenti IAM ha rilevato un account di servizio che ha uno o più ruoli IAM che concedono autorizzazioni eccessive all'account utente. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli del risultato nella console Google Cloud, copia e incolla l'URL della pagina IAM nella barra degli indirizzi del browser e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i suggerimenti nella tabella`. I suggerimenti vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su qualsiasi suggerimento relativo alle autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento. Esamina il consiglio per individuare le azioni che puoi intraprendere per risolvere il problema. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato in `INACTIVE` entro 24 ore.
`Service agent role replaced with basic role` Nome categoria nell'API: `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	Ricerca della descrizione: il motore per suggerimenti IAM ha rilevato che il ruolo IAM predefinito originale concesso a un agente di servizio è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli del risultato nella console Google Cloud, copia e incolla l'URL della pagina IAM nella barra degli indirizzi del browser e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i suggerimenti nella tabella`. I suggerimenti vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un'autorizzazione relativa alle autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento. Esamina le autorizzazioni in eccesso. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato in `INACTIVE` entro 24 ore.
`Service agent granted basic role` Nome categoria nell'API: `SERVICE_AGENT_GRANTED_BASIC_ROLE`	Ricerca della descrizione: il motore per suggerimenti IAM ha rilevato IAM che a un agente di servizio è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli del risultato nella console Google Cloud, copia e incolla l'URL della pagina IAM nella barra degli indirizzi del browser e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i suggerimenti nella tabella`. I suggerimenti vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un'autorizzazione relativa alle autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento. Esamina le autorizzazioni in eccesso. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato in `INACTIVE` entro 24 ore.
`Unused IAM role` Nome categoria nell'API: `UNUSED_IAM_ROLE`	Ricerca della descrizione: il motore per suggerimenti IAM ha rilevato un account utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Livello di prezzo: Premium Asset supportati: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Correggi questo risultato : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi: Nella sezione Passaggi successivi dei dettagli del risultato nella console Google Cloud, copia e incolla l'URL della pagina IAM nella barra degli indirizzi del browser e premi `Invio`. Viene caricata la pagina IAM. Nella parte superiore della pagina IAM, sul lato destro, fai clic su `Visualizza i suggerimenti nella tabella`. I suggerimenti vengono visualizzati in una tabella. Nella colonna Approfondimenti sulla sicurezza, fai clic su un'autorizzazione relativa alle autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento. Esamina le autorizzazioni in eccesso. Fai clic su `Applica`. Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato in `INACTIVE` entro 24 ore.

Risultati CIEM

La tabella seguente elenca i risultati relativi a identità e accesso di Security Command Center per AWS generati da Cloud Infrastructure Entitlement Management (CIEM).

I risultati CIEM contengono suggerimenti specifici per rimuovere o sostituire i criteri AWS IAM altamente permissivi associati a identità, utenti o gruppi presunti nel tuo ambiente AWS.

Per saperne di più su CIEM, consulta Panoramica della gestione dei diritti dell'infrastruttura cloud.

Risultati CIEM
Rilevatore	Riepilogo
`Assumed identity has excessive permissions` Nome categoria nell'API: `ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS`	Individuazione della descrizione: nel tuo ambiente AWS, CIEM ha rilevato un presunto ruolo IAM che ha uno o più criteri altamente permissivi che violano il principio del privilegio minimo e aumentano i rischi per la sicurezza. Livello di prezzo: Enterprise Correggi questo risultato : A seconda del risultato, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione: Rimuovi il criterio altamente permissivo. Crea un nuovo criterio con le autorizzazioni minime richieste per l'utente, il gruppo o il ruolo. Quindi, collega il nuovo criterio all'utente, al gruppo o al ruolo e rimuovi il criterio altamente permissivo. Fai riferimento ai dettagli del risultato per i passaggi di correzione specifici.
`Group has excessive permissions` Nome categoria nell'API: `GROUP_HAS_EXCESSIVE_PERMISSIONS`	Individuazione della descrizione: nel tuo ambiente AWS, CIEM ha rilevato un gruppo IAM con uno o più criteri altamente permissivi che violano il principio del privilegio minimo e aumentano i rischi per la sicurezza. Livello di prezzo: Enterprise Correggi questo risultato : A seconda del risultato, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione: Rimuovi il criterio altamente permissivo. Crea un nuovo criterio con le autorizzazioni minime richieste per l'utente, il gruppo o il ruolo. Quindi, collega il nuovo criterio all'utente, al gruppo o al ruolo e rimuovi il criterio altamente permissivo. Fai riferimento ai dettagli del risultato per i passaggi di correzione specifici.
`User has excessive permissions` Nome categoria nell'API: `USER_HAS_EXCESSIVE_PERMISSIONS`	Individuazione della descrizione: nel tuo ambiente AWS, CIEM ha rilevato un utente IAM con uno o più criteri altamente permissivi che violano il principio del privilegio minimo e aumentano i rischi per la sicurezza. Livello di prezzo: Enterprise Correggi questo risultato : A seconda del risultato, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione: Rimuovi il criterio altamente permissivo. Crea un nuovo criterio con le autorizzazioni minime richieste per l'utente, il gruppo o il ruolo. Quindi, collega il nuovo criterio all'utente, al gruppo o al ruolo e rimuovi il criterio altamente permissivo. Fai riferimento ai dettagli del risultato per i passaggi di correzione specifici.

Risultati del servizio Security posture

La tabella seguente elenca i risultati di Security Command Center generati dal servizio di security posture.

Ogni risultato del servizio Security posture identifica un'istanza di deviazione rispetto alla security posture definita.

Risultati della security posture
Risultato	Riepilogo
`SHA Canned Module Drifted` Nome categoria nell'API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrizione dei risultati: il servizio Security posture ha rilevato una modifica a un rilevatore di Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le impostazioni del rilevatore nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il rilevatore di Security Health Analytics o il deployment della postura e della postura. Per annullare la modifica, aggiorna il rilevatore di Security Health Analytics nella console Google Cloud. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`SHA Custom Module Drifted` Nome categoria nell'API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descrizione dei risultati: il servizio Security posture ha rilevato una modifica a un modulo personalizzato di Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le impostazioni del modulo personalizzato nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il modulo personalizzato Security Health Analytics o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il modulo personalizzato Security Health Analytics nella console Google Cloud. Per istruzioni, vedi Aggiornare un modulo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`SHA Custom Module Deleted` Nome categoria nell'API: `SECURITY_POSTURE_DETECTOR_DELETE`	Descrizione dei risultati: il servizio security posture ha rilevato che un modulo personalizzato Security Health Analytics è stato eliminato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le impostazioni del modulo personalizzato nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il modulo personalizzato Security Health Analytics o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il modulo personalizzato Security Health Analytics nella console Google Cloud. Per istruzioni, vedi Aggiornare un modulo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`Org Policy Canned Constraint Drifted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DRIFT`	Ricerca della descrizione: il servizio della security posture ha rilevato una modifica a un criterio dell'organizzazione che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione o il deployment della postura e della postura. Per annullare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, consulta l'articolo Creare e modificare i criteri. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`Org Policy Canned Constraint Deleted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DELETE`	Descrizione dei risultati: il servizio security posture ha rilevato che è stato eliminato un criterio dell'organizzazione. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione o il deployment della postura e della postura. Per annullare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, consulta l'articolo Creare e modificare i criteri. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`Org Policy Custom Constraint Drifted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DRIFT`	Ricerca della descrizione: il servizio Security posture ha rilevato una modifica a un criterio dell'organizzazione personalizzato che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione personalizzati nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione personalizzato o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione personalizzato nella console Google Cloud. Per istruzioni, vedi Aggiornare un vincolo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.
`Org Policy Custom Constraint Deleted` Nome categoria nell'API: `SECURITY_POSTURE_POLICY_DELETE`	Descrizione dei risultati: il servizio security posture ha rilevato che è stato eliminato un criterio dell'organizzazione personalizzato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato : Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione personalizzati nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione personalizzato o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione personalizzato nella console Google Cloud. Per istruzioni, vedi Aggiornare un vincolo personalizzato. Per accettare la modifica, completa i seguenti passaggi: Aggiorna il file `posture.yaml` con la modifica. Esegui il comando `gcloud scc postures update`. Per le istruzioni, consulta Aggiornare una postura. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, consulta Aggiornare un deployment della postura.

VM Manager

VM Manager è una suite di strumenti utilizzabili per gestire sistemi operativi per grandi gruppi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.

Se abiliti VM Manager con Security Command Center Premium a livello di organizzazione, VM Manager scrive i risultati dei propri report sulle vulnerabilità, che sono in anteprima, in Security Command Center. I report identificano le vulnerabilità nei sistemi operativi installati sulle VM, tra cui le vulnerabilità ed esposizioni comuni (CVE).

Per utilizzare VM Manager con le attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione padre.

I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.

I risultati semplificano il processo di utilizzo della funzionalità di conformità delle patch di VM Manager, che è in anteprima. La funzionalità consente di eseguire la gestione delle patch a livello di organizzazione in tutti i progetti.

La gravità dei risultati di vulnerabilità ricevuti da VM Manager è sempre CRITICAL o HIGH.

Risultati di VM Manager

Tutte le vulnerabilità di questo tipo riguardano i pacchetti del sistema operativo installati nelle VM di Compute Engine supportate.

**Tabella 24.** Report sulle vulnerabilità di VM Manager
Rilevatore	Riepilogo	Impostazioni di scansione degli asset	Standard di conformità
`OS vulnerability` Nome categoria nell'API: `OS_VULNERABILITY`	Descrizione dei risultati: VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo installato per una VM di Compute Engine. Livello di prezzo: Premium Asset supportati compute.googleapis.com/Instance Correggi questo risultato	I report sulle vulnerabilità di VM Manager descrivono in dettaglio le vulnerabilità nei pacchetti di sistemi operativi installati per le VM di Compute Engine, tra cui le vulnerabilità ed esposizioni comuni (CVE). Per un elenco completo dei sistemi operativi supportati, vedi Dettagli del sistema operativo. I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati come segue: Quando un pacchetto viene installato o aggiornato nel sistema operativo di una VM, puoi aspettarti di visualizzare le informazioni sulle vulnerabilità ed esposizioni comuni (CVE) per la VM in Security Command Center entro due ore dalla modifica. Quando vengono pubblicati nuovi avvisi di sicurezza per un sistema operativo, i CVE aggiornati sono normalmente disponibili entro 24 ore dalla pubblicazione dell'avviso da parte del fornitore del sistema operativo.

Correzione dei risultati di VM Manager

Un risultato OS_VULNERABILITY indica che VM Manager ha trovato una vulnerabilità nei pacchetti del sistema operativo installati in una VM di Compute Engine.

Per correggere questo risultato:

Vai alla pagina Risultati di Security Command Center.

Vai a Risultati
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Nella sottosezione Categoria di Filtri rapidi, seleziona Vulnerabilità del sistema operativo. I risultati della query dei risultati vengono filtrati in modo da mostrare solo i risultati delle vulnerabilità del sistema operativo.
Nella colonna Categoria dell'elenco Risultati della query dei risultati, fai clic sul nome della categoria del risultato che stai correggendo. Si apre la pagina dei dettagli relativa alla vulnerabilità del sistema operativo.
Fai clic sulla scheda JSON. Viene visualizzato il file JSON per questo risultato.
Copia il valore del campo externalUri. Questo valore è l'URI della pagina Informazioni sul sistema operativo dell'istanza VM di Compute Engine in cui è installato il sistema operativo vulnerabile.
Applica tutte le patch appropriate per il sistema operativo mostrate nella sezione Informazioni di base. Per istruzioni sul deployment delle patch, vedi Creare job di applicazione patch.

Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Esamina i risultati nella console Google Cloud

Utilizza la seguente procedura per esaminare i risultati nella console Google Cloud:

Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Vai a Risultati
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona VM Manager.

La tabella viene compilata con i risultati di VM Manager.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Category. Si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
Nella scheda Riepilogo, esamina le informazioni sul risultato, tra cui informazioni su cosa è stato rilevato, sulla risorsa interessata e altro ancora.

Per informazioni su come correggere i risultati di VM Manager, consulta Correzione dei risultati di VM Manager.

Disattiva risultati di VM Manager

Potresti voler nascondere alcuni o tutti i risultati di VM Manager in Security Command Center se non sono rilevanti per i tuoi requisiti di sicurezza.

Puoi nascondere i risultati di VM Manager creando una regola di disattivazione e aggiungendo attributi di query specifici ai risultati di VM Manager che vuoi nascondere.

Per creare una regola di disattivazione per VM Manager utilizzando la console Google Cloud, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Vai a Risultati
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Fai clic su Opzioni di disattivazione, quindi seleziona Crea regola di disattivazione.
Inserisci un ID regola di disattivazione. Questo valore è obbligatorio.
Inserisci una descrizione della regola di disattivazione che fornisca il contesto per spiegare perché i risultati vengono disattivati. Questo valore è facoltativo ma consigliato.
Conferma l'ambito della regola di disattivazione selezionando il valore Risorsa padre.
Nel campo Query dei risultati, crea le tue istruzioni per la query facendo clic su Aggiungi filtro. In alternativa, puoi digitare le istruzioni della query manualmente.
1. Nella finestra di dialogo Seleziona filtro, scegli Ricerca > Nome visualizzato origine > VM Manager.
2. Fai clic su Applica.
3. Ripeti finché la query di disattivazione non contiene tutti gli attributi che vuoi nascondere.
  
  Ad esempio, se vuoi nascondere ID CVE specifici nei risultati di vulnerabilità di VM Manager, seleziona Vulnerabilità > ID CVE, quindi seleziona gli ID CVE che vuoi nascondere.
  
  La query dei risultati è simile alla seguente:
Fai clic su Anteprima dei risultati corrispondenti.

Una tabella mostra i risultati corrispondenti alla query.
Fai clic su Salva.

Protezione dei dati sensibili

Questa sezione descrive i risultati di vulnerabilità generati da Sensitive Data Protection, gli standard di conformità supportati e come correggere i risultati.

Sensitive Data Protection invia anche risultati di osservazione a Security Command Center. Per ulteriori informazioni sui risultati dell'osservazione e su Sensitive Data Protection, consulta Sensitive Data Protection.

Per informazioni su come visualizzare i risultati, consulta Esaminare i risultati di Sensitive Data Protection nella console Google Cloud.

Il servizio di rilevamento di Sensitive Data Protection consente di determinare se le variabili di ambiente Cloud Functions contengono secret, ad esempio password, token di autenticazione e credenziali di Google Cloud. Per un elenco completo dei tipi di secret rilevati da Sensitive Data Protection in questa funzionalità, consulta Credenziali e secret.

**Tabella 25.** Risultati e correzioni di Sensitive Data Protection
Tipo di risultato	Descrizione del risultato	Standard di conformità
`Secrets in environment variables` Nome categoria nell'API: `SECRETS_IN_ENVIRONMENT_VARIABLES`	Questo rilevatore verifica la presenza di secret nelle variabili di ambiente di Cloud Functions. Soluzione: rimuovi il secret dalla variabile di ambiente e archivialo in Secret Manager.	CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18

Dal momento in cui attivi il rilevamento dei secret in Sensitive Data Protection, possono essere necessarie fino a 12 ore per il completamento della scansione iniziale delle variabili di ambiente e per la visualizzazione di eventuali risultati di "Secret nelle variabili di ambiente" in Security Command Center. Successivamente, Sensitive Data Protection analizza le variabili di ambiente ogni 24 ore. In pratica, le scansioni possono essere eseguite più spesso.

Per abilitare questo rilevatore, consulta Segnalare secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection.

Policy Controller

Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i cluster Kubernetes registrati come appartenenze al parco risorse. Questi criteri fungono da barriere e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse.

Questa pagina non elenca tutti i singoli risultati di Policy Controller, ma le informazioni sui risultati della classe Misconfiguration che Policy Controller scrive in Security Command Center sono le stesse delle violazioni dei cluster documentate per ogni bundle di Policy Controller. La documentazione per i singoli tipi di rilevamento di Policy Controller è disponibile nei seguenti bundle di Policy Controller:

CIS Kubernetes Benchmark v1.5.1, un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida postura di sicurezza. Puoi visualizzare informazioni su questo bundle anche nel repository GitHub per cis-k8s-v1.5.1.
PCI-DSS v3.2.1, un bundle che valuta la conformità delle risorse del cluster ad alcuni aspetti del Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1. Puoi visualizzare informazioni su questo bundle anche nel repository GitHub per pci-dss-v3.

Questa funzionalità non è compatibile con i perimetri di servizio Controlli di servizio VPC in base all'API Stackdriver.

Individuazione e correzione dei risultati di Policy Controller

Le categorie di Policy Controller corrispondono ai nomi dei vincoli elencati nella documentazione relativa ai pacchetti di Policy Controller. Ad esempio, un risultato require-namespace-network-policies indica che uno spazio dei nomi viola il criterio secondo cui ogni spazio dei nomi in un cluster ha un NetworkPolicy.

Per correggere un risultato:

Vai alla pagina Risultati di Security Command Center.

Vai a Risultati
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Nella sottosezione Categoria di Filtri rapidi, seleziona il nome del risultato di Policy Controller da correggere. I risultati della query dei risultati vengono filtrati in modo da mostrare solo i risultati per quella categoria.

Suggerimento: per trovare tutti i risultati relativi a Policy Controller, nella sottosezione Nome visualizzato origine di Filtri rapidi, seleziona Policy Controller su cluster.
Nella colonna Categoria dell'elenco Risultati della query dei risultati, fai clic sul nome della categoria del risultato che stai correggendo. Si apre la pagina dei dettagli del risultato.
Nella scheda Riepilogo, esamina le informazioni sul risultato, tra cui informazioni su cosa è stato rilevato, sulla risorsa interessata e altro ancora.
Nell'intestazione Passaggi successivi, esamina le informazioni su come correggere il problema, inclusi i link alla documentazione di Kubernetes relativa al problema.

Passaggi successivi

Scopri come utilizzare Security Health Analytics.
Scopri come utilizzare Web Security Scanner.
Scopri come utilizzare Rapid Vulnerability Detection.
Leggi i suggerimenti per correggere i risultati di Security Health Analytics e i risultati di Web Security Scanner.