I rilevatori di Security Health Analytics e Web Security Scanner generano le vulnerabilità disponibili in Security Command Center. Quando sono abilitate in Security Command Center, come VM Manager, generano inoltre vulnerabilità i risultati.
Puoi visualizzare e modificare i risultati determinati dai ruoli e dalle autorizzazioni di Identity and Access Management (IAM) che stai assegnati. Per ulteriori informazioni sui ruoli IAM in Security Command Center, vedi Controllo dell'accesso.
Rilevatori e conformità
Security Command Center monitora la conformità ai rilevatori che sono mappati ai controlli di un una serie di standard di sicurezza.
Per ogni standard di sicurezza supportato, Security Command Center verifica un sottoinsieme dei controlli. Per i controlli selezionati, Security Command Center mostra quanti controlli vengono superati. Per controlli che non vengono superati, Security Command Center mostra un elenco di risultati gli errori del controllo,
Il CIS esamina e certifica le mappature dei Security Command Center a ciascuno dei rilevatori supportati del CIS Google Cloud Foundations Benchmark. Conformità aggiuntiva mappature sono incluse solo a scopo di riferimento.
Security Command Center aggiunge periodicamente il supporto di nuovi standard e versioni di benchmark. Meno recenti rimangono supportate, ma alla fine vengono ritirate. Ti consigliamo di utilizzare l'ultimo benchmark o lo standard supportato disponibile.
Con servizio security posture, puoi mappare i criteri dell'organizzazione e i rilevatori di Security Health Analytics agli standard e controlli applicabili alla tua attività. Dopo aver creato una postura di sicurezza, puoi monitorare modifiche all'ambiente che potrebbero influire sulla conformità della tua azienda.
Per ulteriori informazioni sulla gestione della conformità, consulta Valuta e segnala la conformità agli standard di sicurezza.
Standard di sicurezza supportati su Google Cloud
Security Command Center mappa i rilevatori per Google Cloud a uno o più dei seguenti standard:
- Controlli per la sicurezza delle informazioni (CIS) 8.0
- CIS di Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- Benchmark CIS per Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- HIPAA (Health Insurance Portability and Accountability Act)
- Organizzazione internazionale per Standardizzazione (ISO) 27001, 2022 e 2013
- Nazionale Institute of Standards and Technology (NIST) 800-53 R5 e R4
- NIST CSF 1.0
- Apri applicazione web Security Project (OWASP) Top Ten, 2021 e 2017
- Pagamento Standard di sicurezza dei dati dell'industria delle carte (PCI DSS) 4.0 e 3.2.1
- Controlli di sistema e organizzazione (SOC) 2 Criteri di Trusted Services (TSC) del 2017
Standard di sicurezza supportati su AWS
Security Command Center rilevatori di mappe per Amazon Web Services (AWS) a uno o più dei seguenti standard:
- CIS Amazon Web Services Foundations 2.0.0
- Controlli CS 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 e 3.2.1
- SOC 2 2017, TSC
Per istruzioni su come visualizzare ed esportare i report di conformità, vedi nella sezione Conformità in Utilizzo di Security Command Center nella console Google Cloud.
Trovare la disattivazione dopo la correzione
Dopo aver corretto una vulnerabilità o un'errata configurazione, il
Il servizio Security Command Center che ha rilevato il risultato viene impostato automaticamente
lo stato del risultato in INACTIVE
la volta successiva che il servizio di rilevamento
esegue scansioni per trovare il risultato. Tempo necessario a Security Command Center per impostare
il risultato corretto a INACTIVE
dipende dalla pianificazione della scansione
rileva il risultato.
I servizi Security Command Center impostano anche lo stato di una vulnerabilità
o di configurazione errata in INACTIVE
quando un'analisi rileva che
la risorsa interessata dal risultato viene eliminata.
Per ulteriori informazioni sugli intervalli di scansione, consulta i seguenti argomenti:
Risultati di Security Health Analytics
I rilevatori di Security Health Analytics monitorano un sottoinsieme di risorse da Cloud Asset Inventory (CAI), ricevendo notifiche di modifiche ai criteri IAM (gestione delle risorse e di identità e accessi). Alcuni rilevatori recuperare i dati chiamando direttamente le API Google Cloud, come indicato in più avanti in questa pagina.
Per ulteriori informazioni su Security Health Analytics, sulle pianificazioni della scansione e il supporto di Security Health Analytics per i rilevatori di moduli integrati e personalizzati, consulta Panoramica di Security Health Analytics.
Le seguenti tabelle descrivono i rilevatori di Security Health Analytics, gli asset e agli standard di conformità supportati, alle impostazioni utilizzate per le scansioni i tipi di risultati che generano. Puoi filtrare i risultati in base a vari attributi utilizzando la pagina Vulnerabilità di Security Command Center nella console Google Cloud.
Per istruzioni su come risolvere i problemi e proteggere le risorse, consulta Correzione dei risultati di Security Health Analytics.
Risultati delle vulnerabilità della chiave API
Il rilevatore API_KEY_SCANNER
identifica le vulnerabilità correlate a
Chiavi API utilizzate nel deployment cloud.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
API key APIs unrestricted
Nome categoria nell'API: |
Descrizione dei risultati: Alcune chiavi API sono utilizzate in modo troppo ampio. Da risolvere limita l'uso delle chiavi API per consentire solo alle API richiesta dall'applicazione. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera la proprietà
|
API key apps unrestricted
Nome categoria nell'API: |
Descrizione dei risultati: Alcune chiavi API vengono usate senza restrizioni, consentendo l'uso da parte di qualsiasi app non attendibile. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera tutte le proprietà
|
API key exists
Nome categoria nell'API: |
Descrizione dei risultati: Un progetto utilizza chiavi API anziché standard autenticazione. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera tutte le chiavi API di proprietà di un progetto.
|
API key not rotated
Nome categoria nell'API: |
Descrizione dei risultati: La chiave API non è stata ruotata per più di 90 giorni. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera il timestamp contenuto nell'attributo
Proprietà
|
Risultati relativi alle vulnerabilità di Cloud Asset Inventory
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate a Cloud Asset Inventory
configurazioni e appartengono al tipo CLOUD_ASSET_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Cloud Asset API disabled
Nome categoria nell'API: |
Descrizione dei risultati: l'acquisizione di risorse Google Cloud e IAM di Cloud Asset Inventory consentono l'analisi della sicurezza, il monitoraggio delle modifiche delle risorse e il controllo di conformità. Consigliamo di abilitare il servizio Cloud Asset Inventory per tutti i progetti. Questo rilevatore richiede una configurazione aggiuntiva attiva. Per istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il servizio Cloud Asset Inventory è abilitato.
|
Risultati di vulnerabilità dell'immagine di calcolo
Il rilevatore COMPUTE_IMAGE_SCANNER
identifica le vulnerabilità correlate a
configurazioni di immagini Google Cloud.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Public Compute image
Nome categoria nell'API: |
Descrizione dei risultati: Un'immagine Compute Engine è accessibile pubblicamente. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla il criterio di autorizzazione IAM nella risorsa
metadati per le entità
|
Risultati delle vulnerabilità delle istanze di calcolo
Il rilevatore COMPUTE_INSTANCE_SCANNER
identifica le vulnerabilità correlate a
configurazioni di istanze Compute Engine.
COMPUTE_INSTANCE_SCANNER
di rilevatori non segnalano i risultati su
Istanze Compute Engine create da GKE. Queste istanze hanno nomi
iniziano con "gke-", che gli utenti non possono modificare. Per proteggere queste istanze, consulta
Sezione Risultati vulnerabilità del container.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Confidential Computing disabled
Nome categoria nell'API: |
Descrizione dei risultati: Confidential Computing è disabilitato su un'istanza di Compute Engine. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il
Proprietà
|
Compute project wide SSH keys allowed
Nome categoria nell'API: |
Descrizione dei risultati: Vengono utilizzate chiavi SSH a livello di progetto, che consentono l'accesso a tutti di Compute Engine nel progetto. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla l'oggetto
|
Compute Secure Boot disabled
Nome categoria nell'API: |
Descrizione dei risultati: Questa Shielded VM non ha l'avvio protetto in un bucket con il controllo delle versioni attivo. L'utilizzo dell'Avvio protetto aiuta a proteggere la macchina virtuale alle minacce avanzate come rootkit e e bootkit. Livello di prezzo: Premium Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla la proprietà
|
Compute serial ports enabled
Nome categoria nell'API: |
Descrizione dei risultati: Le porte seriali sono abilitate per un'istanza, consentendo le connessioni alla console seriale dell'istanza. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla l'oggetto
|
Default service account used
Nome categoria nell'API: |
Descrizione dei risultati: Un'istanza è configurata per utilizzare il servizio predefinito . Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Disk CMEK disabled
Nome categoria nell'API: |
Descrizione dei risultati: i dischi in questa VM non sono criptati con l'impostazione di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva attiva. Per istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla il campo
|
Disk CSEK disabled
Nome categoria nell'API: |
Descrizione dei risultati: I dischi in questa VM non sono criptati con Fornita dal cliente chiavi di crittografia (CSEK). Questo rilevatore richiede configurazione da attivare. Per istruzioni, vedi Rilevatore per casi speciali. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il campo
|
Full API access
Nome categoria nell'API: |
Descrizione dei risultati: Un'istanza è configurata per utilizzare il servizio predefinito con accesso completo a tutti i servizi Google Cloud su quelle di livello inferiore. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera il campo
|
HTTP load balancer
Nome categoria nell'API: |
Descrizione dei risultati: Un'istanza utilizza un bilanciatore del carico configurato utilizza un proxy HTTP di destinazione anziché un proxy HTTPS proxy. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Determina se la proprietà
|
IP forwarding enabled
Nome categoria nell'API: |
Descrizione dei risultati: L'IP forwarding è abilitato sulle istanze. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
OS login disabled
Nome categoria nell'API: |
Descrizione dei risultati: OS Login è disabilitato su questa istanza. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla
|
Public IP address
Nome categoria nell'API: |
Descrizione dei risultati: Un'istanza ha un indirizzo IP pubblico. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla se
|
Shielded VM disabled
Nome categoria nell'API: |
Descrizione dei risultati: La Shielded VM è disabilitata su questa istanza. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Weak SSL policy
Nome categoria nell'API: |
Descrizione dei risultati: Un'istanza ha un criterio SSL debole. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se
|
Risultati delle vulnerabilità dei container
Questi tipi di risultati riguardano tutti le configurazioni di container GKE,
e appartengono al tipo di rilevatore CONTAINER_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Alpha cluster enabled
Nome categoria nell'API: |
Descrizione dei risultati: Le funzionalità del cluster alpha sono abilitate per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Auto repair disabled
Nome categoria nell'API: |
Descrizione dei risultati: La funzionalità di riparazione automatica di un cluster GKE, che mantiene i nodi integri e in esecuzione, disattivata. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Auto upgrade disabled
Nome categoria nell'API: |
Descrizione dei risultati: La funzionalità di upgrade automatico di un cluster GKE, mantiene i cluster e i pool di nodi sull'ultima versione di Kubernetes è disabilitata. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Binary authorization disabled
Nome categoria nell'API: |
Descrizione dei risultati: Autorizzazione binaria è disabilitata nel cluster GKE oppure Il criterio di Autorizzazione binaria è configurato per consentire il deployment di tutte le immagini. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla quanto segue:
|
Cluster logging disabled
Nome categoria nell'API: |
Descrizione dei risultati: Il logging non è abilitato per un cluster GKE in un cluster Kubernetes. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Cluster monitoring disabled
Nome categoria nell'API: |
Descrizione dei risultati: Il monitoraggio è disabilitato su cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se
|
Cluster private Google access disabled
Nome categoria nell'API: |
Descrizione dei risultati: Gli host del cluster non sono configurati per usare solo elementi gli indirizzi IP interni per accedere alle API di Google. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se
|
Cluster secrets encryption disabled
Nome categoria nell'API: |
Descrizione dei risultati: La crittografia dei secret a livello di applicazione è disabilitata su un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Cluster shielded nodes disabled
Nome categoria nell'API: |
Descrizione dei risultati: I nodi GKE schermati non sono abilitati per un cluster. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
COS not used
Nome categoria nell'API: |
Descrizione dei risultati: Le VM di Compute Engine non utilizzano Container-Optimized OS, progettato per l'esecuzione Docker su Google Cloud in modo sicuro. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Integrity monitoring disabled
Nome categoria nell'API: |
Descrizione dei risultati: Il monitoraggio dell'integrità è disabilitato per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Intranode visibility disabled
Nome categoria nell'API: |
Descrizione dei risultati: La visibilità tra nodi è disabilitata per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
IP alias disabled
Nome categoria nell'API: |
Descrizione dei risultati: È stato creato un cluster GKE con IP alias disattivati. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Legacy authorization enabled
Nome categoria nell'API: |
Descrizione dei risultati: L'autorizzazione precedente è abilitata su GKE cluster. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Legacy metadata enabled
Nome categoria nell'API: |
Descrizione dei risultati: I metadati legacy sono abilitati su GKE cluster. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Master authorized networks disabled
Nome categoria nell'API: |
Descrizione dei risultati: Le reti autorizzate del piano di controllo non sono abilitate su cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il
|
Network policy disabled
Nome categoria nell'API: |
Descrizione dei risultati: Il criterio di rete è disabilitato su GKE cluster. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il campo
|
Nodepool boot CMEK disabled
Nome categoria nell'API: |
Descrizione dei risultati: i dischi di avvio in questo pool di nodi non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede configurazione da attivare. Per istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla la proprietà
|
Nodepool secure boot disabled
Nome categoria nell'API: |
Descrizione dei risultati: Avvio protetto disabilitato per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Over privileged account
Nome categoria nell'API: |
Descrizione dei risultati: Un account di servizio dispone di un accesso ai progetti eccessivamente ampio in un in un cluster Kubernetes. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Valuta la proprietà
|
Over privileged scopes
Nome categoria nell'API: |
Descrizione dei risultati: Un account di servizio del nodo ha ambiti di accesso ampio. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se l'ambito di accesso elencato nel
La proprietà config.oauthScopes di un pool di nodi è
per un ambito limitato di accesso all'account di servizio:
https://www.googleapis.com/auth/devstorage.read_only ,
https://www.googleapis.com/auth/logging.write ,
o
https://www.googleapis.com/auth/monitoring .
|
Pod security policy disabled
Nome categoria nell'API: |
Descrizione dei risultati: PodSecurityPolicy è disattivato su un cluster GKE. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla
|
Private cluster disabled
Nome categoria nell'API: |
Descrizione dei risultati: Un cluster GKE ha un cluster privato disattivata. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se
|
Release channel disabled
Nome categoria nell'API: |
Descrizione dei risultati: Un cluster GKE non è iscritto a un canale di rilascio. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Web UI enabled
Nome categoria nell'API: |
Descrizione dei risultati: L'interfaccia utente web di GKE (dashboard) è abilitata. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla
|
Workload Identity disabled
Nome categoria nell'API: |
Descrizione dei risultati: Workload Identity è disabilitato su un cluster GKE in un cluster Kubernetes. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se
|
Risultati di vulnerabilità Dataproc
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate a Dataproc e appartengono
Tipo di rilevatore DATAPROC_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Dataproc CMEK disabled
Nome categoria nell'API: |
Descrizione dei risultati: È stato creato un cluster Dataproc senza una configurazione di crittografia tramite CMEK. Con CMEK, le chiavi che crei e gestisci in Cloud Key Management Service eseguono il wrapping delle chiavi che Google Cloud utilizza i dati per criptare i dati, offrendoti un maggiore controllo sull'accesso e i dati di Google Cloud. Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Dataproc image outdated
Nome categoria nell'API: |
Descrizione dei risultati: È stato creato un cluster Dataproc con una versione immagine Dataproc che è colpito da vulnerabilità di sicurezza nell'utilità Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046). Livello di prezzo: Premium o standard
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla se il campo
|
Risultati delle vulnerabilità del set di dati
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate al set di dati BigQuery
configurazioni e appartengono al tipo di rilevatore DATASET_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
BigQuery table CMEK disabled
Nome categoria nell'API: |
Descrizione dei risultati: Una tabella BigQuery non è configurata per utilizzare un una chiave di crittografia gestita dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva da attivare. Per istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Dataset CMEK disabled
Nome categoria nell'API: |
Descrizione dei risultati: Un set di dati BigQuery non è configurato per utilizzare un valore predefinito tramite CMEK. Questo rilevatore richiede una configurazione aggiuntiva da attivare. Per istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Public dataset
Nome categoria nell'API: |
Descrizione dei risultati: Un set di dati è configurato in modo da essere accessibile all'accesso pubblico. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nella risorsa
metadati per le entità
|
Risultati delle vulnerabilità DNS
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni Cloud DNS,
e appartengono al tipo di rilevatore DNS_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
DNSSEC disabled
Nome categoria nell'API: |
Descrizione dei risultati: DNSSEC è disabilitato per le zone Cloud DNS. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
RSASHA1 for signing
Nome categoria nell'API: |
Descrizione dei risultati: RSASHA1 viene utilizzato per la firma della chiave in Cloud DNS diverse. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se le
|
Risultati delle vulnerabilità del firewall
Le vulnerabilità di questo tipo di rilevatore sono tutte relative alle configurazioni firewall.
appartengono al tipo di rilevatore FIREWALL_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Egress deny rule not set
Nome categoria nell'API: |
Descrizione dei risultati: Su un firewall non è impostata una regola di negazione per il traffico in uscita. Negazione in uscita devono essere impostate per bloccare i messaggi in uscita indesiderati per via del traffico. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Firewall rule logging disabled
Nome categoria nell'API: |
Descrizione dei risultati: Il logging delle regole firewall è disabilitato. Logging delle regole firewall deve essere abilitato per poter controllare l'accesso alla rete. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open Cassandra port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta Cassandra aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open ciscosecure websm port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una Porta CISCOSECURE_WEBSM che consente l'accesso generico. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open directory services port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una Porta DIRECTORY_Services che consente l'accesso generico. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open DNS port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta DNS aperta consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open elasticsearch port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una funzione ELASTICSEARCH aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open firewall
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da essere accessibile al pubblico. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla le proprietà
|
Open FTP port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta FTP aperta consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open HTTP port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta HTTP aperta consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open LDAP port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta LDAP aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open Memcached port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo che abbia una porta MEMCACHED aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open MongoDB port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta MONGODB aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open MySQL port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta MYSQL aperta consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open NetBIOS port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta NETBIOS aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open OracleDB port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta ORACLEDB aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open pop3 port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta POP3 aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open PostgreSQL port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta PostgreSQL aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open RDP port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta RDP aperta consente l'accesso generico. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open Redis port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta REDIS aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Open SMTP port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta SMTP aperta consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Open SSH port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta SSH aperta consente l'accesso generico. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Open Telnet port
Nome categoria nell'API: |
Descrizione dei risultati: Un firewall è configurato in modo da avere una porta TELNET aperta consente l'accesso generico. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Risultati relativi alle vulnerabilità IAM
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate a Identity and Access Management (IAM)
configurazione e appartengono al tipo di rilevatore IAM_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Access Transparency disabled
Nome categoria nell'API: |
Descrizione dei risultati: La trasparenza degli accessi di Google Cloud è disattivata per la tua organizzazione. Access Transparency quando i dipendenti Google Cloud accedono ai progetti dell'organizzazione per fornire assistenza. Abilita Access Transparency per registrare gli utenti di Google Cloud che accede alle tue informazioni, quando e perché. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se nella tua organizzazione è abilitato Access Transparency.
|
Admin service account
Nome categoria nell'API: |
Descrizione dei risultati: Un account di servizio ha Amministratore, Proprietario o privilegi di editor. Questi ruoli non devono essere assegnati ad account di servizio creati dall'utente. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nella risorsa
metadati per qualsiasi account di servizio creato dall'utente (indicati
con il prefisso iam.gserviceaccount.com),
a cui è assegnato
|
Essential Contacts Not Configured
Nome categoria nell'API: |
Descrizione dei risultati: La tua organizzazione non ha designato una persona o un gruppo da cui ricevere notifiche Google Cloud su eventi importanti come attacchi, vulnerabilità e incidenti relativi ai dati della tua organizzazione Google Cloud. Ti consigliamo di indicare come Obbligatorio Contatta una o più persone o gruppi della tua organizzazione aziendale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla che un contatto sia specificato per le seguenti categorie di contatti essenziali:
|
KMS role separation
Nome categoria nell'API: |
Descrizione dei risultati: La separazione dei compiti non è applicata e esiste un utente che abbia uno dei seguenti Cloud Key Management Service (Cloud KMS) ruoli contemporaneamente: Autore crittografia/decriptazione CryptoKey, Encrypter o Decrypter. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla i criteri di autorizzazione IAM nei metadati delle risorse
e recupera le entità assegnate a uno dei seguenti
ruoli contemporaneamente:
roles/cloudkms.cryptoKeyEncrypterDecrypter ,
roles/cloudkms.cryptoKeyEncrypter e
roles/cloudkms.cryptoKeyDecrypter ,
roles/cloudkms.signer ,
roles/cloudkms.signerVerifier ,
roles/cloudkms.publicKeyViewer .
|
Non org IAM member
Nome categoria nell'API: |
Descrizione dei risultati: C'è un utente che non utilizza l'organizzazione e credenziali. Per CIS GCP Foundations 1.0, attualmente, solo identità con indirizzi email @gmail.com attivare questo rilevatore. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Confronta gli indirizzi email @gmail.com nella
Campo
|
Open group IAM member
Nome categoria nell'API: |
Descrizione dei risultati: Un account Google Gruppi a cui è possibile partecipare senza approvazione viene utilizzato come Entità criterio di autorizzazione IAM. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla lo stato IAM
policy nella risorsa
metadati per eventuali associazioni
contenente un membro (entità) con prefisso group . Se
è un gruppo aperto, Security Health Analytics genera questo risultato.
|
Over privileged service account user
Nome categoria nell'API: |
Descrizione dei risultati: Un utente ha l'opzione Utente account di servizio oppure Ruolo Creatore token account di servizio in invece che per un account di servizio specifico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nella risorsa
metadati per tutte le entità assegnate
roles/iam.serviceAccountUser o
roles/iam.serviceAccountTokenCreator al
a livello di progetto.
|
Primitive roles used
Nome categoria nell'API: |
Descrizione dei risultati: Un utente ha uno dei seguenti ruoli di base:
Questi ruoli sono troppo permissivi e non dovrebbero essere utilizzati. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nella risorsa
metadati per tutte le entità a cui viene assegnato un
|
Redis role used on org
Nome categoria nell'API: |
Descrizione dei risultati: Un ruolo IAM Redis viene assegnato all'organizzazione a livello di cartella. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium
Asset supportati
Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nella risorsa
metadati per le entità assegnate
|
Service account role separation
Nome categoria nell'API: |
Descrizione dei risultati: A un utente è stato assegnato il ruolo Amministratore account di servizio e Ruoli Utente account di servizio. Ciò costituisce una violazione delle norme della dei compiti". dell'IA. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nella risorsa
metadati per tutte le entità assegnate
roles/iam.serviceAccountUser e
roles/iam.serviceAccountAdmin .
|
Service account key not rotated
Nome categoria nell'API: |
Descrizione dei risultati: Una chiave dell'account di servizio non è stata ruotata per più di per 90 giorni. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Valuta il timestamp di creazione della chiave acquisito nel campo
|
User managed service account key
Nome categoria nell'API: |
Descrizione dei risultati: Un utente gestisce una chiave dell'account di servizio. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Risultati delle vulnerabilità KMS
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate a Cloud KMS
configurazioni e appartengono al tipo di rilevatore KMS_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
KMS key not rotated
Nome categoria nell'API: |
Descrizione dei risultati: La rotazione non è configurata su Cloud KMS chiave di crittografia. Le chiavi devono essere ruotate entro un periodo di per 90 giorni. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla nei metadati delle risorse l'esistenza di
|
KMS project has owner
Nome categoria nell'API: |
Descrizione dei risultati: Un utente dispone delle autorizzazioni di Proprietario su un progetto che ha chiavi di crittografia. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nel progetto
metadati per le entità a cui è stato assegnato
|
KMS public key
Nome categoria nell'API: |
Descrizione dei risultati: Una chiave di crittografia Cloud KMS è pubblica accessibili. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nella risorsa
metadati per le entità
|
Too many KMS users
Nome categoria nell'API: |
Descrizione dei risultati: Più di tre utenti utilizzano le chiavi di crittografia. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla i criteri di autorizzazione IAM per i keyring,
progetti e organizzazioni e recupera le entità con
che consentono di criptare, decriptare o firmare i dati
Chiavi Cloud KMS: roles/owner ,
roles/cloudkms.cryptoKeyEncrypterDecrypter ,
roles/cloudkms.cryptoKeyEncrypter ,
roles/cloudkms.cryptoKeyDecrypter ,
roles/cloudkms.signer e
roles/cloudkms.signerVerifier .
|
Logging dei risultati relativi alle vulnerabilità
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di logging e
appartengono al tipo di rilevatore LOGGING_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Audit logging disabled
Nome categoria nell'API: |
Descrizione dei risultati: L'audit logging è stato disabilitato per questa risorsa. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nella risorsa
metadati per l'esistenza di un
|
Bucket logging disabled
Nome categoria nell'API: |
Descrizione dei risultati: Esiste un bucket di archiviazione senza il logging abilitato. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Locked retention policy not set
Nome categoria nell'API: |
Descrizione dei risultati: Non è impostato un criterio di conservazione bloccato per i log. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Log not exported
Nome categoria nell'API: |
Descrizione dei risultati: Una risorsa non dispone di un log appropriato configurato per il sink. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati
Standard di conformità:
|
Recupera un oggetto
|
Object versioning disabled
Nome categoria nell'API: |
Descrizione dei risultati: Il controllo delle versioni degli oggetti non è abilitato su un bucket di archiviazione in cui e i sink vengono configurati. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Monitoraggio dei risultati relativi alle vulnerabilità
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di monitoraggio,
e appartengono al tipo MONITORING_SCANNER
. Tutti i risultati dei rilevatori di Monitoring
le proprietà includono:
-
Il
RecommendedLogFilter
da utilizzare per creare le metriche di log. -
I
QualifiedLogMetricNames
che soddisfano le condizioni elencate nei filtro di log consigliato. -
AlertPolicyFailureReasons
che indica se il progetto non dispone di ai criteri di avviso creati per qualsiasi metrica di log qualificata o i criteri di avviso non hanno le impostazioni consigliate.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Audit config not monitored
Nome categoria nell'API: |
Descrizione dei risultati: Le metriche dei log e gli avvisi non sono configurati per monitorare il controllo Modifiche alla configurazione. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter dell'elemento
la risorsa LogsMetric del progetto è impostata su
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* ,
e, se resource.type è specificato, il valore è global .
Il rilevatore cerca anche un'istanza
alertPolicy risorsa, controllando che sia
conditions e
Le proprietà notificationChannels sono corrette
configurato.
|
Bucket IAM not monitored
Nome categoria nell'API: |
Descrizione dei risultati: Le metriche dei log e gli avvisi non sono configurati per il monitoraggio Modifiche alle autorizzazioni IAM di Cloud Storage. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter dell'elemento
la risorsa LogsMetric del progetto è impostata su
resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" .
Il rilevatore cerca anche un'istanza
alertPolicy risorsa, controllando che sia
conditions e
Le proprietà notificationChannels sono corrette
configurato.
|
Custom role not monitored
Nome categoria nell'API: |
Descrizione dei risultati: Le metriche dei log e gli avvisi non sono configurati per il monitoraggio Modifiche ai ruoli personalizzati. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter dell'elemento
la risorsa LogsMetric del progetto è impostata su
resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") .
Il rilevatore cerca anche un'istanza
alertPolicy risorsa, controllando che sia
conditions e
Le proprietà notificationChannels sono corrette
configurato.
|
Firewall not monitored
Nome categoria nell'API: |
Descrizione dei risultati: Le metriche dei log e gli avvisi non sono configurati per il monitoraggio Modifiche alle regole del firewall di rete Virtual Private Cloud (VPC). Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter dell'elemento
la risorsa LogsMetric del progetto è impostata su
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") .
Il rilevatore cerca anche un'istanza
alertPolicy risorsa, controllando che sia
conditions e
Le proprietà notificationChannels sono corrette
configurato.
|
Network not monitored
Nome categoria nell'API: |
Descrizione dei risultati: Le metriche dei log e gli avvisi non sono configurati per il monitoraggio modifiche alla rete VPC. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter dell'elemento
la risorsa LogsMetric del progetto è impostata su
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") .
Il rilevatore cerca anche un'istanza
alertPolicy risorsa, controllando che sia
conditions e
Le proprietà notificationChannels sono corrette
configurato.
|
Owner not monitored
Nome categoria nell'API: |
Descrizione dei risultati: Le metriche dei log e gli avvisi non sono configurati per il monitoraggio Assegnazioni o modifiche alla proprietà del progetto. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter dell'elemento
la risorsa LogsMetric del progetto è impostata su
(protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") ,
e, se resource.type è specificato, il valore è global .
Il rilevatore cerca anche un'istanza
alertPolicy risorsa, controllando che sia
conditions e
Le proprietà notificationChannels sono corrette
configurato.
|
Route not monitored
Nome categoria nell'API: |
Descrizione dei risultati: Le metriche dei log e gli avvisi non sono configurati per il monitoraggio Modifiche alla route di rete VPC. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter dell'elemento
la risorsa LogsMetric del progetto è impostata su
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") .
Il rilevatore cerca anche un'istanza
alertPolicy risorsa, controllando che sia
conditions e
Le proprietà notificationChannels sono corrette
configurato.
|
SQL instance not monitored
|
Descrizione dei risultati: Le metriche dei log e gli avvisi non sono configurati per il monitoraggio modifiche alla configurazione dell'istanza Cloud SQL. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter dell'elemento
la risorsa LogsMetric del progetto è impostata su
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" ,
e, se resource.type è specificato, il valore è global .
Il rilevatore cerca anche un'istanza
alertPolicy risorsa, controllando che sia
conditions e
Le proprietà notificationChannels sono corrette
configurato.
|
Risultati dell'autenticazione a più fattori
Il rilevatore MFA_SCANNER
identifica le vulnerabilità correlate all'autenticazione a più fattori
autenticazione per gli utenti.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
MFA not enforced
Nome categoria nell'API: |
Alcuni utenti non utilizzano la verifica in due passaggi. Google Workspace ti consente di specificare un periodo di tolleranza per la registrazione per i nuovi utenti durante il quale deve registrarsi alla verifica in due passaggi. Questo rilevatore crea risultati per durante il periodo di tolleranza per la registrazione. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Valuta i criteri di gestione delle identità nelle organizzazioni e le impostazioni utente per gli account gestiti in Cloud Identity.
|
Risultati relativi alle vulnerabilità di rete
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alla rete di un'organizzazione
configurazioni e appartengono al tipoNETWORK_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Default network
Nome categoria nell'API: |
Descrizione dei risultati: La rete predefinita esiste in un progetto. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
DNS logging disabled
Nome categoria nell'API: |
Descrizione dei risultati: Il logging DNS su una rete VPC non è abilitato. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla tutti i
|
Legacy network
Nome categoria nell'API: |
Descrizione dei risultati: In un progetto è presente una rete legacy. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla nei metadati di rete l'esistenza dei
|
Load balancer logging disabled
Nome categoria nell'API: |
Descrizione dei risultati: Il logging è disabilitato per il bilanciatore del carico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Risultati relativi alle vulnerabilità dei criteri dell'organizzazione
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di
Criterio dell'organizzazione
e appartengono al tipo ORG_POLICY
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Org policy Confidential VM policy
Nome categoria nell'API: |
Descrizione dei risultati:
Una risorsa Compute Engine non è conforme a
il
constraints/compute.restrictNonConfidentialComputing
criterio dell'organizzazione. Per ulteriori informazioni su questa organizzazione
un vincolo di criterio,
Applicazione dei criteri dell'organizzazione
vincoli in Confidential VM.
Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla se le
|
Org policy location restriction
Nome categoria nell'API: |
Descrizione dei risultati:
Una risorsa Compute Engine non è conforme a
constraints/gcp.resourceLocations
di blocco. Per ulteriori informazioni su questo criterio dell'organizzazione
vedi Applicazione
vincoli dei criteri dell'organizzazione.
Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla la proprietà
|
Asset supportati per ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Poiché gli asset di Cloud KMS non possono essere eliminati, il valore L'asset non viene considerato fuori regione se i suoi dati sono stati distrutte. 2 Poiché i job di importazione di Cloud KMS hanno un controllo ciclo di vita e non può essere terminato in anticipo, un ImportJob non viene considerato fuori regione se il job è scaduto e non può più essere utilizzato per l'importazione chiave. 3 Poiché il ciclo di vita dei job Dataflow non possono essere gestiti, un job non è considerato fuori regione dopo essere stato raggiunto uno stato terminale (arrestato o svuotato), dove non è più possibile utilizzati per elaborare i dati. |
Risultati relativi alle vulnerabilità di Pub/Sub
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate a Pub/Sub
configurazioni e appartengono al tipo PUBSUB_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Pubsub CMEK disabled
Nome categoria nell'API: |
Descrizione dei risultati: Un argomento Pub/Sub non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva da attivare. Per istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla il nome della risorsa nel campo
|
Risultati delle vulnerabilità SQL
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate a Cloud SQL
configurazioni e appartengono al tipo SQL_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
AlloyDB auto backup disabled
Nome categoria nell'API: |
Descrizione dei risultati: In un cluster AlloyDB per PostgreSQL non sono abilitati i backup automatici. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se le
|
AlloyDB backups disabled
Nome categoria nell'API: |
Descrizione dei risultati: In un cluster AlloyDB per PostgreSQL non sono abilitati i backup. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se
|
AlloyDB CMEK disabled
Nome categoria nell'API: |
Descrizione dei risultati: un cluster AlloyDB non è criptato con e le chiavi di crittografia gestite dal cliente (CMEK). Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il campo
|
AlloyDB log min error statement severity
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Per garantire un'adeguata copertura dei tipi di messaggi nei log, emette un risultato se
Il campo
|
AlloyDB log min messages
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Per garantire un'adeguata copertura dei tipi di messaggi nei log, emette un risultato se
Il campo
|
AlloyDB log error verbosity
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Per garantire un'adeguata copertura dei tipi di messaggi nei log, emette un risultato se
Il campo
|
AlloyDB public IP
Nome categoria nell'API: |
Descrizione dei risultati: Un'istanza di database AlloyDB per PostgreSQL ha un indirizzo IP pubblico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
AlloyDB SSL not enforced
Nome categoria nell'API: |
Descrizione dei risultati: un'istanza di database AlloyDB per PostgreSQL non richiede che tutte le connessioni in entrata utilizzino il protocollo SSL. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Auto backup disabled
Nome categoria nell'API: |
Descrizione dei risultati: Un database Cloud SQL non ha backup abilitati. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se le
|
Public SQL instance
Nome categoria nell'API: |
Descrizione dei risultati: Un'istanza di database Cloud SQL accetta da tutti gli indirizzi IP. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla se
|
SSL not enforced
Nome categoria nell'API: |
Descrizione dei risultati: Un'istanza di database Cloud SQL non richiede a tutte le connessioni in entrata per usare SSL. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL CMEK disabled
Nome categoria nell'API: |
Descrizione dei risultati: un'istanza di database SQL non è criptata con e le chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva da attivare. Per istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla il campo
|
SQL contained database authentication
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL cross DB ownership chaining
Nome categoria nell'API: |
Descrizione dei risultati:
Il database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL external scripts enabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL local infile
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log checkpoints disabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log connections disabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log disconnections disabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log duration disabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log error verbosity
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log lock waits disabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log min duration statement enabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log min error statement
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
SQL log min error statement severity
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
SQL log min messages
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Per garantire un'adeguata copertura dei tipi di messaggi nei log, emette un risultato se
Il campo
|
SQL log executor stats enabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log hostname enabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log parser stats enabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log planner stats enabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log statement
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log statement stats enabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log temp files
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL no root password
Nome categoria nell'API: |
Descrizione dei risultati: un database Cloud SQL che ha un indirizzo IP pubblico non ha password configurata per l'account root. Questo rilevatore richiede configurazione da attivare. Per istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL public IP
Nome categoria nell'API: |
Descrizione dei risultati: Un database Cloud SQL ha un IP pubblico . Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il tipo di indirizzo IP di un
Il database Cloud SQL è impostato su
|
SQL remote access enabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL skip show database disabled
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL trace flag 3625
Nome categoria nell'API: |
Descrizione dei risultati:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL user connections configured
Nome categoria nell'API: |
Descrizione dei risultati:
Il database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL user options configured
Nome categoria nell'API: |
Descrizione dei risultati:
Il database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL weak root password
Nome categoria nell'API: |
Descrizione dei risultati: un database Cloud SQL che ha anche un indirizzo IP pubblico ha una password inefficace configurato per l'account root. Questo rilevatore richiede una configurazione aggiuntiva attiva. Per istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Confronta la password dell'account root del tuo un database Cloud SQL a un elenco di password.
|
Risultati relativi alle vulnerabilità dello spazio di archiviazione
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate ai bucket Cloud Storage
configurazioni e appartengono al tipoSTORAGE_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Bucket CMEK disabled
Nome categoria nell'API: |
Ricerca della descrizione: un bucket non è criptato con l'account gestito dal cliente e le chiavi di crittografia CMEK. Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla il campo
|
Bucket policy only disabled
Nome categoria nell'API: |
Descrizione dei risultati: Accesso uniforme a livello di bucket, precedentemente denominato bucket Solo criterio, non è configurato. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se le
|
Public bucket ACL
Nome categoria nell'API: |
Descrizione dei risultati: Un bucket Cloud Storage è accessibile pubblicamente. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM di un bucket per
ruoli pubblici,
|
Public log bucket
Nome categoria nell'API: |
Descrizione dei risultati: Un bucket di archiviazione utilizzato come sink di log è pubblico accessibili. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium o standard
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM di un bucket per
le entità
|
Risultati di vulnerabilità della subnet
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alla subnet di un'organizzazione
configurazioni e appartengono al tipoSUBNETWORK_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
Flow logs disabled
Nome categoria nell'API: |
Descrizione dei risultati: C'è una subnet VPC con flusso di log disabilitati. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Flow logs settings not recommended
Nome categoria nell'API: |
Descrizione dei risultati: Per una subnet VPC, Log di flusso VPC è disattivato o non lo è configurate in base ai consigli di CIS Benchmark 1.3. Questo rilevatore richiede una configurazione aggiuntiva per l'abilitazione. Per istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Private Google access disabled
Nome categoria nell'API: |
Descrizione dei risultati: Esistono subnet private senza accesso a Google Public su quelle di livello inferiore. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se
|
Risultati AWS
Rilevatore | Riepilogo | Impostazioni di analisi degli asset |
---|---|---|
AWS Cloud Shell Full Access Restricted
Nome categoria nell'API: |
Descrizione dei risultati: AWS CloudShell è un modo pratico per eseguire i comandi dell'interfaccia a riga di comando sui servizi AWS; un criterio IAM gestito ("AWSCloudShellFullAccess") fornisce l'accesso completo a CloudShell, consentendo di caricare e scaricare file tra il sistema locale di un utente e l'ambiente CloudShell. Nell'ambiente CloudShell un utente dispone delle autorizzazioni sudo e può accedere a internet. Pertanto, è possibile installare (ad esempio) un software per il trasferimento di file e spostare i dati da CloudShell a server internet esterni. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che l'accesso ad AWSCloudShellFullAccess sia limitato
|
Access Keys Rotated Every 90 Days or Less
Nome categoria nell'API: |
Descrizione dei risultati: Le chiavi di accesso sono costituite da un ID chiave di accesso e da una chiave di accesso segreta, utilizzate per firmare le richieste programmatiche inoltrate ad AWS. Gli utenti di AWS devono disporre delle proprie chiavi di accesso per effettuare chiamate programmatiche ad AWS tramite AWS Command Line Interface (AWS CLI), strumenti per Windows PowerShell, SDK AWS o chiamate HTTP dirette utilizzando le API per i singoli servizi AWS. È consigliabile ruotare regolarmente tutte le chiavi di accesso. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che le chiavi di accesso vengano ruotate ogni 90 giorni o meno
|
All Expired Ssl Tls Certificates Stored Aws Iam Removed
Nome categoria nell'API: |
Descrizione dei risultati: Per attivare le connessioni HTTPS al tuo sito web o alla tua applicazione in AWS, devi disporre di un certificato del server SSL/TLS. Puoi utilizzare ACM o IAM per archiviare i certificati server ed eseguirne il deployment. Livello di prezzo: Aziende Standard di conformità:
|
Verifica che tutti i certificati SSL/TLS scaduti archiviati in AWS IAM vengano rimossi
|
Autoscaling Group Elb Healthcheck Required
Nome categoria nell'API: |
Descrizione dei risultati: Questo verifica se i gruppi di scalabilità automatica associati a un bilanciatore del carico utilizzano i controlli di integrità di Elastic Load Balancing. Ciò garantisce che il gruppo possa determinare l'integrità di un'istanza in base a test aggiuntivi forniti dal bilanciatore del carico. L'utilizzo dei controlli di integrità di Elastic Load Balancing può supportare la disponibilità delle applicazioni che utilizzano i gruppi di scalabilità automatica EC2. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutti i gruppi di scalabilità automatica associati a un bilanciatore del carico utilizzino controlli di integrità
|
Auto Minor Version Upgrade Feature Enabled Rds Instances
Nome categoria nell'API: |
Descrizione dei risultati: Assicurati che per le istanze di database RDS sia abilitato il flag per l'upgrade automatico della versione secondaria per ricevere automaticamente upgrade secondari del motore durante il periodo di manutenzione specificato. Quindi, le istanze RDS possono ricevere le nuove funzionalità, correzioni di bug e patch di sicurezza per i motori del database. Livello di prezzo: Aziende Standard di conformità:
|
Verifica che la funzionalità di upgrade automatico della versione secondaria sia abilitata per le istanze RDS
|
Aws Config Enabled All Regions
Nome categoria nell'API: |
Descrizione dei risultati: AWS Config è un servizio web che gestisce la configurazione delle risorse AWS supportate all'interno del tuo account e ti fornisce i file di log. Le informazioni registrate includono l'elemento di configurazione (risorsa AWS), le relazioni tra gli elementi di configurazione (risorse AWS), eventuali modifiche alla configurazione tra le risorse. È consigliabile abilitare AWS Config in tutte le regioni. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che AWS Config sia abilitato in tutte le regioni
|
Aws Security Hub Enabled
Nome categoria nell'API: |
Descrizione dei risultati: Security Hub raccoglie dati sulla sicurezza da tutti gli account, servizi e prodotti dei partner di terze parti supportati da AWS e ti aiuta ad analizzare le tendenze della sicurezza e a identificare i problemi di sicurezza con la massima priorità. Quando si abilita Security Hub, inizia a utilizzare, aggregare, organizzare e dare priorità ai risultati dei servizi AWS abilitati, come Amazon GuardDuty, Amazon Inspector e Amazon Macie. Puoi anche abilitare le integrazioni con i prodotti di sicurezza dei partner AWS. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che AWS Security Hub sia abilitato
|
Cloudtrail Logs Encrypted Rest Using Kms Cmks
Nome categoria nell'API: |
Descrizione dei risultati: AWS CloudTrail è un servizio web che registra le chiamate API AWS per un account e rende questi log disponibili a utenti e risorse in base ai criteri IAM. AWS Key Management Service (KMS) è un servizio gestito che aiuta a creare e controllare le chiavi di crittografia utilizzate per criptare i dati degli account e utilizza moduli di sicurezza hardware (HSM) per proteggere la sicurezza delle chiavi di crittografia. I log di CloudTrail possono essere configurati in modo da sfruttare la crittografia lato server (SSE) e le chiavi master KMS create dal cliente (CMK) per proteggere ulteriormente i log di CloudTrail. Ti consigliamo di configurare CloudTrail in modo da utilizzare SSE-KMS. Livello di prezzo: Aziende Standard di conformità:
|
Verifica che i log di CloudTrail siano crittografati at-rest mediante chiavi CMK di KMS
|
Cloudtrail Log File Validation Enabled
Nome categoria nell'API: |
Descrizione dei risultati: La convalida del file di log di CloudTrail crea un file digest con firma digitale contenente un hash di ogni log che CloudTrail scrive in S3. Questi file digest possono essere utilizzati per determinare se un file di log è stato modificato, eliminato o invariato dopo che CloudTrail ha consegnato il log. È consigliabile abilitare la convalida dei file su tutti i CloudTrail. Livello di prezzo: Aziende Standard di conformità:
|
Verifica che la convalida del file di log di CloudTrail sia abilitata
|
Cloudtrail Trails Integrated Cloudwatch Logs
Nome categoria nell'API: |
Descrizione dei risultati: AWS CloudTrail è un servizio web che registra le chiamate API AWS effettuate in un determinato account AWS. Le informazioni registrate includono l'identità del chiamante API, l'ora della chiamata API, l'indirizzo IP di origine del chiamante API, i parametri di richiesta e gli elementi di risposta restituiti dal servizio AWS. CloudTrail utilizza Amazon S3 per l'archiviazione e la distribuzione dei file di log, in modo che i file di log siano conservati in modo duraturo. Oltre ad acquisire i log di CloudTrail all'interno di un bucket S3 specificato per l'analisi a lungo termine, l'analisi in tempo reale può essere eseguita configurando CloudTrail per l'invio dei log ai log di CloudWatch. Per un trail abilitato in tutte le regioni in un account, CloudTrail invia i file di log da tutte quelle regioni a un gruppo di log di CloudWatch Logs. È consigliabile inviare i log di CloudTrail a CloudWatch Logs. Nota: lo scopo di questa raccomandazione è garantire che l'attività degli account AWS venga acquisita, monitorata e attivata in modo appropriato. CloudWatch Logs è un modo nativo per ottenere questo risultato utilizzando i servizi AWS, ma non preclude l'uso di una soluzione alternativa. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che i trail di CloudTrail siano integrati con i log di CloudWatch
|
Cloudwatch Alarm Action Check
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo controlla se Amazon Cloudwatch ha azioni definite quando un allarme passa tra gli stati "OK" e "ALARM" e "INSUFFICIENT_DATA". La configurazione delle azioni per lo stato ALARM negli allarmi Amazon CloudWatch è molto importante per attivare una risposta immediata quando le soglie di violazione delle metriche monitorate sono. Le sveglie hanno almeno un'azione. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se per gli allarmi CloudWatch è abilitata almeno un'azione allarme, un'azione INSUFFICIENT_DATA o un'azione Ok.
|
Cloudwatch Log Group Encrypted
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo garantisce che i log di CloudWatch siano configurati con KMS. I dati del gruppo di log sono sempre criptati in CloudWatch Logs. Per impostazione predefinita, CloudWatch Logs utilizza la crittografia lato server per i dati di log at-rest. In alternativa, puoi utilizzare AWS Key Management Service per questa crittografia. In questo caso, la crittografia viene eseguita utilizzando una chiave KMS di AWS. La crittografia con AWS KMS viene abilitata a livello di gruppo di log associando una chiave KMS a un gruppo di log, quando lo crei o dopo che è stato creato. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutti i gruppi di log in Amazon CloudWatch Logs siano criptati con KMS
|
CloudTrail CloudWatch Logs Enabled
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo verifica se i trail di CloudTrail sono configurati in modo da inviare i log ai log di CloudWatch. Il controllo ha esito negativo se la proprietà CloudWatchLogsLogGroupArn della traccia è vuota. CloudTrail registra le chiamate API AWS effettuate in un determinato account. Le informazioni registrate includono:
CloudTrail utilizza Amazon S3 per l'archiviazione e la distribuzione dei file di log. Puoi acquisire i log di CloudTrail in un bucket S3 specificato per un'analisi a lungo termine. Per eseguire l'analisi in tempo reale, puoi configurare CloudTrail in modo che invii i log a CloudWatch Logs. Per un trail abilitato in tutte le regioni di un account, CloudTrail invia i file di log di tutte queste regioni a un gruppo di log di log di CloudWatch. Security Hub consiglia di inviare i log di CloudTrail a CloudWatch Logs. Tieni presente che questo consiglio ha lo scopo di garantire che l'attività dell'account venga acquisita, monitorata e attivata in modo appropriato. Puoi utilizzare i log di CloudWatch per configurarlo con i servizi AWS. Questo consiglio non preclude l'uso di una soluzione diversa. L'invio dei log di CloudTrail a CloudWatch Logs facilita il logging delle attività storiche e in tempo reale in base a utente, API, risorsa e indirizzo IP. Puoi usare questo approccio per stabilire allarmi e notifiche per attività anomale o di sensibilità dell'account. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutti i trail di CloudTrail siano configurati in modo da inviare i log ad AWS CloudWatch
|
No AWS Credentials in CodeBuild Project Environment Variables
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo consente di verificare se il progetto contiene le variabili di ambiente Le credenziali di autenticazione Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutti i progetti contenenti le variabili env AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non siano in testo non crittografato
|
Codebuild Project Source Repo Url Check
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo consente di verificare se l'URL del repository di origine Bitbucket del progetto AWS CodeBuild contiene token di accesso personale o un nome utente e una password. Il controllo non va a buon fine se l'URL del repository di codice sorgente Bitbucket contiene token di accesso personale o un nome utente e una password. Le credenziali di accesso non devono essere archiviate o trasmesse in chiaro, né apparire nell'URL del repository di codice sorgente. Invece dei token di accesso personali o delle credenziali di accesso, devi accedere al tuo provider di origine in CodeBuild e modificare l'URL del repository di origine in modo che contenga solo il percorso alla posizione del repository Bitbucket. L'utilizzo di token di accesso personali o di credenziali di accesso potrebbe causare un'esposizione accidentale dei dati o accessi non autorizzati. Livello di prezzo: Aziende Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla che tutti i progetti che usano github o bitbucket come origine utilizzino oauth
|
Credentials Unused 45 Days Greater Disabled
Nome categoria nell'API: |
Descrizione dei risultati: Gli utenti AWS IAM possono accedere alle risorse AWS utilizzando diversi tipi di credenziali, come password o chiavi di accesso. È consigliabile disattivare o rimuovere tutte le credenziali che non sono state utilizzate per almeno 45 giorni. Livello di prezzo: Aziende Standard di conformità:
|
Verifica che le credenziali non utilizzate per almeno 45 giorni siano disattivate
|
Default Security Group Vpc Restricts All Traffic
Nome categoria nell'API: |
Descrizione dei risultati: Un VPC include un gruppo di sicurezza predefinito le cui impostazioni iniziali negano tutto il traffico in entrata, consentono tutto il traffico in uscita e tutto il traffico tra le istanze assegnate al gruppo di sicurezza. Se non specifichi un gruppo di sicurezza quando avvii un'istanza, questa viene assegnata automaticamente a questo gruppo di sicurezza predefinito. I gruppi di sicurezza forniscono filtri stateful del traffico di rete in entrata/in uscita verso le risorse AWS. È consigliabile che il gruppo di sicurezza predefinito limiti tutto il traffico. Per il VPC predefinito in ogni regione deve essere aggiornato il proprio gruppo di sicurezza predefinito in modo da renderlo conforme. Tutti i VPC appena creati conterranno automaticamente un gruppo di sicurezza predefinito che dovrà essere corretto per rispettare questo suggerimento. NOTA:quando si implementa questo suggerimento, il logging del flusso VPC è indispensabile per determinare il privilegio minimo richiesto dall'accesso alle porte per il corretto funzionamento dei sistemi, poiché può registrare tutte le accettazioni e rifiuti di pacchetti che si verificano nei gruppi di sicurezza attuali. In questo modo si riduce drasticamente la principale barriera alla progettazione privilegio minimo, ovvero la scoperta del numero minimo di porte richieste dai sistemi nell’ambiente. Anche se il suggerimento sul logging del flusso VPC in questo benchmark non viene adottato come misura di sicurezza permanente, dovrebbe essere utilizzato durante qualsiasi periodo di rilevamento e progettazione per i gruppi di sicurezza con privilegi minimi. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico
|
Dms Replication Not Public
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se le istanze di replica AWS DMS sono pubbliche. A questo scopo, esamina il valore del campo Un'istanza di replica privata ha un indirizzo IP privato a cui non puoi accedere all'esterno della rete di replica. Un'istanza di replica deve avere un indirizzo IP privato quando i database di origine e di destinazione si trovano nella stessa rete. La rete deve inoltre essere connessa al VPC dell'istanza di replica tramite VPN, AWS Direct Connect o peering VPC. Per saperne di più sulle istanze di replica pubbliche e private, vedi Istanze di replica pubbliche e private nella guida dell'utente di AWS Database Migration Service. Dovresti inoltre assicurarti che l'accesso alla configurazione dell'istanza AWS DMS sia limitato solo agli utenti autorizzati. Per farlo, limita la visualizzazione Autorizzazioni IAM per modificare impostazioni e risorse AWS DMS. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se le istanze di replica di AWS Database Migration Service sono pubbliche
|
Do Setup Access Keys During Initial User Setup All Iam Users Console
Nome categoria nell'API: |
Descrizione dei risultati: Quando crei un nuovo utente IAM, per impostazione predefinita la console AWS non è selezionata. Quando crei le credenziali utente IAM, devi determinare il tipo di accesso richiesto. Accesso programmatico: l'utente IAM potrebbe dover effettuare chiamate API, utilizzare AWS CLI o gli strumenti per Windows PowerShell. In questo caso, crea una chiave di accesso (ID chiave di accesso e una chiave di accesso segreta) per l'utente in questione. Accesso alla console di gestione AWS: se l'utente deve accedere alla console di gestione AWS, crea una password per l'utente. Livello di prezzo: Aziende Standard di conformità:
|
Non impostare le chiavi di accesso durante la configurazione utente iniziale per tutti gli utenti IAM che dispongono di una password della console
|
Dynamodb Autoscaling Enabled
Nome categoria nell'API: |
Descrizione dei risultati: Questo verifica se una tabella Amazon DynamoDB può scalare la capacità di lettura e scrittura in base alle esigenze. Questo controllo viene superato se la tabella utilizza la modalità di capacità on demand o la modalità con provisioning con scalabilità automatica configurata. La scalabilità della capacità in relazione alla domanda evita eccezioni di limitazione, il che aiuta a mantenere la disponibilità delle applicazioni. Le tabelle DynamoDB in modalità di capacità on demand sono limitate solo dalle quote predefinite delle tabelle per la velocità effettiva DynamoDB. Per aumentare queste quote, puoi inviare un ticket di assistenza tramite AWS Support. Le tabelle DynamoDB in modalità con provisioning con scalabilità automatica regolano dinamicamente la capacità della velocità effettiva sottoposta a provisioning in risposta ai modelli di traffico. Per ulteriori informazioni sulla limitazione delle richieste DynamoDB, consulta Limitazione delle richieste e capacità di burst nella Guida per gli sviluppatori di Amazon DynamoDB. Livello di prezzo: Aziende Standard di conformità:
|
Le tabelle DynamoDB devono scalare automaticamente la capacità in base alla domanda
|
Dynamodb In Backup Plan
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo valuta se una tabella DynamoDB è coperta da un piano di backup. Il controllo ha esito negativo se una tabella DynamoDB non è coperta da un piano di backup. Questo controllo valuta solo le tabelle DynamoDB in stato ATTIVO. I backup ti aiutano a recuperare più rapidamente da un incidente di sicurezza. Inoltre, rafforzano la resilienza dei tuoi sistemi. L'inclusione delle tabelle DynamoDB in un piano di backup consente di proteggere i dati da perdite o eliminazioni non intenzionali. Livello di prezzo: Aziende Standard di conformità:
|
Le tabelle DynamoDB devono essere coperte da un piano di backup
|
Dynamodb Pitr Enabled
Nome categoria nell'API: |
Descrizione dei risultati: Il recupero point-in-time (PITR) è uno dei meccanismi disponibili per il backup delle tabelle DynamoDB. Un backup point-in-time viene conservato per 35 giorni. Se hai bisogno di una conservazione più lunga, consulta Configurare i backup pianificati per Amazon DynamoDB utilizzando AWS Backup nella documentazione di AWS. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che il recupero point-in-time (PITR) sia abilitato per tutte le tabelle AWS DynamoDB
|
Dynamodb Table Encrypted Kms
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se tutte le tabelle DynamoDB sono criptate con una chiave KMS gestita dal cliente (non predefinita). Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutte le tabelle DynamoDB siano criptate con AWS Key Management Service (KMS)
|
Ebs Optimized Instance
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se l'ottimizzazione EBS è abilitata per le istanze EC2 che possono essere ottimizzate per EBS Livello di prezzo: Aziende Standard di conformità:
|
Controlla che l'ottimizzazione EBS sia abilitata per tutte le istanze che la supportano
|
Ebs Snapshot Public Restorable Check
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se gli snapshot di Amazon Elastic Block Store non sono pubblici. Il controllo non va a buon fine se gli snapshot Amazon EBS sono ripristinabili da chiunque. Gli snapshot EBS vengono utilizzati per eseguire il backup dei dati presenti sui volumi EBS su Amazon S3 in un momento specifico. Puoi utilizzare gli snapshot per ripristinare gli stati precedenti dei volumi EBS. Raramente è accettabile condividere uno snapshot con il pubblico. In genere la decisione di condividere pubblicamente uno snapshot è stata presa per errore o senza una completa comprensione delle implicazioni. Questo controllo aiuta a garantire che tutte le condivisioni di questo tipo siano state completamente pianificate e intenzionali. Livello di prezzo: Aziende Standard di conformità:
|
Gli snapshot Amazon EBS non devono essere ripristinabili pubblicamente
|
Ebs Volume Encryption Enabled All Regions
Nome categoria nell'API: |
Descrizione dei risultati: Elastic Compute Cloud (EC2) supporta la crittografia at-rest quando si utilizza il servizio Elastic Block Store (EBS). Se questa opzione è disattivata per impostazione predefinita, è supportata la forzatura della crittografia durante la creazione del volume EBS. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che la crittografia del volume EBS sia abilitata in tutte le regioni
|
Ec2 Instances In Vpc
Nome categoria nell'API: |
Descrizione dei risultati: Amazon VPC offre più funzionalità di sicurezza rispetto a EC2 Classic. È consigliabile che tutti i nodi appartengano a un VPC Amazon. Livello di prezzo: Aziende Standard di conformità:
|
Verifica che tutte le istanze appartengano a un VPC
|
Ec2 Instance No Public Ip
Nome categoria nell'API: |
Descrizione dei risultati: Le istanze EC2 che hanno un indirizzo IP pubblico sono esposte a maggiore rischio di compromissione. Si consiglia di non configurare le istanze EC2 con un indirizzo IP pubblico. Livello di prezzo: Aziende Standard di conformità:
|
Verifica che nessuna istanza abbia un IP pubblico
|
Ec2 Managedinstance Association Compliance Status Check
Nome categoria nell'API: |
Descrizione dei risultati: Un'associazione di State Manager è una configurazione che viene assegnata alle tue istanze gestite. La configurazione definisce lo stato da mantenere sulle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato e in esecuzione sulle tue istanze o che determinate porte devono essere chiuse. Le istanze EC2 associate ad AWS Systems Manager sono sotto la gestione di Systems Manager, il che semplifica l'applicazione delle patch, la correzione degli errori di configurazione e la risposta agli eventi di sicurezza. Livello di prezzo: Aziende Standard di conformità:
|
Controlla lo stato di conformità dell'associazione dei gestori di sistema AWS
|
Ec2 Managedinstance Patch Compliance Status Check
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo verifica se lo stato di conformità dell'associazione con AWS Systems Manager è COMPLIANT o NON_COMPLIANT dopo l'esecuzione dell'associazione su un'istanza. Il controllo non va a buon fine se lo stato di conformità dell'associazione è NON_COMPLIANT. Un'associazione di State Manager è una configurazione che viene assegnata alle tue istanze gestite. La configurazione definisce lo stato da mantenere sulle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato e in esecuzione sulle tue istanze o che determinate porte devono essere chiuse. Dopo aver creato una o più associazioni di amministratori di stato, avrai immediatamente a disposizione le informazioni sullo stato di conformità. Puoi visualizzare lo stato di conformità nella console o in risposta ai comandi AWS CLI o alle azioni corrispondenti dell'API Systems Manager. Per le associazioni, la conformità della configurazione mostra lo stato di conformità (Conforme o Non conforme). Mostra anche il livello di gravità assegnato all'associazione, ad esempio Critica o Media. Per saperne di più sulla conformità dell'associazione di State Manager, consulta la sezione Informazioni sulla conformità dell'associazione di State Manager nella Guida dell'utente di AWS Systems Manager. Livello di prezzo: Aziende Standard di conformità:
|
Controlla lo stato di conformità delle patch di AWS Systems Manager
|
Ec2 Metadata Service Allows Imdsv2
Nome categoria nell'API: |
Descrizione dei risultati: Quando si abilita il servizio metadati sulle istanze AWS EC2, gli utenti hanno la possibilità di utilizzare Instance Metadata Service versione 1 (IMDSv1; metodo di richiesta/risposta) o Instance Metadata Service versione 2 (IMDSv2; metodo orientato alla sessione). Livello di prezzo: Aziende Standard di conformità:
|
Verifica che il servizio di metadati EC2 consenta solo IMDSv2
|
Ec2 Volume Inuse Check
Nome categoria nell'API: |
Descrizione dei risultati: Identificare e rimuovere i volumi Elastic Block Store (EBS) non collegati (non utilizzati) nell'account AWS per ridurre il costo della fattura mensile di AWS. L'eliminazione dei volumi EBS inutilizzati riduce anche il rischio che i dati riservati/sensibili escano dalla tua sede. Inoltre, questo controllo verifica anche se le istanze EC2 sono archiviate e configurate per eliminare i volumi alla terminazione. Per impostazione predefinita, le istanze EC2 sono configurate in modo da eliminare i dati in qualsiasi volume EBS associato all'istanza e il volume EBS principale dell'istanza. Tuttavia, tutti i volumi EBS non root collegati all'istanza, all'avvio o durante l'esecuzione, vengono mantenuti per impostazione predefinita dopo la terminazione. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se i volumi EBS sono collegati alle istanze EC2 e configurati per l'eliminazione al termine dell'istanza
|
Efs Encrypted Check
Nome categoria nell'API: |
Descrizione dei risultati: Amazon EFS supporta due forme di crittografia per i file system: la crittografia dei dati in transito e la crittografia at-rest. Questo verifica che tutti i file system EFS siano configurati con la crittografia at-rest in tutte le regioni abilitate nell'account. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se EFS è configurato per criptare i dati dei file utilizzando KMS
|
Efs In Backup Plan
Nome categoria nell'API: |
Descrizione dei risultati: Le best practice di Amazon consigliano di configurare i backup per Elastic File Systems (EFS). In questo modo viene controllato tutti gli EFS in ogni regione abilitata nel tuo account AWS per verificare la presenza di backup abilitati. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se i file system EFS sono inclusi nei piani di backup AWS
|
Elb Acm Certificate Required
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se il bilanciatore del carico classico utilizza certificati HTTPS/SSL forniti da AWS Certificate Manager (ACM). Se il bilanciatore del carico classico configurato con il listener HTTPS/SSL non utilizza un certificato fornito da ACM, il controllo ha esito negativo. Per creare un certificato, puoi utilizzare ACM o uno strumento che supporta i protocolli SSL e TLS, come OpenSSL. Security Hub consiglia di utilizzare ACM per creare o importare certificati per il bilanciatore del carico. ACM si integra con i bilanciatori del carico classici per consentirti di eseguire il deployment del certificato sul tuo bilanciatore del carico. Inoltre, questi certificati dovrebbero essere rinnovati automaticamente. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutti i bilanciatori del carico classici utilizzino i certificati SSL forniti da AWS Certificate Manager
|
Elb Deletion Protection Enabled
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se per un bilanciatore del carico delle applicazioni è abilitata la protezione da eliminazione. Il controllo non va a buon fine se non è configurata la protezione da eliminazione. Abilita la protezione dall'eliminazione per proteggere il bilanciatore del carico delle applicazioni dall'eliminazione. Livello di prezzo: Aziende Standard di conformità:
|
La protezione dall'eliminazione del bilanciatore del carico delle applicazioni deve essere abilitata
|
Elb Logging Enabled
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo consente di verificare se il bilanciatore del carico delle applicazioni e il bilanciatore del carico classico hanno la registrazione abilitata. Il controllo non riesce se access_logs.s3.enabled è falso. Elastic Load Balancing fornisce i log degli accessi che acquisiscono informazioni dettagliate sulle richieste inviate al bilanciatore del carico. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi di richiesta e le risposte del server. Puoi utilizzare questi log di accesso per analizzare i modelli di traffico e risolvere i problemi. Per saperne di più, vedi Accedere ai log per il bilanciatore del carico classico nella Guida dell'utente per i bilanciatori del carico classici. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se i bilanciatori del carico classici e delle applicazioni hanno la registrazione abilitata
|
Elb Tls Https Listeners Only
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo garantisce che tutti i bilanciatori del carico classici siano configurati in modo da utilizzare la comunicazione sicura. Un listener è un processo che verifica le richieste di connessione. È configurato con un protocollo e una porta per le connessioni front-end (dal client al bilanciatore del carico), nonché un protocollo e una porta per le connessioni di backend (dal bilanciatore del carico all'istanza). Per informazioni su porte, protocolli e configurazioni listener supportate da Elastic Load Balancing, vedi Listener per il bilanciatore del carico classico. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutti i bilanciatori del carico classici siano configurati con listener SSL o HTTPS
|
Encrypted Volumes
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se i volumi EBS in stato collegato sono criptati. Per superare questo controllo, i volumi EBS devono essere in uso e criptati. Se il volume EBS non è collegato, non è soggetto a questo controllo. Per un ulteriore livello di sicurezza dei tuoi dati sensibili nei volumi EBS, devi attivare la crittografia at-rest EBS. La crittografia di Amazon EBS offre una soluzione di crittografia semplice per le tue risorse EBS, che non richiede la creazione, la manutenzione e la protezione della tua infrastruttura di gestione delle chiavi. Utilizza le chiavi KMS durante la creazione di volumi e snapshot criptati. Per ulteriori informazioni sulla crittografia Amazon EBS, vedi Crittografia Amazon EBS nella Guida dell'utente di Amazon EC2 per le istanze Linux. Livello di prezzo: Aziende Standard di conformità:
|
I volumi Amazon EBS collegati devono essere criptati at-rest
|
Encryption At Rest Enabled Rds Instances
Nome categoria nell'API: |
Descrizione dei risultati: Le istanze DB criptate di Amazon RDS utilizzano l'algoritmo di crittografia AES-256 standard di settore per crittografare i dati sul server che ospita le tue istanze DB Amazon RDS. Dopo che i dati sono stati criptati, Amazon RDS gestisce l'autenticazione degli accessi e la loro decrittografia in modo trasparente, con un impatto minimo sulle prestazioni. Livello di prezzo: Aziende Standard di conformità:
|
Verifica che la crittografia at-rest sia abilitata per le istanze RDS
|
Encryption Enabled Efs File Systems
Nome categoria nell'API: |
Descrizione dei risultati: I dati EFS devono essere criptati at-rest utilizzando AWS KMS (Key Management Service). Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che la crittografia sia abilitata per i file system EFS
|
Iam Password Policy
Nome categoria nell'API: |
Descrizione dei risultati: AWS consente criteri personalizzati per le password nel tuo account AWS per specificare i requisiti di complessità e i periodi di rotazione obbligatori per gli utenti IAM password. Se non imposti un criterio personalizzato per le password, le password utente IAM devono soddisfare il criterio predefinito per le password AWS. Le best practice per la sicurezza di AWS consigliano i seguenti requisiti di complessità delle password:
Questo controllo consente di verificare tutti i requisiti dei criteri relativi alle password specificati. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se il criterio della password dell'account per gli utenti IAM soddisfa i requisiti specificati
|
Iam Password Policy Prevents Password Reuse
Nome categoria nell'API: |
Descrizione dei risultati: I criteri delle password IAM possono impedire il riutilizzo di una determinata password da parte dello stesso utente. È consigliabile che il criterio relativo alle password impedisca il riutilizzo delle password. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che il criterio della password IAM impedisca il riutilizzo della password
|
Iam Password Policy Requires Minimum Length 14 Greater
Nome categoria nell'API: |
Descrizione dei risultati: I criteri relativi alle password vengono in parte utilizzati per applicare i requisiti di complessità delle password. È possibile utilizzare i criteri delle password IAM per assicurarsi che le password siano lunghe almeno una determinata lunghezza. È consigliabile che il criterio per le password richieda una lunghezza minima della password di 14 caratteri. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che il criterio della password IAM richieda una lunghezza minima di 14 caratteri
|
Iam Policies Allow Full Administrative Privileges Attached
Nome categoria nell'API: |
Descrizione dei risultati: I criteri IAM consentono di concedere i privilegi a utenti, gruppi o ruoli. È consigliato e considerato un consiglio di sicurezza standard per concedere il privilegio minimo, ovvero concedere solo le autorizzazioni necessarie per eseguire un'attività. Stabilisci che cosa devono fare gli utenti, quindi crea criteri per loro che consentano loro di eseguire solo quelle attività, invece di concedere privilegi amministrativi completi. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che non siano collegati criteri IAM che consentono privilegi amministrativi completi "*:*"
|
Iam Users Receive Permissions Groups
Nome categoria nell'API: |
Descrizione dei risultati: Agli utenti IAM viene concesso l'accesso a servizi, funzioni e dati tramite criteri IAM. Esistono quattro modi per definire i criteri per un utente: 1) Modificare direttamente i criteri relativi agli utenti, ovvero i criteri incorporati o utente; 2) collegare un criterio direttamente a un utente; 3) aggiungere l'utente a un gruppo IAM a cui è associato un criterio; 4) Aggiungere l'utente a un gruppo IAM che ha un criterio in linea. È consigliata solo la terza implementazione. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che gli utenti IAM ricevano le autorizzazioni solo tramite i gruppi
|
Iam User Group Membership Check
Nome categoria nell'API: |
Descrizione dei risultati: Per poter aderire alle best practice per la sicurezza IAM, gli utenti IAM dovrebbero sempre far parte di un gruppo IAM. Aggiungendo utenti a un gruppo, è possibile condividere i criteri tra tipi di utenti. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se gli utenti IAM sono membri di almeno un gruppo IAM
|
Iam User Mfa Enabled
Nome categoria nell'API: |
Descrizione dei risultati: L'autenticazione a più fattori (MFA) è una best practice che aggiunge un ulteriore livello di protezione oltre ai nomi utente e alle password. Con l'MFA, quando un utente accede alla console di gestione AWS, deve fornire un codice di autenticazione sensibile al tempo, fornito da un dispositivo virtuale o fisico registrato. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se per gli utenti IAM AWS è abilitata l'autenticazione a più fattori (MFA)
|
Iam User Unused Credentials Check
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo consente di verificare la presenza di eventuali password IAM o chiavi di accesso attive che non sono state utilizzate negli ultimi 90 giorni. Le best practice consigliano di rimuovere, disattivare o ruotare tutte le credenziali non utilizzate per almeno 90 giorni. In questo modo si riduce la finestra di opportunità per l'utilizzo delle credenziali associate a un account compromesso o abbandonato. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutti gli utenti IAM AWS dispongano di password o chiavi di accesso attive che non sono state utilizzate in maxCredentialUsageAge giorni (il valore predefinito è 90)
|
Kms Cmk Not Scheduled For Deletion
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo verifica se è stata pianificata l'eliminazione delle chiavi KMS. Se è stata pianificata l'eliminazione di una chiave KMS, il controllo non va a buon fine. Una volta eliminate, le chiavi KMS non possono essere recuperate. Inoltre, i dati criptati in una chiave KMS non sono recuperabili definitivamente se la chiave KMS viene eliminata. Se dati significativi sono stati criptati in una chiave KMS pianificata per l'eliminazione, valuta la possibilità di decriptarli o di ricriptare i dati con una nuova chiave KMS, a meno che tu non stia eseguendo intenzionalmente una cancellazione crittografica. Quando viene pianificata l'eliminazione di una chiave KMS, viene applicato un periodo di attesa obbligatorio per consentire al tempo di annullare l'eliminazione, nel caso in cui sia stata pianificata per errore. Il periodo di attesa predefinito è di 30 giorni, ma può essere ridotto a un massimo di 7 giorni quando è pianificata l'eliminazione della chiave KMS. Durante il periodo di attesa, l'eliminazione pianificata può essere annullata e la chiave KMS non verrà eliminata. Per ulteriori informazioni sull'eliminazione delle chiavi KMS, consulta la sezione sull'eliminazione delle chiavi KMS nella guida per gli sviluppatori di AWS Key Management Service. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che non sia pianificata l'eliminazione di tutte le CMK
|
Lambda Concurrency Check
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se la funzione Lambda è configurata con un limite di esecuzione simultanea a livello di funzione. La regola è NON_COMPLIANT se la funzione Lambda non è configurata con un limite di esecuzione simultanea a livello di funzione. Livello di prezzo: Aziende Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla se le funzioni Lambda sono configurate con un limite di esecuzione simultanea a livello di funzione
|
Lambda Dlq Check
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se una funzione Lambda è configurata con una coda di messaggi non recapitabili. La regola è NON_COMPLIANT se la funzione Lambda non è configurata con una coda di messaggi non recapitabili. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se le funzioni Lambda sono configurate con una coda di messaggi non recapitabili
|
Lambda Function Public Access Prohibited
Nome categoria nell'API: |
Descrizione dei risultati: Le best practice di AWS consigliano che la funzione Lambda non sia esposta pubblicamente. Questo criterio controlla tutte le funzioni Lambda di cui è stato eseguito il deployment in tutte le regioni abilitate all'interno del tuo account e avrà esito negativo se sono configurate per consentire l'accesso pubblico. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se il criterio collegato alla funzione Lambda vieta l'accesso pubblico
|
Lambda Inside Vpc
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se una funzione Lambda è in un VPC. Potresti vedere risultati non riusciti per le risorse Lambda@Edge. Non valuta la configurazione del routing della subnet VPC per determinare la connettività pubblica. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se esistono funzioni Lambda all'interno di un VPC
|
Mfa Delete Enabled S3 Buckets
Nome categoria nell'API: |
Descrizione dei risultati: Una volta abilitata l'eliminazione MFA sul tuo bucket S3 sensibile e classificato, l'utente deve disporre di due forme di autenticazione. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che l'eliminazione con autenticazione MFA sia abilitata sui bucket S3
|
Mfa Enabled Root User Account
Nome categoria nell'API: |
Descrizione dei risultati: La "radice" è l'utente con più privilegi in un account AWS. L’autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione a nome utente e password. Con l'autenticazione MFA abilitata, quando un utente accede a un sito web AWS, gli verranno richiesti nome utente e password, nonché un codice di autenticazione dal dispositivo AWS MFA. Nota:quando l'MFA virtuale viene utilizzata per "root" , è consigliabile che il dispositivo utilizzato NON sia un dispositivo personale, ma un dispositivo portatile dedicato (tablet o smartphone) che viene mantenuto carico e protetto indipendentemente dai singoli dispositivi personali. ("MFA virtuale non personale") Questo riduce i rischi di perdere l'accesso all'MFA a causa di perdita del dispositivo, permuta del dispositivo o se il proprietario del dispositivo non è più impiegato presso l'azienda. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che l'autenticazione MFA sia abilitata per l'account utente "root"
|
Multi Factor Authentication Mfa Enabled All Iam Users Console
Nome categoria nell'API: |
Descrizione dei risultati: L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di garanzia dell'autenticazione oltre alle credenziali tradizionali. Con l'autenticazione MFA abilitata, quando un utente accede alla console AWS gli verrà richiesto di inserire nome utente e password, nonché un codice di autenticazione dal token MFA fisico o virtuale. È consigliabile abilitare l'autenticazione MFA per tutti gli account che hanno una password per la console. Livello di prezzo: Aziende Standard di conformità:
|
Verifica che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM con una password per la console
|
No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration
Nome categoria nell'API: |
Descrizione dei risultati: La funzione Network Access Control List (NACL) fornisce un filtro stateless del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun NACL consenta l'accesso senza restrizioni in entrata alle porte di amministrazione del server remoto, come SSH alla porta Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che nessun ACL di rete consenta il traffico in entrata da 0.0.0.0/0 alle porte di amministrazione del server remoto
|
No Root User Account Access Key Exists
Nome categoria nell'API: |
Descrizione dei risultati: La "radice" è l'utente con più privilegi in un account AWS. Le chiavi di accesso AWS forniscono l'accesso programmatico a un determinato account AWS. È consigliabile che tutte le chiavi di accesso associate alla directory "principale" l'account utente verrà eliminato. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che non esistano chiavi di accesso all'account utente "root"
|
No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration
Nome categoria nell'API: |
Descrizione dei risultati: I gruppi di sicurezza forniscono filtri stateful del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun gruppo di sicurezza consenta l'accesso senza restrizioni in entrata alle porte di amministrazione del server remoto, come SSH alla porta Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che nessun gruppo di sicurezza consenta il traffico in entrata da 0.0.0.0/0 alle porte di amministrazione del server remoto
|
No Security Groups Allow Ingress 0 Remote Server Administration
Nome categoria nell'API: |
Descrizione dei risultati: I gruppi di sicurezza forniscono filtri stateful del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun gruppo di sicurezza consenta l'accesso senza limitazioni in entrata alle porte di amministrazione del server remoto, come la porta SSH alla porta Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che nessun gruppo di sicurezza consenta il traffico in entrata da ::/0 alle porte di amministrazione del server remoto
|
One Active Access Key Available Any Single Iam User
Nome categoria nell'API: |
Descrizione dei risultati: Le chiavi di accesso sono credenziali a lungo termine per un utente IAM o la "root" dell'account AWS utente. Puoi utilizzare le chiavi di accesso per firmare richieste di pubblicità programmatica in AWS CLI o API AWS (direttamente o tramite l'SDK AWS) Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che sia disponibile una sola chiave di accesso attiva per ogni singolo utente IAM
|
Public Access Given Rds Instance
Nome categoria nell'API: |
Descrizione dei risultati: Assicurati e verifica che le istanze del database RDS di cui è stato eseguito il provisioning nel tuo account AWS limitino l'accesso non autorizzato per ridurre al minimo i rischi per la sicurezza. Per limitare l'accesso a qualsiasi istanza di database RDS accessibile pubblicamente, devi disabilitare il flag "accessibile pubblicamente" del database e aggiornare il gruppo di sicurezza VPC associato all'istanza. Livello di prezzo: Aziende Standard di conformità:
|
Verifica che l'accesso pubblico non sia concesso all'istanza RDS
|
Rds Enhanced Monitoring Enabled
Nome categoria nell'API: |
Descrizione dei risultati: Il monitoraggio avanzato fornisce metriche in tempo reale sul sistema operativo su cui viene eseguita l'istanza RDS, tramite un agente installato nell'istanza. Per ulteriori dettagli, consulta l'articolo sul monitoraggio delle metriche del sistema operativo con il monitoraggio avanzato. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se il monitoraggio avanzato è abilitato per tutte le istanze DB RDS
|
Rds Instance Deletion Protection Enabled
Nome categoria nell'API: |
Descrizione dei risultati: L'abilitazione della protezione da eliminazione dell'istanza è un livello aggiuntivo di protezione contro l'eliminazione accidentale del database o quella da parte di un'entità non autorizzata. Quando la protezione dall'eliminazione è abilitata, un'istanza DB RDS non può essere eliminata. Per poter portare a termine una richiesta di eliminazione, è necessario disabilitare la protezione da eliminazione. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se per tutte le istanze RDS è abilitata la protezione da eliminazione
|
Rds In Backup Plan
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo valuta se le istanze DB Amazon RDS sono coperte da un piano di backup. Questo controllo non riesce se un'istanza DB RDS non è coperta da un piano di backup. AWS Backup è un servizio di backup completamente gestito che centralizza e automatizza il backup dei dati tra i servizi AWS. Con AWS Backup puoi creare criteri di backup chiamati piani di backup. Puoi utilizzare questi piani per definire i requisiti di backup, ad esempio la frequenza di backup dei dati e per quanto tempo conservare tali backup. L'inclusione di istanze DB RDS in un piano di backup consente di proteggere i dati da perdite o eliminazioni non intenzionali. Livello di prezzo: Aziende Standard di conformità:
|
Le istanze DB di RDS devono essere coperte da un piano di backup
|
Rds Logging Enabled
Nome categoria nell'API: |
Descrizione dei risultati: Questo controlla se i seguenti log di Amazon RDS sono abilitati e inviati a CloudWatch. Nei database RDS devono essere abilitati i log pertinenti. Il logging del database fornisce record dettagliati delle richieste inviate a RDS. I log del database sono utili per le verifiche di sicurezza e accesso e per la diagnosi dei problemi di disponibilità. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se i log esportati sono abilitati per tutte le istanze DB RDS
|
Rds Multi Az Support
Nome categoria nell'API: |
Descrizione dei risultati: Le istanze DB RDS devono essere configurate per più zone di disponibilità (AZ). Ciò garantisce la disponibilità dei dati archiviati. Le implementazioni con più AZ consentono il failover automatico in caso di problemi con la disponibilità della zona di disponibilità e durante la normale manutenzione RDS. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se l'alta disponibilità è abilitata per tutte le istanze DB RDS
|
Redshift Cluster Configuration Check
Nome categoria nell'API: |
Descrizione dei risultati: Questo verifica la presenza di elementi essenziali di un cluster Redshift: crittografia at-rest, logging e tipo di nodo. Questi elementi di configurazione sono importanti per la manutenzione di un cluster Redshift sicuro e osservabile. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutti i cluster Redshift dispongano di crittografia at-rest, logging e tipo di nodo.
|
Redshift Cluster Maintenancesettings Check
Nome categoria nell'API: |
Descrizione dei risultati: Gli upgrade automatici della versione principale vengono eseguiti in base al periodo di manutenzione Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutti i cluster Redshift abbiano allowVersionUpgrade abilitato e preferredMaintenanceWindow e automatedSnapshotRetentionPeriod impostati
|
Redshift Cluster Public Access Check
Nome categoria nell'API: |
Descrizione dei risultati: L'attributo PubliclyAccessible della configurazione del cluster Amazon Redshift indica se il cluster è accessibile pubblicamente. Se il cluster è configurato con PubliclyAccessible impostato su true, si tratta di un'istanza per internet che ha un nome DNS risolvibile pubblicamente, che si risolve in un indirizzo IP pubblico. Quando il cluster non è accessibile pubblicamente, si tratta di un'istanza interna con un nome DNS che si risolve in un indirizzo IP privato. A meno che tu non voglia che il tuo cluster sia accessibile pubblicamente, il cluster non deve essere configurato con PubliclyAccessible impostato su true. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se i cluster Redshift sono accessibili pubblicamente
|
Restricted Common Ports
Nome categoria nell'API: |
Descrizione dei risultati: Questo controlla se il traffico in entrata senza restrizioni per i gruppi di sicurezza è accessibile alle porte specificate che presentano il rischio più elevato. Questo controllo non riesce se una delle regole in un gruppo di sicurezza consente il traffico in entrata da "0.0.0.0/0" o "::/0" per quelle porte. L'accesso senza restrizioni (0.0.0.0/0) aumenta le opportunità di attività dannose, come hacking, attacchi denial-of-service e perdita di dati. I gruppi di sicurezza forniscono filtri stateful del traffico di rete in entrata e in uscita verso le risorse AWS. Nessun gruppo di sicurezza deve consentire l'accesso senza limitazioni in entrata alle seguenti porte:
Livello di prezzo: Aziende Standard di conformità:
|
I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio
|
Restricted Ssh
Nome categoria nell'API: |
Descrizione dei risultati: I gruppi di sicurezza forniscono filtri stateful del traffico di rete in entrata e in uscita verso le risorse AWS. CIS consiglia che nessun gruppo di sicurezza consenta l'accesso senza restrizioni in entrata alla porta 22. La rimozione della connettività senza limitazioni ai servizi della console remota, come SSH, riduce l'esposizione del server al rischio. Livello di prezzo: Aziende Standard di conformità:
|
I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 alla porta 22
|
Rotation Customer Created Cmks Enabled
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se rotazione della chiave automatica è abilitata per ogni chiave e corrisponde all'ID della chiave della chiave AWS KMS creata dal cliente. La regola è NON_COMPLIANT se il ruolo Registratore AWS Config per una risorsa non dispone dell'autorizzazione kms:DescribeKey. Livello di prezzo: Aziende Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Assicurati che sia abilitata la rotazione per le chiavi CMK create dal cliente
|
Rotation Customer Created Symmetric Cmks Enabled
Nome categoria nell'API: |
Descrizione dei risultati: AWS Key Management Service (KMS) consente ai clienti di ruotare la chiave di supporto, ovvero il materiale della chiave archiviata nel KMS, collegata all'ID della chiave master del cliente (CMK) creata dal cliente. È la chiave di supporto utilizzata per eseguire operazioni crittografiche come crittografia e decriptazione. Al momento, la rotazione automatica delle chiavi conserva tutte le chiavi di backup precedenti, in modo che la decrittografia dei dati criptati possa avvenire in modo trasparente. Ti consigliamo di abilitare rotazione della chiave CMK per le chiavi simmetriche. La rotazione della chiave non può essere abilitata per qualsiasi CMK asimmetrica. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che sia abilitata la rotazione per le chiavi CMK simmetriche create dal cliente
|
Routing Tables Vpc Peering Are Least Access
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se le tabelle di route per il peering VPC sono configurate con l'entità con privilegi minimi. Livello di prezzo: Aziende Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Assicurati che le tabelle di routing per il peering VPC siano ad "accesso minimo"
|
S3 Account Level Public Access Blocks
Nome categoria nell'API: |
Descrizione dei risultati: L'accesso pubblico al blocco Amazon S3 fornisce impostazioni per punti di accesso, bucket e account per aiutarti a gestire l'accesso pubblico alle risorse Amazon S3. Per impostazione predefinita, i nuovi bucket, i punti di accesso e gli oggetti non consentono l'accesso pubblico. Livello di prezzo: Aziende Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità. |
Controlla se le impostazioni richieste di blocco dell'accesso pubblico S3 sono configurate a livello di account
|
S3 Buckets Configured Block Public Access Bucket And Account Settings
Nome categoria nell'API: |
Descrizione dei risultati: Amazon S3 fornisce Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che i bucket S3 siano configurati con
|
S3 Bucket Access Logging Enabled Cloudtrail S3 Bucket
Nome categoria nell'API: |
Descrizione dei risultati: Il logging degli accessi ai bucket S3 genera un log che contiene i record di accesso per ciascuna richiesta effettuata al bucket S3. Un record del log di accesso contiene i dettagli della richiesta, ad esempio il tipo di richiesta, le risorse specificate nella richiesta e la data e l'ora di elaborazione della richiesta. È consigliabile abilitare il logging degli accessi ai bucket sul bucket S3 CloudTrail. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che il logging degli accessi ai bucket S3 sia abilitato sul bucket S3 CloudTrail
|
S3 Bucket Logging Enabled
Nome categoria nell'API: |
Descrizione dei risultati: La funzionalità di logging degli accessi al server AWS S3 registra le richieste di accesso ai bucket di archiviazione, il che è utile per i controlli di sicurezza. Per impostazione predefinita, il logging degli accessi al server non è abilitato per i bucket S3. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se il logging è abilitato su tutti i bucket S3
|
S3 Bucket Policy Set Deny Http Requests
Nome categoria nell'API: |
Descrizione dei risultati: A livello di bucket Amazon S3, puoi configurare le autorizzazioni tramite un criterio del bucket, in modo che gli oggetti siano accessibili solo tramite HTTPS. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che il criterio bucket S3 sia impostato in modo da rifiutare le richieste HTTP
|
S3 Bucket Replication Enabled
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo verifica se per un bucket Amazon S3 è abilitata la replica tra regioni. Se nel bucket non è abilitata la replica tra regioni o se è abilitata anche la replica nella stessa regione, il controllo ha esito negativo. La replica è la copia automatica e asincrona degli oggetti nei bucket nella stessa regione AWS o in regioni diverse. La replica copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine a un bucket o bucket di destinazione. Le best practice di AWS consigliano la replica per i bucket di origine e di destinazione di proprietà dello stesso account AWS. Oltre alla disponibilità, devi prendere in considerazione altre impostazioni di protezione dei sistemi. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se la replica tra regioni di bucket S3 è abilitata
|
S3 Bucket Server Side Encryption Enabled
Nome categoria nell'API: |
Descrizione dei risultati: Questo verifica che nel bucket S3 sia abilitata la crittografia predefinita di Amazon S3 o che il criterio del bucket S3 rifiuti esplicitamente le richieste di tipo put senza crittografia lato server. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che tutti i bucket S3 utilizzino la crittografia at-rest
|
S3 Bucket Versioning Enabled
Nome categoria nell'API: |
Descrizione dei risultati: Amazon S3 consente di mantenere più varianti di un oggetto nello stesso bucket e può aiutarti a recuperare più facilmente da azioni utente indesiderate e da errori dell'applicazione. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che il controllo delle versioni sia abilitato per tutti i bucket S3
|
S3 Default Encryption Kms
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se i bucket Amazon S3 sono criptati con AWS Key Management Service (KMS AWS) Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutti i bucket siano criptati con KMS
|
Sagemaker Notebook Instance Kms Key Configured
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se è configurata una chiave AWS Key Management Service (KMS AWS) per un'istanza di blocco note Amazon SageMaker. La regola è NON_COMPLIANT se "KmsKeyId" non è specificato per l'istanza di blocco note SageMaker. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutte le istanze di blocco note SageMaker siano configurate per utilizzare KMS
|
Sagemaker Notebook No Direct Internet Access
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se l'accesso diretto a internet è disabilitato per un'istanza di blocco note SageMaker. A questo scopo, controlla se il campo DirectInternetAccess è disabilitato per l'istanza del blocco note. Se configuri l'istanza SageMaker senza un VPC, per impostazione predefinita l'accesso diretto a internet è abilitato sull'istanza. Devi configurare l'istanza con un VPC e cambiare l'impostazione predefinita in Disabilita: accedi a internet tramite un VPC. Per addestrare o ospitare modelli da un blocco note, devi disporre dell'accesso a internet. Per abilitare l'accesso a internet, assicurati che il VPC abbia un gateway NAT e che il gruppo di sicurezza consenta le connessioni in uscita. Per saperne di più su come connettere un'istanza di blocco note alle risorse in un VPC, consulta Connettere un'istanza di blocco note alle risorse in un VPC nella Guida per gli sviluppatori di Amazon SageMaker. Devi inoltre assicurarti che l'accesso alla configurazione SageMaker sia limitato solo agli utenti autorizzati. Limita gli utenti Autorizzazioni IAM per modificare impostazioni e risorse di SageMaker. Livello di prezzo: Aziende Standard di conformità:
|
Controlla se l'accesso diretto a internet è disabilitato per tutte le istanze di blocco note Amazon SageMaker
|
Secretsmanager Rotation Enabled Check
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se un secret archiviato in AWS Secrets Manager è configurato con la rotazione automatica. Se il secret non è configurato con la rotazione automatica, il controllo non va a buon fine. Se fornisci un valore personalizzato per il parametro Secret Manager ti aiuta a migliorare la security posture della tua organizzazione. I secret includono credenziali del database, password e chiavi API di terze parti. Puoi utilizzare Secret Manager per archiviare i secret a livello centrale, criptarli automaticamente, controllare l'accesso ai secret e ruotare i secret in modo sicuro e automatico. Secret Manager può ruotare i secret. Puoi utilizzare la rotazione per sostituire i secret a lungo termine con quelli a breve termine. La rotazione dei tuoi secret limita il tempo per cui un utente non autorizzato può utilizzare un secret compromesso. Per questo motivo, dovresti ruotare frequentemente i secret. Per saperne di più sulla rotazione, consulta la sezione Rotazione dei secret di AWS Secrets Manager nella guida dell'utente di AWS Secrets Manager. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che la rotazione sia abilitata per tutti i secret di AWS Secrets Manager
|
Sns Encrypted Kms
Nome categoria nell'API: |
Descrizione dei risultati: Controlla se un argomento SNS è criptato at-rest utilizzando KMS AWS. I controlli hanno esito negativo se un argomento SNS non utilizza una chiave KMS per la crittografia lato server (SSE). La crittografia dei dati at-rest riduce il rischio che un utente non autenticato in AWS possa accedere ai dati archiviati sul disco. Inoltre, aggiunge un altro set di controlli dell'accesso per limitare la possibilità da parte di utenti non autorizzati di accedere ai dati. Ad esempio, sono necessarie le autorizzazioni API per decriptare i dati prima che possano essere letti. Gli argomenti SNS dovrebbero essere criptati at-rest per un ulteriore livello di sicurezza. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutti gli argomenti SNS siano criptati con KMS
|
Vpc Default Security Group Closed
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo verifica se il gruppo di sicurezza predefinito di un VPC consente il traffico in entrata o in uscita. Se il gruppo di sicurezza consente il traffico in entrata o in uscita, il controllo non va a buon fine. Le regole per il gruppo di sicurezza predefinito consentono tutto il traffico in uscita e in entrata proveniente dalle interfacce di rete (e dalle relative istanze associate) assegnate allo stesso gruppo di sicurezza. Ti consigliamo di non utilizzare il gruppo di sicurezza predefinito. Poiché il gruppo di sicurezza predefinito non può essere eliminato, devi modificare l'impostazione delle regole del gruppo di sicurezza predefinito in modo da limitare il traffico in entrata e in uscita. In questo modo si evita il traffico indesiderato se il gruppo di sicurezza predefinito viene configurato accidentalmente per risorse come le istanze EC2. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico
|
Vpc Flow Logging Enabled All Vpcs
Nome categoria nell'API: |
Descrizione dei risultati: I log di flusso VPC sono una funzionalità che consente di acquisire informazioni sul traffico IP da e verso le interfacce di rete nel VPC. Dopo aver creato un log di flusso, puoi visualizzarne e recuperarne i dati in Amazon CloudWatch Logs. È consigliabile abilitare i log di flusso VPC per i pacchetti "Rifiutati" per i VPC. Livello di prezzo: Aziende Standard di conformità:
|
Assicurati che il logging dei flussi VPC sia abilitato in tutti i VPC
|
Vpc Sg Open Only To Authorized Ports
Nome categoria nell'API: |
Descrizione dei risultati: Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente il traffico in entrata senza restrizioni da porte non autorizzate. Lo stato del controllo è determinato come segue: Se utilizzi il valore predefinito per AuthorizedTcpPorts, il controllo non riesce se il gruppo di sicurezza consente il traffico in ingresso illimitato da qualsiasi porta diversa dalle porte 80 e 443. Se fornisci valori personalizzati per AuthorizedTcpPorts o AuthorizedUdpPorts, il controllo non riesce se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta non in elenco. Se non viene utilizzato alcun parametro, il controllo non va a buon fine per qualsiasi gruppo di sicurezza con una regola per il traffico in entrata senza restrizioni. I gruppi di sicurezza forniscono filtri stateful del traffico di rete in entrata e in uscita verso AWS. Le regole del gruppo di sicurezza devono seguire l'entità dell'accesso con privilegi minimi. L'accesso senza restrizioni (indirizzo IP con suffisso /0) aumenta le opportunità di attività dannose come hacking, attacchi denial of service e perdita di dati. A meno che una porta non sia specificamente consentita, deve negare l'accesso illimitato. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che tutti i gruppi di sicurezza con 0.0.0.0/0 di qualsiasi VPC consentano solo traffico TCP/UDP in entrata specifico
|
Both VPC VPN Tunnels Up
Nome categoria nell'API: |
Descrizione dei risultati: Un tunnel VPN è un collegamento criptato in cui i dati possono passare dalla rete del cliente a o da AWS all'interno di una connessione VPN Site-to-Site AWS. Ogni connessione VPN include due tunnel VPN che puoi utilizzare contemporaneamente per garantire l'alta disponibilità. È importante assicurarsi che entrambi i tunnel VPN siano configurati per una connessione VPN è importante per confermare una connessione sicura e ad alta disponibilità tra un VPC AWS e la rete remota. Questo controllo verifica che entrambi i tunnel VPN forniti dalla VPN Site-to-Site AWS siano in stato attivo. Il controllo non riesce se uno o entrambi i tunnel sono in stato ATTIVO. Livello di prezzo: Aziende Standard di conformità:
|
Controlla che entrambi i tunnel VPN forniti da AWS tra siti siano in stato attivo
|
Risultati di Web Security Scanner
Le scansioni personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le scansioni personalizzate delle applicazioni di cui è stato eseguito il deployment con URL e IP pubblici non protetti da un firewall.
Categoria | Descrizione del risultato | OWASP 2017 - Top 10 | Top 10 della classifica OWASP 2021 |
---|---|---|---|
Accessible Git repository
Nome categoria nell'API: |
Un repository Git è esposto pubblicamente. Per risolvere questo risultato, rimuovi
accesso pubblico non intenzionale al repository GIT.
Livello di prezzo: Standard |
A5 | A01 |
Accessible SVN repository
Nome categoria nell'API: |
Un repository SVN è esposto pubblicamente. Per risolvere questo risultato, rimuovi
pubblico non intenzionale al repository SVN.
Livello di prezzo: Standard |
A5 | A01 |
Cacheable password input
Nome categoria nell'API: |
Le password inserite nell'applicazione web possono essere memorizzate nella cache di una normale cache del browser anziché
un'archiviazione sicura delle password.
Livello di prezzo: Premium |
A3 | A04 |
Clear text password
Nome categoria nell'API: |
Le password vengono trasmesse in chiaro e possono essere intercettate. A
risolvere il problema, crittografare la password trasmessa
in ogni rete.
Livello di prezzo: Standard |
A3 | A02 |
Insecure allow origin ends with validation
Nome categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta Origin
prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin . Per risolvere il problema
risultato, verifica che il dominio principale previsto faccia parte del valore dell'intestazione Origin prima
nell'intestazione della risposta Access-Control-Allow-Origin . Per i caratteri jolly nei sottodomini,
anteponi il punto al dominio principale, ad esempio .endsWith(".google.com") .
Livello di prezzo: Premium |
A5 | A01 |
Insecure allow origin starts with validation
Nome categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta Origin
prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin . Per risolvere il problema
risultato, verifica che il dominio previsto corrisponda completamente al valore dell'intestazione Origin prima
nell'intestazione della risposta Access-Control-Allow-Origin , ad esempio
.equals(".google.com") .
Livello di prezzo: Premium |
A5 | A01 |
Invalid content type
Nome categoria nell'API: |
È stata caricata una risorsa che non corrisponde al valore HTTP Content-Type della risposta
intestazione. Per risolvere questo risultato, imposta l'intestazione HTTP X-Content-Type-Options
con il valore corretto.
Livello di prezzo: Standard |
A6 | A05 |
Invalid header
Nome categoria nell'API: |
Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Da risolvere
risultato, imposta correttamente le intestazioni di sicurezza HTTP.
Livello di prezzo: Standard |
A6 | A05 |
Mismatching security header values
Nome categoria nell'API: |
Un'intestazione di sicurezza contiene valori duplicati o non corrispondenti, che generano
un comportamento indefinito. Per risolvere questo risultato, imposta le intestazioni di sicurezza HTTP
in modo corretto.
Livello di prezzo: Standard |
A6 | A05 |
Misspelled security header name
Nome categoria nell'API: |
Un'intestazione di sicurezza contiene errori di ortografia e viene ignorata. Per risolvere questo risultato,
impostare correttamente le intestazioni di sicurezza HTTP.
Livello di prezzo: Standard |
A6 | A05 |
Mixed content
Nome categoria nell'API: |
Le risorse vengono pubblicate tramite HTTP su una pagina HTTPS. Per risolvere il problema
assicurando che tutte le risorse vengano pubblicate tramite HTTPS.
Livello di prezzo: Standard |
A6 | A05 |
Outdated library
Nome categoria nell'API: |
È stata rilevata una libreria con vulnerabilità note. Per risolvere il problema
eseguire l'upgrade delle librerie a una versione più recente.
Livello di prezzo: Standard |
A9 | A06 |
Server side request forgery
Nome categoria nell'API: |
È stata rilevata una vulnerabilità di falsificazione delle richieste lato server (SSRF, Server-Side Request Forgery). Per risolvere questo risultato, utilizza un
lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può inviare richieste.
Livello di prezzo: Standard |
Non applicabile | A10 |
Session ID leak
Nome categoria nell'API: |
Quando si effettua una richiesta interdominio, l'applicazione web include l'identificatore della sessione dell'utente
nell'intestazione della sua richiesta Referer . Questa vulnerabilità consente al dominio ricevente di accedere
all'identificatore di sessione, che può essere utilizzato per impersonare o identificare in modo univoco l'utente.
Livello di prezzo: Premium |
A2 | A07 |
SQL injection
Nome categoria nell'API: |
È stata rilevata una potenziale vulnerabilità di SQL injection. Per risolvere questo risultato, utilizza
query con parametri per impedire agli input dell'utente di influenzare la struttura della query SQL.
Livello di prezzo: Premium |
A1 | A03 |
Struts insecure deserialization
Nome categoria nell'API: |
L'utilizzo di una versione vulnerabile di Apache
È stato rilevato Struts. Per risolvere questo risultato, esegui l'upgrade di Apache Struts alla versione più recente.
Livello di prezzo: Premium |
A8 | A08 |
XSS
Nome categoria nell'API: |
Un campo di questa applicazione web è vulnerabile a un cross-site scripting
(XSS). Per risolvere questo risultato, convalida ed esca come non attendibile
forniti dall'utente.
Livello di prezzo: Standard |
A7 | A03 |
XSS angular callback
Nome categoria nell'API: |
Una stringa fornita dall'utente non presenta caratteri di escape e AngularJS può interporla. A
risolvere questo risultato, convalidare ed eseguire l'escape dei dati non attendibili forniti dall'utente
gestite dal framework Angular.
Livello di prezzo: Standard |
A7 | A03 |
XSS error
Nome categoria nell'API: |
Un campo di questa applicazione web è vulnerabile a un cross-site scripting
un attacco. Per risolvere questo risultato, convalida ed esca come non attendibile
forniti dall'utente.
Livello di prezzo: Standard |
A7 | A03 |
XXE reflected file leakage
Nome categoria nell'API: |
È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare il
far trapelare un file sull'host. Per risolvere questo risultato, configura i parser XML in modo da non consentire
entità esterne.
Livello di prezzo: Premium |
A4 | A05 |
Prototype pollution
Nome categoria nell'API: |
L'applicazione è vulnerabile all'inquinamento del prototipo. Questa vulnerabilità si verifica quando le proprietà
dell'oggetto Object.prototype possono essere assegnati valori controllabili da utenti malintenzionati. Valori inseriti in questi prototipi
universalmente si presume che si traduca in cross-site scripting (XSS) o in simili vulnerabilità lato client, nonché in bug logici.
Livello di prezzo: Standard |
A1 | A03 |
Risultati del motore per suggerimenti IAM
La tabella seguente elenca i risultati di Security Command Center generate dal motore per suggerimenti IAM.
Ogni risultato del motore per suggerimenti IAM contiene suggerimenti specifici per rimuovere o sostituire un ruolo che include autorizzazioni eccessive da un'entità in dell'ambiente Google Cloud.
Risultati generati dal motore per suggerimenti IAM i suggerimenti corrispondenti che vengono visualizzati nella console Google Cloud sulla pagina IAM del progetto, della cartella o dell'organizzazione interessati.
Per saperne di più sull'integrazione del motore per suggerimenti IAM con Security Command Center, vedi Origini della sicurezza.
Rilevatore | Riepilogo |
---|---|
IAM role has excessive permissions
Nome categoria nell'API: |
Descrizione dei risultati: Il motore per suggerimenti IAM ha rilevato un account di servizio con uno o più Ruoli IAM che concedono autorizzazioni eccessive all'account utente. Livello di prezzo: Premium Asset supportati:
Correggi questo risultato :Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi:
Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato
a |
Service agent role replaced with basic role
Nome categoria nell'API: |
Descrizione dei risultati: Il motore per suggerimenti IAM ha rilevato che il ruolo IAM predefinito originale a un agente di servizio è stato sostituito con uno dei ruoli IAM di base Ruoli: Proprietario, Editor o Visualizzatore. I ruoli di base sono eccessivi ruoli legacy permissivi e non devono essere concessi agli agenti di servizio. Livello di prezzo: Premium Asset supportati:
Correggi questo risultato :Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi:
Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato
a |
Service agent granted basic role
Nome categoria nell'API: |
Descrizione dei risultati: Il motore per suggerimenti IAM ha rilevato IAM che è stato concesso un agente di servizio uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non dovrebbero agli agenti di servizio. Livello di prezzo: Premium Asset supportati:
Correggi questo risultato :Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi:
Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato
a |
Unused IAM role
Nome categoria nell'API: |
Descrizione dei risultati: Il motore per suggerimenti IAM ha rilevato un account utente con un Ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Livello di prezzo: Premium Asset supportati:
Correggi questo risultato :Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi:
Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato
a |
Risultati CIEM
La tabella seguente elenca i risultati relativi a identità e accesso di Security Command Center per AWS generati da Cloud Infrastructure Entitlement Management (CIEM).
I risultati del CIEM contengono raccomandazioni specifiche per la rimozione o sostituiscono i criteri AWS IAM altamente permissivi associati a identità, utenti o gruppi presunti nel tuo ambiente AWS.
Per saperne di più su CIEM, consulta Panoramica della gestione dei diritti dell'infrastruttura cloud.
Rilevatore | Riepilogo |
---|---|
Assumed identity has excessive permissions
Nome categoria nell'API: |
Descrizione dei risultati: nel tuo ambiente AWS, CIEM ha rilevato un presunto ruolo IAM con uno o più criteri altamente permissivi che violano il principio del privilegio minimo e aumentano i rischi per la sicurezza. Livello di prezzo: Enterprise
Correggi questo risultato :A seconda del risultato, utilizza la console di gestione AWS per eseguire una delle seguenti operazioni attività di correzione:
Fai riferimento ai dettagli del risultato per i passaggi di correzione specifici. |
Group has excessive permissions
Nome categoria nell'API: |
Descrizione dei risultati: nel tuo ambiente AWS, CIEM ha rilevato un gruppo IAM con uno o più criteri altamente permissivi che violano principio del privilegio minimo e aumentare i rischi per la sicurezza. Livello di prezzo: Enterprise Correggi questo risultato :A seconda del risultato, utilizza la console di gestione AWS per eseguire una delle seguenti operazioni attività di correzione:
Fai riferimento ai dettagli del risultato per i passaggi di correzione specifici. |
User has excessive permissions
Nome categoria nell'API: |
Descrizione dei risultati: nel tuo ambiente AWS, CIEM ha rilevato un utente IAM con uno o più criteri altamente permissivi che violano principio del privilegio minimo e aumentare i rischi per la sicurezza. Livello di prezzo: Enterprise Correggi questo risultato :A seconda del risultato, utilizza la console di gestione AWS per eseguire una delle seguenti operazioni attività di correzione:
Fai riferimento ai dettagli del risultato per i passaggi di correzione specifici. |
Risultati del servizio Security posture
La tabella seguente elenca i risultati di Security Command Center generate dal servizio security posture.
Ogni risultato del servizio Security posture identifica un'istanza di deviazione della security posture che hai definito.
Risultato | Riepilogo |
---|---|
SHA Canned Module Drifted
Nome categoria nell'API: |
Descrizione dei risultati: Il servizio security posture ha rilevato una modifica a un rilevatore Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium
Correggi questo risultato :Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le impostazioni del rilevatore nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il rilevatore di Security Health Analytics o il deployment della postura e della postura. Per annullare la modifica, aggiorna il rilevatore di Security Health Analytics nella console Google Cloud. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Per accettare la modifica, completa i seguenti passaggi:
|
SHA Custom Module Drifted
Nome categoria nell'API: |
Descrizione dei risultati: Il servizio security posture ha rilevato una modifica a un modulo personalizzato Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato :Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le impostazioni del modulo personalizzato nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il modulo personalizzato Security Health Analytics o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il modulo personalizzato Security Health Analytics nella console Google Cloud. Per istruzioni, vedi Aggiornare un modulo personalizzato. Per accettare la modifica, completa i seguenti passaggi:
|
SHA Custom Module Deleted
Nome categoria nell'API: |
Descrizione dei risultati: Il servizio Security posture ha rilevato che Security Health Analytics modulo personalizzato è stato eliminato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato :Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le impostazioni del modulo personalizzato nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il modulo personalizzato Security Health Analytics o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il modulo personalizzato Security Health Analytics nella console Google Cloud. Per istruzioni, vedi Aggiornare un modulo personalizzato. Per accettare la modifica, completa i seguenti passaggi:
|
Org Policy Canned Constraint Drifted
Nome categoria nell'API: |
Descrizione dei risultati: Il servizio Security posture ha rilevato una modifica a un criterio dell'organizzazione che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato :Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione o il deployment della postura e della postura. Per annullare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, consulta l'articolo Creare e modificare i criteri. Per accettare la modifica, completa i seguenti passaggi:
|
Org Policy Canned Constraint Deleted
Nome categoria nell'API: |
Descrizione dei risultati: Il servizio Security posture ha rilevato l'eliminazione di un criterio dell'organizzazione. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato :Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione o il deployment della postura e della postura. Per annullare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, consulta l'articolo Creare e modificare i criteri. Per accettare la modifica, completa i seguenti passaggi:
|
Org Policy Custom Constraint Drifted
Nome categoria nell'API: |
Descrizione dei risultati: Il servizio Security posture ha rilevato una modifica a un criterio dell'organizzazione personalizzato che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato :Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione personalizzati nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione personalizzato o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione personalizzato nella console Google Cloud. Per istruzioni, vedi Aggiornare un vincolo personalizzato. Per accettare la modifica, completa i seguenti passaggi:
|
Org Policy Custom Constraint Deleted
Nome categoria nell'API: |
Descrizione dei risultati: Il servizio Security posture ha rilevato che è stato eliminato un criterio dell'organizzazione personalizzato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato :Questo risultato richiede l'accettazione della modifica o il ripristino della modifica in modo che le definizioni dei criteri dell'organizzazione personalizzati nella postura e nell'ambiente corrispondano. Hai due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione personalizzato o il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione personalizzato nella console Google Cloud. Per istruzioni, vedi Aggiornare un vincolo personalizzato. Per accettare la modifica, completa i seguenti passaggi:
|
VM Manager
VM Manager è una suite di strumenti può essere utilizzato per gestire sistemi operativi per grandi parchi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.
Se abiliti VM Manager con Security Command Center Premium a livello di organizzazione, Scritture VM Manager risultati provenienti dai suoi report sulle vulnerabilità, in anteprima, Security Command Center. I report identificano le vulnerabilità nei sistemi operativi. installate sulle VM, tra cui vulnerabilità ed esposizioni comuni (CVE).
Per utilizzare VM Manager con attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione principale.
I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.
I risultati semplificano il processo di utilizzo delle patch di VM Manager Funzionalità di conformità, che è in anteprima. La funzionalità ti permette di applicare una applicazione a livello di organizzazione per tutti i tuoi progetti.
La gravità dei risultati di vulnerabilità ricevuti
VM Manager è sempre CRITICAL
o
HIGH
.
Risultati di VM Manager
Le vulnerabilità di questo tipo riguardano tutti i pacchetti di sistemi operativi installati in di Compute Engine supportate.
Rilevatore | Riepilogo | Impostazioni di analisi degli asset | Standard di conformità |
---|---|---|---|
OS vulnerability
Nome categoria nell'API: |
Descrizione dei risultati: VM Manager ha rilevato una vulnerabilità nel sistema operativo installato per una VM di Compute Engine. Livello di prezzo: Premium
Asset supportati |
di VM Manager i report sulle vulnerabilità descrivono nei dettagli le vulnerabilità dei sistemi operativi installati di pacchetti di sistema per le VM di Compute Engine, . Vulnerabilità ed esposizioni comuni (CVE). Per un elenco completo dei sistemi operativi supportati, vedi Dettagli del sistema operativo.I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati come segue:
|
Correzione dei risultati di VM Manager
Un risultato OS_VULNERABILITY
indica che VM Manager ha trovato un
vulnerabilità nei pacchetti del sistema operativo installati in Compute Engine
VM.
Per correggere questo risultato:
Vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Nella sottosezione Categoria di Filtri rapidi, Seleziona Vulnerabilità del sistema operativo. I risultati della query dei risultati vengono filtrati per mostrare solo i risultati di vulnerabilità del sistema operativo.
Nella colonna Categoria dell'elenco Risultati query dei risultati, fai clic sul nome della categoria del risultato che stai correggendo. La pagina dei dettagli relativa alla vulnerabilità del sistema operativo si apre.
Fai clic sulla scheda JSON. Viene visualizzato il file JSON per questo risultato.
Copia il valore del campo
externalUri
. Questo valore è l'URI Informazioni sul sistema operativo dell'istanza VM di Compute Engine in cui sia installato il sistema operativo vulnerabile.Applica tutte le patch appropriate per il sistema operativo mostrato in Sezione Informazioni di base. Per istruzioni sul deployment delle patch, vedi Creare job di applicazione patch.
asset supportati e sulle impostazioni di scansione di questo tipo di risultato.
Scopri di più sugliEsamina i risultati nella console Google Cloud
Utilizza la seguente procedura per esaminare i risultati nella console Google Cloud:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Nella sezione Filtri rapidi, in Nome visualizzato origine seleziona VM Manager.
La tabella viene compilata con i risultati di VM Manager.
Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome sotto
Category
. Il riquadro dei dettagli per il risultato si apre e mostra la scheda Riepilogo.Nella scheda Riepilogo, esamina le informazioni sul risultato, informazioni su ciò che è stato rilevato, la risorsa ne è stata influenzata e altre ancora.
Per informazioni su come correggere i risultati di VM Manager, consulta Correggere i risultati di VM Manager.
Disattiva risultati di VM Manager
Potresti voler nascondere alcuni o tutti i risultati di VM Manager in Security Command Center se non sono pertinenti ai tuoi requisiti di sicurezza.
Puoi nascondere i risultati di VM Manager creando una regola di disattivazione e aggiungendo attributi di query specifici ai risultati di VM Manager che vuoi nascondere.
Per creare una regola di disattivazione per VM Manager utilizzando nella console Google Cloud, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Fai clic su Opzioni di disattivazione, quindi seleziona Crea regola di disattivazione.
Inserisci un ID regola di disattivazione. Questo valore è obbligatorio.
Inserisci una descrizione della regola di disattivazione che fornisca il contesto per spiegare il motivo dei risultati l'audio è disattivato. Questo valore è facoltativo ma consigliato.
Conferma l'ambito della regola di disattivazione selezionando il valore Risorsa padre.
Nel campo Query dei risultati, crea le tue istruzioni di query in base a facendo clic su Aggiungi filtro. In alternativa, puoi digitare la query manualmente le istruzioni.
- Nella finestra di dialogo Seleziona filtro, scegli Ricerca > Nome visualizzato origine > VM Manager.
- Fai clic su Applica.
Ripeti finché la query di disattivazione non contiene tutti gli attributi che vuoi nascondere.
Ad esempio, se vuoi nascondere ID CVE specifici in i risultati di vulnerabilità di VM Manager, seleziona Vulnerabilità > ID CVE, e seleziona gli ID CVE che vuoi nascondere.
La query dei risultati è simile alla seguente:
Fai clic su Anteprima dei risultati corrispondenti.
Una tabella mostra i risultati corrispondenti alla query.
Fai clic su Salva.
Protezione dei dati sensibili
Questa sezione descrive i risultati di vulnerabilità che Sensitive Data Protection genera, quali standard di conformità supportano, e come correggere i risultati.
Sensitive Data Protection invia anche risultati di osservazione Security Command Center. Per ulteriori informazioni sui risultati dell'osservazione Sensitive Data Protection, vedi Sensitive Data Protection.
Per informazioni su come visualizzare i risultati, consulta Risultati di Sensitive Data Protection in console Google Cloud.
Il servizio di rilevamento di Sensitive Data Protection ti aiuta a determinare se le variabili di ambiente Cloud Functions contengono secret, password, token di autenticazione e credenziali di Google Cloud. Per un elenco completo dei tipi di secret rilevati da Sensitive Data Protection in questa funzionalità, consulta Credenziali e segreti.
Tipo di risultato | Descrizione del risultato | Standard di conformità |
---|---|---|
Secrets in environment variables Nome categoria nell'API: SECRETS_IN_ENVIRONMENT_VARIABLES
|
Questo rilevatore verifica la presenza di secret nelle variabili di ambiente di Cloud Functions.
Soluzione: rimuovi il secret dalla variabile di ambiente e memorizzalo in in Secret Manager. |
CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18 |
Per abilitare questo rilevatore, consulta Segnala secret nell'ambiente a Security Command Center nella documentazione di Sensitive Data Protection.
Policy Controller
Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes registrati come membri del parco risorse. Queste norme fungono da barriere e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse.
Questa pagina non elenca tutti i singoli risultati di Policy Controller, ma
informazioni sui risultati della classe Misconfiguration
che Policy Controller
le scritture in Security Command Center sono le stesse delle violazioni del cluster documentate
per ogni bundle Policy Controller. Documentazione per il singolo Policy Controller
i tipi di risultati sono inclusi nei seguenti bundle di Policy Controller:
- Benchmark CIS per Kubernetes v1.5.1,
un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida sicurezza
postura. Puoi visualizzare informazioni su questo cofanetto anche nella
Repository GitHub per
cis-k8s-v1.5.1
. - PCI DSS v3.2.1,
un bundle che valuta la conformità delle risorse del cluster
alcuni aspetti dello standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI-DSS) v3.2.1.
Puoi visualizzare informazioni su questo cofanetto anche nella
Repository GitHub per
pci-dss-v3
.
Questa funzionalità non è compatibile con i perimetri di servizio Controlli di servizio VPC per l'API Stackdriver.
Individuazione e correzione dei risultati di Policy Controller
Le categorie di Policy Controller corrispondono ai nomi dei vincoli elencati nella
Documentazione sui pacchetti di Policy Controller. Ad esempio, un
require-namespace-network-policies
un risultato indica che uno spazio dei nomi viola il criterio secondo cui ogni spazio dei nomi in un cluster
ha un NetworkPolicy
.
Per correggere un risultato:
Vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Nella sottosezione Categoria di Filtri rapidi, seleziona il nome del risultato di Policy Controller da correggere. La I risultati della query dei risultati vengono filtrati in modo da mostrare solo i risultati relativi a quella categoria.
Nella colonna Categoria dell'elenco Risultati query dei risultati, fai clic sul nome della categoria del risultato che stai correggendo. La pagina dei dettagli del risultato si apre.
Nella scheda Riepilogo, esamina le informazioni sul risultato, informazioni su ciò che è stato rilevato, la risorsa ne è stata influenzata e altre ancora.
Nell'intestazione Passaggi successivi, esamina le informazioni su come correggere il ricercato, inclusi i link alla documentazione di Kubernetes sul problema.
Passaggi successivi
- Scopri come utilizzare Security Health Analytics.
- Scopri come utilizzare Web Security Scanner.
- Leggi i suggerimenti per correggere i risultati di Security Health Analytics e correggere i risultati di Web Security Scanner.