I rilevatori di Security Health Analytics e Web Security Scanner generano risultati relativi alle vulnerabilità disponibili in Security Command Center. Se sono abilitati in Security Command Center, anche i servizi integrati, come VM Manager, generano risultati relativi alle vulnerabilità.
La tua capacità di visualizzare e modificare i risultati dipende dai ruoli e dalle autorizzazioni IAM (Identity and Access Management) che ti sono stati assegnati. Per ulteriori informazioni sui ruoli IAM in Security Command Center, consulta Controllo dell'accesso.
Rilevatori e conformità
Security Command Center monitora la tua conformità con i rilevatori mappati ai controlli di una vasta gamma di standard di sicurezza.
Per ogni standard di sicurezza supportato, Security Command Center controlla un sottoinsieme di controlli. Per i controlli selezionati, Security Command Center mostra quanti sono superati. Per i controlli che non superano la verifica, Security Command Center mostra un elenco di risultati che descrivono gli errori di controllo.
Il CIS esamina e certifica le mappature dei rilevatori di Security Command Center a ogni versione supportata del benchmark CIS Google Cloud Foundations. Le mappature di conformità aggiuntive sono incluse solo a scopo di riferimento.
Security Command Center aggiunge periodicamente il supporto di nuove versioni e nuovi standard di benchmark. Le versioni precedenti rimangono supportate, ma vengono eventualmente ritirate. Ti consigliamo di utilizzare lo standard o il benchmark supportato più recente disponibile.
Con il servizio di stato della sicurezza, puoi mappare i criteri dell'organizzazione e i rilevatori di Security Health Analytics agli standard e ai controlli applicabili alla tua attività. Dopo aver creato una strategia di sicurezza, puoi monitorare eventuali modifiche all'ambiente che potrebbero influire sulla conformità della tua attività.
Per ulteriori informazioni sulla gestione della conformità, consulta Valutare e segnalare la conformità agli standard di sicurezza.
Standard di sicurezza supportati
Google Cloud
Security Command Center mappa i rilevatori per Google Cloud a uno o più dei seguenti standard di conformità:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- Benchmark CIS per Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- International Organization for Standardization (ISO) 27001, 2022 e 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 e R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 e 2017
- Payment Card Industry Data Security Standard (PCI DSS) 4.0 e 3.2.1
- System and Organization Controls (SOC) 2 Trust Services Criteria (TSC) 2017
AWS
Security Command Center mappa i rilevatori per Amazon Web Services (AWS) a uno o più dei seguenti standard di conformità:
Per istruzioni su come visualizzare ed esportare i report sulla conformità, consulta la sezione Conformità in Utilizzare Security Command Center nella console Google Cloud.
Ricerca della disattivazione dopo la correzione
Dopo aver risolto un risultato relativo a una vulnerabilità o a un'errata configurazione, il servizio Security Command Center che ha rilevato il risultato imposta automaticamente lo stato su INACTIVE alla successiva ricerca del risultato da parte del servizio di rilevamento. Il tempo necessario a Security Command Center per impostare un risultato corretto su
INACTIVE dipende dalla pianificazione della scansione che rileva il risultato.
I servizi di Security Command Center impostano anche lo stato di un risultato relativo a vulnerabilità o errata configurazione su INACTIVE quando una scansione rileva che la risorsa interessata dal risultato è stata eliminata.
Per ulteriori informazioni sugli intervalli di scansione, consulta i seguenti argomenti:
Risultati di Security Health Analytics
I rilevatori di Security Health Analytics monitorano un sottoinsieme di risorse di Cloud Asset Inventory (CAI), ricevendo notifiche di modifiche ai criteri delle risorse e di Identity and Access Management (IAM). Alcuni rilevatori recuperano i dati chiamando direttamente le API Google Cloud, come indicato nelle tabelle più avanti in questa pagina.
Per ulteriori informazioni su Security Health Analytics, sulle pianificazioni delle analisi e sul supporto di Security Health Analytics per i rilevatori di moduli integrati e personalizzati, consulta la Panoramica di Security Health Analytics.
Le tabelle seguenti descrivono i rilevatori di Security Health Analytics, gli asset e gli standard di conformità supportati, le impostazioni utilizzate per le analisi e i tipi di risultati generati. Puoi filtrare i risultati in base a vari attributi utilizzando la pagina Vulnerabilità di Security Command Center nella console Google Cloud.
Per istruzioni su come risolvere i problemi e proteggere le risorse, consulta Correzione dei risultati di Security Health Analytics.
Risultati relativi alle vulnerabilità delle chiavi API
Il rilevatore API_KEY_SCANNER identifica le vulnerabilità relative alle chiavi API utilizzate nel tuo deployment sul cloud.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
API key APIs unrestricted
Nome della categoria nell'API: |
Descrizione del problema: Esistono chiavi API utilizzate in modo troppo ampio. Per risolvere il problema, limita l'utilizzo della chiave API in modo da consentire solo le API necessarie all'applicazione. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera la proprietà
|
API key apps unrestricted
Nome della categoria nell'API: |
Descrizione del problema: Esistono chiavi API utilizzate senza limitazioni, il che ne consente l'utilizzo da parte di qualsiasi app non attendibile. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera la proprietà
|
API key exists
Nome della categoria nell'API: |
Descrizione del problema: un progetto utilizza chiavi API anziché l'autenticazione standard. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera tutte le chiavi API di proprietà di un progetto.
|
API key not rotated
Nome della categoria nell'API: |
Descrizione del problema: La chiave API non è stata ruotata da più di 90 giorni. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera il timestamp contenuto nella proprietà
|
Risultati relativi alle vulnerabilità di Cloud Asset Inventory
Le vulnerabilità di questo tipo di rilevatore si riferiscono tutte alle configurazioni di Cloud Asset Inventory e appartengono al tipo CLOUD_ASSET_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Cloud Asset API disabled
Nome della categoria nell'API: |
Descrizione del rilevamento: La raccolta delle risorse Google Cloud e dei criteri IAM da parte di Cloud Asset Inventory consente analisi della sicurezza, monitoraggio delle modifiche delle risorse e controlli di conformità. Ti consigliamo di abilitare il servizio Cloud Asset Inventory per tutti i progetti. Per attivare questo rilevatore è necessaria un'ulteriore configurazione. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il servizio Cloud Asset Inventory è attivo.
|
Risultati relativi alle vulnerabilità delle immagini di Compute
Il rilevatore COMPUTE_IMAGE_SCANNER identifica le vulnerabilità relative alle configurazioni delle immagini Google Cloud.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Public Compute image
Nome della categoria nell'API: |
Descrizione del rilevamento: un'immagine Compute Engine è accessibile pubblicamente. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla il criterio di autorizzazione IAM nei metadati della risorsa per le entità
|
Risultati relativi alle vulnerabilità delle istanze di calcolo
Il rilevatore COMPUTE_INSTANCE_SCANNER identifica le vulnerabilità relative alle configurazioni delle istanze Compute Engine.
I rilevatori COMPUTE_INSTANCE_SCANNER non segnalano risultati nelle istanze Compute Engine create da GKE. Queste istanze hanno nomi che inizia con "gke-" e non possono essere modificate dagli utenti. Per proteggere queste istanze, consulta la sezione Risultati delle vulnerabilità del contenitore.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Confidential Computing disabled
Nome della categoria nell'API: |
Descrizione del problema: Confidential Computing è disabilitato su un'istanza Compute Engine. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Compute project wide SSH keys allowed
Nome della categoria nell'API: |
Descrizione del problema: vengono utilizzate chiavi SSH a livello di progetto, che consentono di accedere a tutte le istanze del progetto. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla l'oggetto
|
Compute Secure Boot disabled
Nome della categoria nell'API: |
Descrizione del problema: in questa VM protetta non è abilitato l'avvio protetto. L'utilizzo dell'avvio protetto consente di proteggere le istanze di macchine virtuali da minacce avanzate come rootkit e bootkit. Livello di prezzo: Premium Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla la proprietà
|
Compute serial ports enabled
Nome della categoria nell'API: |
Descrizione del problema: Le porte seriali sono abilitate per un'istanza, consentendo le connessioni alla console seriale dell'istanza. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla l'oggetto
|
Default service account used
Nome della categoria nell'API: |
Descrizione del problema: Un'istanza è configurata per utilizzare l'account di servizio predefinito. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Disk CMEK disabled
Nome della categoria nell'API: |
Descrizione del rilevamento: i dischi di questa VM non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). Per attivare questo rilevatore è necessaria un'ulteriore configurazione. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla il campo
|
Disk CSEK disabled
Nome della categoria nell'API: |
Descrizione del problema: I dischi di questa VM non sono criptati con chiavi di crittografia fornite dal cliente (CSEK). Per attivare questo rilevatore è necessaria un'ulteriore configurazione. Per le istruzioni, vedi Rilevatore di casi speciali. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il campo
|
Full API access
Nome della categoria nell'API: |
Descrizione del problema: un'istanza è configurata per utilizzare l'account di servizio predefinito con accesso completo a tutte le API Google Cloud. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera il campo
|
HTTP load balancer
Nome della categoria nell'API: |
Descrizione del problema: Un'istanza utilizza un bilanciatore del carico configurato per utilizzare un proxy HTTP di destinazione anziché un proxy HTTPS di destinazione. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Determina se la proprietà
|
Instance OS Login disabled
Nome della categoria nell'API: |
Descrizione del problema: OS Login è disabilitato in questa istanza. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati
Standard di conformità:
|
Controlla se la proprietà
|
IP forwarding enabled
Nome della categoria nell'API: |
Descrizione del problema: L'IP forwarding è abilitato sulle istanze. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
OS login disabled
Nome della categoria nell'API: |
Descrizione del problema: OS Login è disabilitato in questa istanza. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla l'oggetto
|
Public IP address
Nome della categoria nell'API: |
Descrizione del problema: Un'istanza ha un indirizzo IP pubblico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Shielded VM disabled
Nome della categoria nell'API: |
Descrizione del problema: Shielded VM è disabilitata in questa istanza. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Weak SSL policy
Nome della categoria nell'API: |
Descrizione del problema: Un'istanza ha un criterio SSL debole. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se
|
Risultati relativi alle vulnerabilità dei container
Questi tipi di risultati si riferiscono tutti alle configurazioni dei contenitori GKE e appartengono al tipo di rilevatore CONTAINER_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Alpha cluster enabled
Nome della categoria nell'API: |
Descrizione del problema: Le funzionalità del cluster alpha sono abilitate per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Auto repair disabled
Nome della categoria nell'API: |
Descrizione del problema: la funzionalità di riparazione automatica di un cluster GKE, che mantiene i nodi in uno stato di esecuzione corretto, è disabilitata. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Auto upgrade disabled
Nome della categoria nell'API: |
Descrizione del problema: la funzionalità di upgrade automatico di un cluster GKE, che mantiene i cluster e i pool di nodi aggiornati all'ultima versione stabile di Kubernetes, è disabilitata. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Binary authorization disabled
Nome della categoria nell'API: |
Descrizione del problema: l'autorizzazione binaria è disattivata nel cluster GKE o il criterio di autorizzazione binaria è configurato per consentire il deployment di tutte le immagini. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla quanto segue:
|
Cluster logging disabled
Nome della categoria nell'API: |
Descrizione del problema: Il logging non è abilitato per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Cluster monitoring disabled
Nome della categoria nell'API: |
Descrizione del problema: Il monitoraggio è disabilitato sui cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
Cluster private Google access disabled
Nome della categoria nell'API: |
Descrizione del problema: Gli host del cluster non sono configurati per utilizzare solo indirizzi IP interni privati per accedere alle API di Google. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Cluster secrets encryption disabled
Nome della categoria nell'API: |
Descrizione del problema: La crittografia dei secret a livello di applicazione è disabilitata in un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Cluster shielded nodes disabled
Nome della categoria nell'API: |
Descrizione del problema: I nodi GKE protetti non sono abilitati per un cluster. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
COS not used
Nome della categoria nell'API: |
Descrizione del problema: le VM Compute Engine non utilizzano Container-Optimized OS progettato per eseguire i container Docker su Google Cloud in modo sicuro. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Integrity monitoring disabled
Nome della categoria nell'API: |
Descrizione del problema: Il monitoraggio dell'integrità è disabilitato per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Intranode visibility disabled
Nome della categoria nell'API: |
Descrizione del problema: La visibilità tra nodi è disabilitata per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
IP alias disabled
Nome della categoria nell'API: |
Descrizione del problema: è stato creato un cluster GKE con intervalli IP alias disabilitati. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se il campo
|
Legacy authorization enabled
Nome della categoria nell'API: |
Descrizione del problema: l'autorizzazione legacy è abilitata sui cluster GKE. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Legacy metadata enabled
Nome della categoria nell'API: |
Descrizione del problema: I metadati precedenti sono abilitati sui cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Master authorized networks disabled
Nome della categoria nell'API: |
Descrizione del problema: le reti autorizzate del control plane non sono attivate sui cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Network policy disabled
Nome della categoria nell'API: |
Descrizione del problema: il criterio di rete è disabilitato sui cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il campo
|
Nodepool boot CMEK disabled
Nome della categoria nell'API: |
Descrizione del problema: i dischi di avvio in questo pool di nodi non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). Per attivare questo rilevatore è necessaria un'ulteriore configurazione. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla la proprietà
|
Nodepool secure boot disabled
Nome della categoria nell'API: |
Descrizione del problema: L'avvio protetto è disabilitato per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Over privileged account
Nome della categoria nell'API: |
Descrizione del problema: Un account di servizio ha accesso a un progetto eccessivamente ampio in un cluster. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Valuta la proprietà
|
Over privileged scopes
Nome della categoria nell'API: |
Descrizione del problema: Un account di servizio del nodo ha ambiti di accesso ampi. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se l'ambito di accesso elencato nella proprietà
config.oauthScopes di un pool di nodi è un ambito di accesso dell'account di servizio limitato:
https://www.googleapis.com/auth/devstorage.read_only,
https://www.googleapis.com/auth/logging.write o
https://www.googleapis.com/auth/monitoring.
|
Pod security policy disabled
Nome della categoria nell'API: |
Descrizione del problema: PodSecurityPolicy è disattivato su un cluster GKE. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Private cluster disabled
Nome della categoria nell'API: |
Descrizione del problema: In un cluster GKE è stato disabilitato un cluster privato. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Release channel disabled
Nome della categoria nell'API: |
Descrizione del problema: Un cluster GKE non è iscritto a un canale di rilascio. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Web UI enabled
Nome della categoria nell'API: |
Descrizione del problema: l'interfaccia utente web (dashboard) di GKE è abilitata. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla il campo
|
Workload Identity disabled
Nome della categoria nell'API: |
Descrizione del problema: Workload Identity è disabilitato in un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Risultati relativi alle vulnerabilità di Dataproc
Le vulnerabilità di questo tipo di rilevatore riguardano tutte Dataproc e appartengono al tipo di rilevatore DATAPROC_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Dataproc CMEK disabled
Nome della categoria nell'API: |
Descrizione del problema: è stato creato un cluster Dataproc senza una configurazione di crittografia con chiave CMEK. Con CMEK, le chiavi che crei e gestisci in Cloud Key Management Service contengono le chiavi utilizzate da Google Cloud per criptare i tuoi dati, offrendoti un maggiore controllo sull'accesso ai tuoi dati. L'attivazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Dataproc image outdated
Nome della categoria nell'API: |
Descrizione del rilevamento: è stato creato un cluster Dataproc con una versione dell'immagine Dataproc interessata da vulnerabilità di sicurezza nell'utilità Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046). Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla se il campo
|
Risultati relativi alle vulnerabilità dei set di dati
Le vulnerabilità di questo tipo di rilevatore si riferiscono tutte alle configurazioni dei set di dati BigQuery e appartengono al tipo di rilevatore DATASET_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
BigQuery table CMEK disabled
Nome della categoria nell'API: |
Descrizione del problema: una tabella BigQuery non è configurata per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Per attivare questo rilevatore è necessaria un'ulteriore configurazione. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Dataset CMEK disabled
Nome della categoria nell'API: |
Descrizione del problema: un set di dati BigQuery non è configurato per utilizzare una chiave di crittografia gestita dal cliente (CMEK) predefinita. Per attivare questo rilevatore è necessaria un'ulteriore configurazione. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Public dataset
Nome della categoria nell'API: |
Descrizione del problema: Un set di dati è configurato per essere aperto all'accesso pubblico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati della risorsa per le entità
|
Risultati relativi alle vulnerabilità DNS
Le vulnerabilità di questo tipo di rilevatore riguardano tutte le configurazioni di Cloud DNS e appartengono al tipo di rilevatore DNS_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
DNSSEC disabled
Nome della categoria nell'API: |
Descrizione del problema: DNSSEC è disabilitato per le zone Cloud DNS. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
RSASHA1 for signing
Nome della categoria nell'API: |
Descrizione del problema: RSASHA1 viene utilizzato per la firma delle chiavi nelle zone Cloud DNS. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se l'oggetto
|
Risultati relativi alle vulnerabilità del firewall
Le vulnerabilità di questo tipo di rilevatore riguardano tutte le configurazioni del firewall e appartengono al tipo di rilevatore FIREWALL_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Egress deny rule not set
Nome della categoria nell'API: |
Descrizione del problema: Una regola di negazione in uscita non è impostata su un firewall. Le regole di negazione per il traffico in uscita devono essere impostate per bloccare il traffico in uscita indesiderato. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Firewall rule logging disabled
Nome della categoria nell'API: |
Descrizione del problema: Il logging delle regole firewall è disattivato. Il logging delle regole firewall deve essere abilitato per consentirti di eseguire l'audit dell'accesso alla rete. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open Cassandra port
Nome della categoria nell'API: |
Descrizione del problema: Un firewall è configurato in modo da avere una porta Cassandra aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open ciscosecure websm port
Nome della categoria nell'API: |
Descrizione del problema: Un firewall è configurato in modo da avere una porta CISCOSECURE_WEBSM aperta che consente l'accesso generico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open directory services port
Nome della categoria nell'API: |
Descrizione del problema: un firewall è configurato in modo da avere una porta DIRECTORY_SERVICES aperta che consente l'accesso generico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open DNS port
Nome della categoria nell'API: |
Descrizione del problema: Un firewall è configurato per avere una porta DNS aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open elasticsearch port
Nome della categoria nell'API: |
Descrizione del problema: Un firewall è configurato per avere una porta ELASTICSEARCH aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open firewall
Nome della categoria nell'API: |
Descrizione del problema: Un firewall è configurato per essere aperto all'accesso pubblico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla le proprietà
|
Open FTP port
Nome della categoria nell'API: |
Descrizione del rilevamento: Un firewall è configurato per avere una porta FTP aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open HTTP port
Nome della categoria nell'API: |
Descrizione del problema: Un firewall è configurato per avere una porta HTTP aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open LDAP port
Nome della categoria nell'API: |
Descrizione del problema: un firewall è configurato per avere una porta LDAP aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open Memcached port
Nome della categoria nell'API: |
Descrizione del problema: un firewall è configurato per avere una porta MEMCACHED aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open MongoDB port
Nome della categoria nell'API: |
Descrizione del problema: Un firewall è configurato per avere una porta MONGODB aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open MySQL port
Nome della categoria nell'API: |
Descrizione del problema: un firewall è configurato per avere una porta MYSQL aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open NetBIOS port
Nome della categoria nell'API: |
Descrizione del rilevamento: un firewall è configurato per avere una porta NETBIOS aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open OracleDB port
Nome della categoria nell'API: |
Descrizione del problema: Un firewall è configurato per avere una porta ORACLEDB aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open pop3 port
Nome della categoria nell'API: |
Descrizione del rilevamento: un firewall è configurato per avere una porta POP3 aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open PostgreSQL port
Nome della categoria nell'API: |
Descrizione del problema: un firewall è configurato per avere una porta PostgreSQL aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open RDP port
Nome della categoria nell'API: |
Descrizione della segnalazione: un firewall è configurato per avere una porta RDP aperta che consente l'accesso generico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open Redis port
Nome della categoria nell'API: |
Descrizione del rilevamento: Un firewall è configurato per avere una porta REDIS aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Open SMTP port
Nome della categoria nell'API: |
Descrizione del problema: Un firewall è configurato per avere una porta SMTP aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Open SSH port
Nome della categoria nell'API: |
Descrizione del rilevamento: un firewall è configurato per avere una porta SSH aperta che consente l'accesso generico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Open Telnet port
Nome della categoria nell'API: |
Descrizione del rilevamento: Un firewall è configurato per avere una porta TELNET aperta che consente l'accesso generico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Risultati relativi alle vulnerabilità IAM
Le vulnerabilità di questo tipo di rilevatore riguardano tutte la configurazione di Identity and Access Management (IAM) e appartengono al tipo di rilevatore IAM_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Access Transparency disabled
Nome della categoria nell'API: |
Descrizione del problema: Access Transparency di Google Cloud è disattivato per la tua organizzazione. Access Transparency registra quando i dipendenti di Google Cloud accedono ai progetti della tua organizzazione per fornire assistenza. Attiva Access Transparency per registrare chi accede alle tue informazioni da Google Cloud, quando e perché. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se nella tua organizzazione è attivata Access Transparency.
|
Admin service account
Nome della categoria nell'API: |
Descrizione del problema: un account di servizio ha i privilegi Amministratore, Proprietario o Editor. Questi ruoli non devono essere assegnati agli account di servizio creati dall'utente. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati
della risorsa per tutti gli account di servizio creati dall'utente (indicati
dal prefisso iam.gserviceaccount.com),
a cui sono assegnati
|
Essential Contacts Not Configured
Nome della categoria nell'API: |
Descrizione del problema: La tua organizzazione non ha designato una persona o un gruppo per ricevere notifiche da Google Cloud su eventi importanti come attacchi, vulnerabilità e incidenti relativi ai dati all'interno della tua organizzazione Google Cloud. Ti consigliamo di designare come contatto necessario una o più persone o gruppi della tua organizzazione aziendale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica che sia specificato un contatto per le seguenti categorie di contatti essenziali:
|
KMS role separation
Nome della categoria nell'API: |
Descrizione del problema: La separazione dei compiti non è impostata ed esiste un utente che dispone contemporaneamente di uno dei seguenti ruoli di Cloud Key Management Service (Cloud KMS): Autore crittografia/decrittografia CryptoKey, Autore crittografia o Decriptatore. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla i criteri di autorizzazione IAM nei metadati delle risorse
e recupera le entità a cui sono assegnati contemporaneamente uno dei seguenti
ruoli:
roles/cloudkms.cryptoKeyEncrypterDecrypter,
roles/cloudkms.cryptoKeyEncrypter e
roles/cloudkms.cryptoKeyDecrypter,
roles/cloudkms.signer,
roles/cloudkms.signerVerifier,
roles/cloudkms.publicKeyViewer.
|
Non org IAM member
Nome della categoria nell'API: |
Descrizione del rilevamento: esiste un utente che non utilizza le credenziali dell'organizzazione. In base a CIS GCP Foundations 1.0, attualmente, solo le identità con indirizzi email @gmail.com attivano questo rilevatore. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Confronta gli indirizzi email @gmail.com nel
|
Open group IAM member
Nome della categoria nell'API: |
Descrizione del problema: Un account Google Gruppi a cui è possibile partecipare senza approvazione viene utilizzato come entità dei criteri IAM per consentire. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla il criterio IAM nei metadati della risorsa per verificare la presenza di eventuali associazioni contenenti un membro (entità) con prefisso group. Se il gruppo è un gruppo aperto, Security Health Analytics genera questo risultato.
|
Over privileged service account user
Nome della categoria nell'API: |
Descrizione del problema: un utente dispone del ruolo Utente account di servizio o Creatore token account di servizio a livello di progetto, anziché per un account di servizio specifico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati
della risorsa per eventuali entità assegnate
roles/iam.serviceAccountUser o
roles/iam.serviceAccountTokenCreator a livello di
progetto.
|
Primitive roles used
Nome della categoria nell'API: |
Descrizione del rilevamento: Un utente dispone di uno dei seguenti ruoli di base:
Questi ruoli sono troppo permissivi e non devono essere utilizzati. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati della risorsa per eventuali entità a cui è assegnato un ruolo
|
Redis role used on org
Nome della categoria nell'API: |
Descrizione del problema: Un ruolo IAM Redis è assegnato a livello di organizzazione o cartella. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium
Asset supportati
Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati della risorsa per i principali assegnati
|
Service account role separation
Nome della categoria nell'API: |
Descrizione del problema: A un utente sono stati assegnati i ruoli Amministratore account di servizio e Utente account di servizio. Ciò viola il principio di "separazione dei compiti". Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati della risorsa per eventuali entità a cui sono assegnati sia roles/iam.serviceAccountUser sia roles/iam.serviceAccountAdmin.
|
Service account key not rotated
Nome della categoria nell'API: |
Descrizione del problema: La chiave di un account di servizio non è stata ruotata da più di 90 giorni. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Valuta il timestamp di creazione della chiave acquisito nella proprietà
|
User managed service account key
Nome della categoria nell'API: |
Descrizione del problema: Un utente gestisce una chiave dell'account di servizio. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
Risultati relativi alle vulnerabilità di KMS
Le vulnerabilità di questo tipo di rilevatore riguardano tutte le configurazioni di Cloud KMS e appartengono al tipo di rilevatore KMS_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
KMS key not rotated
Nome della categoria nell'API: |
Descrizione del problema: la rotazione non è configurata su una chiave di crittografia Cloud KMS. Le chiavi devono essere ruotate entro un periodo di 90 giorni. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla l'esistenza di proprietà
|
KMS project has owner
Nome della categoria nell'API: |
Descrizione del problema: un utente dispone delle autorizzazioni di proprietario per un progetto con chiavi di crittografia. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati del progetto per le entità assegnate
|
KMS public key
Nome della categoria nell'API: |
Descrizione del problema: una chiave di crittografia Cloud KMS è accessibile pubblicamente. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati della risorsa per le entità
|
Too many KMS users
Nome della categoria nell'API: |
Descrizione del problema: Esistono più di tre utenti delle chiavi di crittografia. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla i criteri di autorizzazione IAM per i portachiavi,
i progetti e le organizzazioni e recupera i principali con
ruoli che consentono loro di criptare, decriptare o firmare i dati utilizzando
le chiavi Cloud KMS: roles/owner,
roles/cloudkms.cryptoKeyEncrypterDecrypter,
roles/cloudkms.cryptoKeyEncrypter,
roles/cloudkms.cryptoKeyDecrypter,
roles/cloudkms.signer e
roles/cloudkms.signerVerifier.
|
Registrazione dei risultati relativi alle vulnerabilità
Le vulnerabilità di questo tipo di rilevatore riguardano tutte le configurazioni di logging e appartengono al tipo di rilevatore LOGGING_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Audit logging disabled
Nome della categoria nell'API: |
Descrizione del problema: La registrazione degli audit è stata disattivata per questa risorsa. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati della risorsa per verificare l'esistenza di un oggetto
|
Bucket logging disabled
Nome della categoria nell'API: |
Descrizione del problema: Esiste un bucket di archiviazione senza logging abilitato. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Locked retention policy not set
Nome della categoria nell'API: |
Descrizione del problema: Per i log non è impostato un criterio di conservazione bloccato. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Log not exported
Nome della categoria nell'API: |
Descrizione del problema: Per una risorsa non è stato configurato un canale di destinazione per i log appropriato. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati
Standard di conformità:
|
Recupera un oggetto
|
Object versioning disabled
Nome della categoria nell'API: |
Descrizione del problema: Il controllo delle versioni degli oggetti non è abilitato in un bucket di archiviazione in cui sono configurati gli sink. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Monitoraggio dei risultati relativi alle vulnerabilità
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di monitoraggio
e appartengono al tipo MONITORING_SCANNER. Tutte le proprietà dei risultati del rilevatore di monitoraggio includono:
-
Il
RecommendedLogFilterda utilizzare per creare le metriche dei log. -
I
QualifiedLogMetricNamesche coprono le condizioni elencate nel filtro dei log consigliato. -
AlertPolicyFailureReasonsche indicano se nel progetto non sono stati creati criteri di avviso per nessuna delle metriche dei log idonee o se i criteri di avviso esistenti non hanno le impostazioni consigliate.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Audit config not monitored
Nome della categoria nell'API: |
Descrizione del problema: Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alla configurazione di controllo. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* e, se è specificato resource.type, che il valore sia global.
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, controllando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Bucket IAM not monitored
Nome della categoria nell'API: |
Descrizione del problema: Le metriche dei log e gli avvisi non sono configurati per monitorare le modifiche alle autorizzazioni IAM di Cloud Storage. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions".
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, controllando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Custom role not monitored
Nome della categoria nell'API: |
Descrizione del problema: Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche ai ruoli personalizzati. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole").
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, controllando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Firewall not monitored
Nome della categoria nell'API: |
Descrizione del problema: Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alle regole del firewall di rete Virtual Private Cloud (VPC). Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete").
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, controllando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Network not monitored
Nome della categoria nell'API: |
Descrizione del problema: Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alla rete VPC. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering").
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, controllando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Owner not monitored
Nome della categoria nell'API: |
Descrizione del problema: Le metriche e gli avvisi dei log non sono configurati per monitorare le assegnazioni o le modifiche alla proprietà del progetto. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") e, se è specificato resource.type, che il valore sia global.
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, controllando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Route not monitored
Nome della categoria nell'API: |
Descrizione del problema: Le metriche dei log e gli avvisi non sono configurati per monitorare le modifiche alle route della rete VPC. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert").
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, controllando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
SQL instance not monitored
|
Descrizione del problema: Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alla configurazione delle istanze Cloud SQL. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" e, se è specificato resource.type, che il valore sia global.
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, controllando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Risultati dell'autenticazione a più fattori
Il rilevatore MFA_SCANNER identifica le vulnerabilità relative all'autenticazione
a più fattori per gli utenti.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
MFA not enforced
Nome della categoria nell'API: |
Alcuni utenti non utilizzano la verifica in due passaggi. Google Workspace ti consente di specificare un periodo di tolleranza per la registrazione per i nuovi utenti durante il quale devono registrarsi per la verifica in due passaggi. Questo rilevatore genera risultati per gli utenti durante il periodo di tolleranza della registrazione. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Valuta i criteri di gestione delle identità nelle organizzazioni e le impostazioni utente per gli account gestiti in Cloud Identity.
|
Risultati relativi alle vulnerabilità di rete
Le vulnerabilità di questo tipo di rilevatore si riferiscono tutte alle configurazioni di rete di un'organizzazione e appartengono al tipoNETWORK_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Default network
Nome della categoria nell'API: |
Descrizione del problema: La rete predefinita esiste in un progetto. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
DNS logging disabled
Nome della categoria nell'API: |
Descrizione del problema: Il logging DNS su una rete VPC non è abilitato. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla tutti i
|
Legacy network
Nome della categoria nell'API: |
Descrizione del problema: In un progetto esiste una rete legacy. Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla l'esistenza della proprietà
|
Load balancer logging disabled
Nome della categoria nell'API: |
Descrizione del problema: Il logging è disabilitato per il bilanciatore del carico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Risultati relativi alle vulnerabilità dei criteri dell'organizzazione
Le vulnerabilità di questo tipo di rilevamento sono tutte correlate alle configurazioni dei vincoli dei criteri dell'organizzazione e appartengono al tipo ORG_POLICY.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Org policy Confidential VM policy
Nome della categoria nell'API: |
Descrizione del rilevamento:
una risorsa Compute Engine non è conforme ai criteri dell'organizzazione
constraints/compute.restrictNonConfidentialComputing. Per ulteriori informazioni su questo vincolo dei criteri
dell'organizzazione, consulta
Applicare i vincoli dei criteri dell'organizzazione
nelle VM riservate.
Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla se la proprietà
|
Org policy location restriction
Nome della categoria nell'API: |
Descrizione del problema:
una risorsa Compute Engine non è conforme al vincolo constraints/gcp.resourceLocations. Per ulteriori informazioni su questo vincolo dei criteri dell'organizzazione, consulta Applicare i vincoli dei criteri dell'organizzazione.
Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla la proprietà
|
|
Asset supportati per ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Poiché gli asset Cloud KMS non possono essere eliminati, l'asset non è considerato al di fuori della regione se i suoi dati sono stati distrutti. 2 Poiché i job di importazione di Cloud KMS hanno un ciclo di vita controllato e non possono essere interrotti in anticipo, un job di importazione non è considerato al di fuori della regione se è scaduto e non può più essere utilizzato per importare le chiavi. 3 Poiché il ciclo di vita dei job di Dataflow non può essere gestito, un job non è considerato fuori regione una volta raggiunto uno stato terminale (interrotto o svuotato), in cui non può più essere utilizzato per l'elaborazione dei dati. |
||
Risultati relativi alle vulnerabilità di Pub/Sub
Le vulnerabilità di questo tipo di rilevatore riguardano tutte le configurazioni Pub/Sub e appartengono al tipo PUBSUB_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Pubsub CMEK disabled
Nome della categoria nell'API: |
Descrizione del problema: Un argomento Pub/Sub non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Per attivare questo rilevatore è necessaria un'ulteriore configurazione. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla il campo
|
Risultati relativi alle vulnerabilità SQL
Le vulnerabilità di questo tipo di rilevatore si riferiscono tutte alle configurazioni di Cloud SQL e appartengono al tipo SQL_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
AlloyDB auto backup disabled
Nome della categoria nell'API: |
Descrizione del problema: In un cluster AlloyDB per PostgreSQL non sono abilitati i backup automatici. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
AlloyDB backups disabled
Nome della categoria nell'API: |
Descrizione del problema: In un cluster AlloyDB per PostgreSQL non sono abilitati i backup. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se le proprietà
|
AlloyDB CMEK disabled
Nome della categoria nell'API: |
Descrizione del rilevamento: un cluster AlloyDB non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il campo
|
AlloyDB log min error statement severity
Nome della categoria nell'API: |
Descrizione del problema:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Per garantire una copertura adeguata dei tipi di messaggio nei log, viene generato un rilevamento se il
campo
|
AlloyDB log min messages
Nome della categoria nell'API: |
Descrizione del problema:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Per garantire una copertura adeguata dei tipi di messaggio nei log, genera un rilevamento se il
campo
|
AlloyDB log error verbosity
Nome della categoria nell'API: |
Descrizione del problema:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Per garantire una copertura adeguata dei tipi di messaggio nei log, viene generato un rilevamento se il
campo
|
AlloyDB public IP
Nome della categoria nell'API: |
Descrizione del problema: Un'istanza di database AlloyDB per PostgreSQL ha un indirizzo IP pubblico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
AlloyDB SSL not enforced
Nome della categoria nell'API: |
Descrizione del problema: un'istanza del database AlloyDB per PostgreSQL non richiede che tutte le connessioni in entrata utilizzino SSL. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
Auto backup disabled
Nome della categoria nell'API: |
Descrizione del problema: Per un database Cloud SQL non sono abilitati i backup automatici. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Public SQL instance
Nome della categoria nell'API: |
Descrizione del problema: un'istanza del database Cloud SQL accetta connessioni da tutti gli indirizzi IP. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SSL not enforced
Nome della categoria nell'API: |
Descrizione del problema: un'istanza del database Cloud SQL non richiede che tutte le connessioni in entrata utilizzino SSL. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL CMEK disabled
Nome della categoria nell'API: |
Descrizione del problema: un'istanza del database SQL non è criptata con le chiavi di crittografia gestite dal cliente (CMEK). Per attivare questo rilevatore è necessaria un'ulteriore configurazione. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla il campo
|
SQL contained database authentication
Nome della categoria nell'API: |
Descrizione del problema:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL cross DB ownership chaining
Nome della categoria nell'API: |
Descrizione del problema:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL external scripts enabled
Nome della categoria nell'API: |
Descrizione del problema:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL local infile
Nome della categoria nell'API: |
Descrizione del problema:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log checkpoints disabled
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log connections disabled
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log disconnections disabled
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log duration disabled
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log error verbosity
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log lock waits disabled
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log min duration statement enabled
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log min error statement
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
SQL log min error statement severity
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
SQL log min messages
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Per garantire una copertura adeguata dei tipi di messaggio nei log, genera un rilevamento se il
campo
|
SQL log executor stats enabled
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log hostname enabled
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log parser stats enabled
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log planner stats enabled
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log statement
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log statement stats enabled
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log temp files
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL no root password
Nome della categoria nell'API: |
Descrizione del problema: un database Cloud SQL con un indirizzo IP pubblico non ha una password configurata per l'account root. Per attivare questo rilevatore è necessaria un'ulteriore configurazione. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL public IP
Nome della categoria nell'API: |
Descrizione del problema: un database Cloud SQL ha un indirizzo IP pubblico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il tipo di indirizzo IP di un
database Cloud SQL è impostato su
|
SQL remote access enabled
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL skip show database disabled
Nome della categoria nell'API: |
Descrizione del problema:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL trace flag 3625
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL user connections configured
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL user options configured
Nome della categoria nell'API: |
Descrizione del problema:
Il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL weak root password
Nome della categoria nell'API: |
Descrizione del problema: un database Cloud SQL che ha un indirizzo IP pubblico ha anche una password debole configurata per l'account root. Per attivare questo rilevatore è necessaria un'ulteriore configurazione. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Confronta la password dell'account root del tuo database Cloud SQL con un elenco di password comuni.
|
Risultati relativi alle vulnerabilità dello spazio di archiviazione
Le vulnerabilità di questo tipo di rilevatore si riferiscono tutte alle configurazioni dei bucket Cloud Storage e appartengono al tipoSTORAGE_SCANNER.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Bucket CMEK disabled
Nome della categoria nell'API: |
Descrizione del problema: un bucket non è criptato con chiavi di crittografia gestite dal cliente (CMEK). L'attivazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, vedi attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla il campo
|
Bucket policy only disabled
Nome della categoria nell'API: |
Descrizione del problema: L'accesso uniforme a livello di bucket, precedentemente chiamato Solo criterio bucket, non è configurato. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
Public bucket ACL
Nome della categoria nell'API: |
Descrizione del problema: Un bucket Cloud Storage è accessibile pubblicamente. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM di un bucket per i ruoli pubblici
|
Public log bucket
Nome della categoria nell'API: |
Descrizione del problema: un bucket di archiviazione utilizzato come sink di log è accessibile al pubblico. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM di un bucket per
le entità
|
Risultati relativi alle vulnerabilità della sottorete
Le vulnerabilità di questo tipo di rilevatore si riferiscono tutte alle configurazioni delle sottoreti di un'organizzazione e appartengono alSUBNETWORK_SCANNERtipo.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
Flow logs disabled
Nome della categoria nell'API: |
Descrizione del problema: esiste una subnet VPC in cui i log di flusso sono disabilitati. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Flow logs settings not recommended
Nome della categoria nell'API: |
Descrizione del problema: Per una subnet VPC, i log di flusso VPC sono disattivati o non sono configurati in base ai consigli di CIS Benchmark 1.3. L'attivazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Private Google access disabled
Nome della categoria nell'API: |
Descrizione del problema: Esistono sottoreti private senza accesso alle API pubbliche di Google. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Risultati AWS
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
|
Nome della categoria nell'API: |
Descrizione del risultato: AWS CloudShell è un modo pratico per eseguire comandi CLI sui servizi AWS. Un criterio IAM gestito ("AWSCloudShellFullAccess") fornisce l'accesso completo a CloudShell, che consente di caricare e scaricare file tra il sistema locale di un utente e l'ambiente CloudShell. Nell'ambiente CloudShell un utente dispone delle autorizzazioni sudo e può accedere a internet. Pertanto, è possibile installare software di trasferimento file (ad esempio) e spostare i dati da CloudShell a server internet esterni. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che l'accesso ad AWSCloudShellFullAccess sia limitato
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Le chiavi di accesso sono costituite da un ID chiave di accesso e da una chiave di accesso segreta, che vengono utilizzate per firmare le richieste programmatiche che invii ad AWS. Gli utenti AWS hanno bisogno delle proprie chiavi di accesso per effettuare chiamate programmatiche ad AWS dall'interfaccia a riga di comando di AWS (AWS CLI), dagli strumenti per Windows PowerShell, dagli SDK AWS o da chiamate HTTP dirette utilizzando le API per i singoli servizi AWS. Consigliamo di ruotare regolarmente tutte le chiavi di accesso. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che le chiavi di accesso vengano ruotate ogni 90 giorni o meno
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Per abilitare le connessioni HTTPS al tuo sito web o alla tua applicazione in AWS, devi disporre di un certificato del server SSL/TLS. Puoi utilizzare ACM o IAM per archiviare ed eseguire il deployment dei certificati del server. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che tutti i certificati SSL/TLS scaduti archiviati in AWS IAM vengano rimossi
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se i gruppi di scalabilità automatica associati a un bilanciatore del carico utilizzano i controlli di integrità di Elastic Load Balancing. In questo modo, il gruppo può determinare lo stato di un'istanza in base a test aggiuntivi forniti dal bilanciatore del carico. L'utilizzo dei controlli di integrità di Elastic Load Balancing può contribuire a supportare la disponibilità delle applicazioni che utilizzano i gruppi di scalabilità automatica EC2. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i gruppi di scalabilità automatica associati a un bilanciatore del carico utilizzino controlli di integrità
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Assicurati che per le istanze di database RDS sia attivato il flag di upgrade automatico della versione secondaria per ricevere automaticamente gli upgrade del motore secondario durante la periodo di manutenzione specificata. Di conseguenza, le istanze RDS possono ricevere le nuove funzionalità, le correzioni di bug e le patch di sicurezza per i relativi motori di database. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che la funzionalità di upgrade automatico della versione secondaria sia abilitata per le istanze RDS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: AWS Config è un servizio web che esegue la gestione della configurazione delle risorse AWS supportate all'interno del tuo account e ti fornisce i file di log. Le informazioni registrate includono l'elemento di configurazione (risorsa AWS), le relazioni tra gli elementi di configurazione (risorse AWS) e eventuali modifiche alla configurazione tra le risorse. Ti consigliamo di abilitare AWS Config in tutte le regioni. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che AWS Config sia abilitato in tutte le regioni
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Security Hub raccoglie i dati di sicurezza da tutti gli account, i servizi e i prodotti partner di terze parti supportati di AWS e ti aiuta ad analizzare le tendenze di sicurezza e a identificare i problemi di sicurezza con la massima priorità. Quando attivi Security Hub, questo inizia a utilizzare, aggregare, organizzare e dare la priorità ai risultati dei servizi AWS che hai attivato, come Amazon GuardDuty, Amazon Inspector e Amazon Macie. Puoi anche attivare le integrazioni con i prodotti di sicurezza dei partner AWS. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che AWS Security Hub sia abilitato
|
|
Nome della categoria nell'API: |
Descrizione del risultato: AWS CloudTrail è un servizio web che registra le chiamate all'API AWS per un account e rende disponibili questi log per gli utenti e le risorse in conformità con i criteri IAM. AWS Key Management Service (KMS) è un servizio gestito che consente di creare e controllare le chiavi di crittografia utilizzate per criptare i dati dell'account e utilizza moduli di sicurezza hardware (HSM) per proteggere la sicurezza delle chiavi di crittografia. I log di CloudTrail possono essere configurati per sfruttare la crittografia lato server (SSE) e le chiavi master (CMK) create dal cliente di KMS per proteggere ulteriormente i log di CloudTrail. Ti consigliamo di configurare CloudTrail in modo da utilizzare SSE-KMS. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che i log di CloudTrail siano crittografati at-rest mediante chiavi CMK di KMS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: La convalida del file di log di CloudTrail crea un file digest firmato digitalmente contenente un hash di ogni log scritto da CloudTrail in S3. Questi file di digest possono essere utilizzati per determinare se un file di log è stato modificato, eliminato o non modificato dopo che CloudTrail ha inviato il log. Ti consigliamo di abilitare la convalida dei file su tutti i CloudTrail. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che la convalida del file di log di CloudTrail sia abilitata
|
|
Nome della categoria nell'API: |
Descrizione del risultato: AWS CloudTrail è un servizio web che registra le chiamate all'API AWS effettuate in un determinato account AWS. Le informazioni registrate includono l'identità dell'autore della chiamata API, l'ora della chiamata API, l'indirizzo IP di origine dell'autore della chiamata API, i parametri di richiesta e gli elementi di risposta restituiti dal servizio AWS. CloudTrail utilizza Amazon S3 per l'archiviazione e la consegna dei file di log, pertanto i file di log vengono archiviati in modo duraturo. Oltre a acquisire i log di CloudTrail in un bucket S3 specificato per l'analisi a lungo termine, puoi eseguire l'analisi in tempo reale configurando CloudTrail in modo da inviare i log a CloudWatch Logs. Per un trail abilitato in tutte le regioni di un account, CloudTrail invia i file di log da tutte queste regioni a un gruppo di log di CloudWatch Logs. Ti consigliamo di inviare i log di CloudTrail a CloudWatch Logs. Nota: lo scopo di questo consiglio è garantire che l'attività dell'account AWS venga acquisita, monitorata e generata in modo appropriato. CloudWatch Logs è un modo nativo per farlo utilizzando i servizi AWS, ma non preclude l'utilizzo di una soluzione alternativa. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che i trail di CloudTrail siano integrati con i log di CloudWatch
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se in Amazon CloudWatch sono definite azioni quando un allarme passa da uno stato all'altro tra "OK", "ALLARME" e "INSUFFICIENT_DATA". La configurazione delle azioni per lo stato ALARM negli avvisi Amazon CloudWatch è molto importante per attivare una risposta immediata quando le metriche monitorate superano le soglie. Gli allarmi hanno almeno un'azione. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se per gli allarmi CloudWatch è abilitata almeno un'azione allarme, un'azione INSUFFICIENT_DATA o un'azione Ok.
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Questo controllo garantisce che i log di CloudWatch siano configurati con KMS. I dati del gruppo di log sono sempre criptati in CloudWatch Logs. Per impostazione predefinita, CloudWatch Logs utilizza la crittografia lato server per i dati dei log at-rest. In alternativa, puoi utilizzare AWS Key Management Service per questa crittografia. In questo caso, la crittografia viene eseguita utilizzando una chiave KMS AWS. La crittografia con AWS KMS è abilitata a livello di gruppo di log associando una chiave KMS a un gruppo di log, quando lo crei o dopo che è stato creato. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i gruppi di log in Amazon CloudWatch Logs siano criptati con KMS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Questo controllo verifica se i trail di CloudTrail sono configurati per inviare i log a CloudWatch Logs. Il controllo non va a buon fine se la proprietà CloudWatchLogsLogGroupArn del percorso è vuota. CloudTrail registra le chiamate all'API AWS effettuate in un determinato account. Le informazioni registrate includono quanto segue:
CloudTrail utilizza Amazon S3 per l'archiviazione e la consegna dei file di log. Puoi acquisire i log di CloudTrail in un bucket S3 specificato per l'analisi a lungo termine. Per eseguire analisi in tempo reale, puoi configurare CloudTrail in modo da inviare i log a CloudWatch Logs. Per un trail abilitato in tutte le regioni di un account, CloudTrail invia i file di log da tutte queste regioni a un gruppo di log di CloudWatch Logs. Security Hub consiglia di inviare i log di CloudTrail a CloudWatch Logs. Tieni presente che questo consiglio ha lo scopo di garantire che l'attività dell'account venga acquisita, monitorata e segnalata in modo appropriato. Puoi utilizzare CloudWatch Logs per configurare questa operazione con i tuoi servizi AWS. Questo consiglio non preclude l'utilizzo di una soluzione diversa. L'invio dei log di CloudTrail a CloudWatch Logs semplifica la registrazione delle attività in tempo reale e storiche in base a utente, API, risorsa e indirizzo IP. Puoi utilizzare questo approccio per impostare avvisi e notifiche per attività anomale o sensibili dell'account. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i trail di CloudTrail siano configurati in modo da inviare i log ad AWS CloudWatch
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Viene controllato se il progetto contiene le variabili di ambiente Le credenziali di autenticazione Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i progetti contenenti le variabili env AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non siano in testo non crittografato
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se l'URL del repository di origine Bitbucket di un progetto AWS CodeBuild contiene token di accesso personali o un nome utente e una password. Il controllo non va a buon fine se l'URL del repository di origine Bitbucket contiene token di accesso personali o un nome utente e una password. Le credenziali di accesso non devono essere archiviate o trasmesse in testo normale né apparire nell'URL del repository di origine. Anziché token di accesso personali o credenziali di accesso, devi accedere al tuo provider di origine in CodeBuild e modificare l'URL del repository di origine in modo che contenga solo il percorso della posizione del repository Bitbucket. L'utilizzo di token di accesso personali o credenziali di accesso potrebbe comportare l'esposizione indesiderata dei dati o l'accesso non autorizzato. Livello di prezzo: Enterprise Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla che tutti i progetti che usano github o bitbucket come origine utilizzino oauth
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Gli utenti IAM AWS possono accedere alle risorse AWS utilizzando diversi tipi di credenziali, come password o chiavi di accesso. Ti consigliamo di disattivare o rimuovere tutte le credenziali non utilizzate da almeno 45 giorni. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che le credenziali non utilizzate per almeno 45 giorni siano disattivate
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Un VPC è dotato di un gruppo di sicurezza predefinito le cui impostazioni iniziali negano tutto il traffico in entrata, consentono tutto il traffico in uscita e consentono tutto il traffico tra le istanze assegnate al gruppo di sicurezza. Se non specifichi un gruppo di sicurezza quando avvii un'istanza, l'istanza viene assegnata automaticamente a questo gruppo di sicurezza predefinito. I gruppi di sicurezza forniscono il filtro stateful del traffico di rete in entrata/in uscita verso le risorse AWS. È consigliabile che il gruppo di sicurezza predefinito limiti tutto il traffico. Il gruppo di sicurezza predefinito del VPC predefinito in ogni regione deve essere aggiornato per garantire la conformità. Le VPC appena create conterranno automaticamente un gruppo di sicurezza predefinito che dovrà essere sottoposto a correzione per essere conforme a questo consiglio. NOTA:quando implementi questo consiglio, il logging dei flussi VPC è fondamentale per determinare l'accesso alle porte con privilegio minimo richiesto dai sistemi per funzionare correttamente, perché può registrare tutte le accettazioni e i rifiuti dei pacchetti che si verificano nei gruppi di sicurezza attuali. Ciò riduce drasticamente la principale barriera all'ingegneria privilegio minimo: la scoperta delle porte minime richieste dai sistemi nell'ambiente. Anche se il consiglio per la registrazione dei flussi VPC in questo benchmark non viene adottato come misura di sicurezza permanente, deve essere utilizzato durante qualsiasi periodo di rilevamento e progettazione per i gruppi di sicurezza con privilegi minimi. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se le istanze di replica di AWS DMS sono pubbliche. A questo scopo, esamina il valore del campo Un'istanza di replica privata ha un indirizzo IP privato a cui non puoi accedere dall'esterno della rete di replica. Un'istanza di replica deve avere un indirizzo IP privato quando i database di origine e di destinazione si trovano nella stessa rete. La rete deve essere collegata anche al VPC dell'istanza di replica utilizzando una VPN, AWS Direct Connect o il peering VPC. Per scoprire di più sulle istanze di replica pubbliche e private, consulta la sezione Istanze di replica pubbliche e private nella Guida dell'utente di AWS Database Migration Service. Devi anche assicurarti che l'accesso alla configurazione dell'istanza AWS DMS sia limitato solo agli utenti autorizzati. A questo scopo, limita le autorizzazioni IAM degli utenti alla modifica delle impostazioni e delle risorse AWS DMS. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se le istanze di replica di AWS Database Migration Service sono pubbliche
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Per impostazione predefinita, la console AWS non seleziona alcuna casella di controllo quando viene creato un nuovo utente IAM. Quando crei le credenziali utente IAM, devi determinare il tipo di accesso richiesto. Accesso programmatico: l'utente IAM potrebbe dover effettuare chiamate API, utilizzare AWS CLI o gli strumenti per Windows PowerShell. In questo caso, crea una chiave di accesso (ID chiave di accesso e chiave di accesso segreta) per l'utente. Accesso alla Console di gestione AWS: se l'utente deve accedere alla Console di gestione AWS, crea una password per l'utente. Livello di prezzo: Enterprise Standard di conformità:
|
Non impostare le chiavi di accesso durante la configurazione utente iniziale per tutti gli utenti IAM che dispongono di una password della console
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Verifica se una tabella Amazon DynamoDB può scalare la propria capacità di lettura e scrittura in base alle esigenze. Questo controllo viene superato se la tabella utilizza la modalità di capacità on demand o la modalità di provisioning con la scalabilità automatica configurata. La scalabilità della capacità in base alla domanda evita le eccezioni di throttling, il che contribuisce a mantenere la disponibilità delle applicazioni. Le tabelle DynamoDB in modalità di capacità on demand sono limitate solo dalle quote di tabella predefinite per il throughput di DynamoDB. Per aumentare queste quote, puoi aprire un ticket di assistenza tramite l'assistenza AWS. Le tabelle DynamoDB in modalità di provisioning con la scalabilità automatica regolano dinamicamente la capacità di throughput di cui è stato eseguito il provisioning in base ai pattern di traffico. Per ulteriori informazioni sulla limitazione delle richieste di DynamoDB, consulta la sezione Limitazione delle richieste e capacità di picco nella Guida per gli sviluppatori di Amazon DynamoDB. Livello di prezzo: Enterprise Standard di conformità:
|
Le tabelle DynamoDB devono scalare automaticamente la capacità in base alla domanda
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Questo controllo valuta se una tabella DynamoDB è coperta da un piano di backup. Il controllo non va a buon fine se una tabella DynamoDB non è coperta da un piano di backup. Questo controllo valuta solo le tabelle DynamoDB nello stato ACTIVE. I backup ti aiutano a recuperare più rapidamente da un incidente di sicurezza. Inoltre, rafforzano la resilienza dei tuoi sistemi. L'inclusione delle tabelle DynamoDB in un piano di backup ti aiuta a proteggere i tuoi dati da perdita o eliminazione involontarie. Livello di prezzo: Enterprise Standard di conformità:
|
Le tabelle DynamoDB devono essere coperte da un piano di backup
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Il recupero point-in-time (PITR) è uno dei meccanismi disponibili per il backup delle tabelle DynamoDB. Un backup in un determinato momento viene conservato per 35 giorni. Se il tuo requisito prevede una conservazione più lunga, consulta Configurare i backup pianificati per Amazon DynamoDB utilizzando AWS Backup nella documentazione AWS. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che il recupero point-in-time (PITR) sia abilitato per tutte le tabelle AWS DynamoDB
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se tutte le tabelle DynamoDB sono criptate con una chiave KMS gestita dal cliente (non predefinita). Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutte le tabelle DynamoDB siano criptate con AWS Key Management Service (KMS)
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se l'ottimizzazione EBS è abilitata per le istanze EC2 che possono essere ottimizzate per EBS Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che l'ottimizzazione EBS sia abilitata per tutte le istanze che la supportano
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se gli snapshot di Amazon Elastic Block Store non sono pubblici. Il controllo non va a buon fine se gli snapshot Amazon EBS sono ripristinabili da chiunque. Gli snapshot EBS vengono utilizzati per eseguire il backup dei dati sui volumi EBS in Amazon S3 in un determinato momento. Puoi utilizzare gli snapshot per ripristinare gli stati precedenti dei volumi EBS. È raramente accettabile condividere uno snapshot con il pubblico. In genere, la decisione di condividere uno snapshot pubblicamente è stata presa per errore o senza una comprensione completa delle implicazioni. Questo controllo contribuisce a garantire che tutte le suddette condivisioni siano state pianificate e intenzionali. Livello di prezzo: Enterprise Standard di conformità:
|
Gli snapshot Amazon EBS non devono essere ripristinabili pubblicamente
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Elastic Compute Cloud (EC2) supporta la crittografia at-rest quando utilizzi il servizio Elastic Block Store (EBS). Sebbene sia disabilitata per impostazione predefinita, la crittografia forzata durante la creazione del volume EBS è supportata. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che la crittografia del volume EBS sia abilitata in tutte le regioni
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Amazon VPC offre più funzionalità di sicurezza rispetto a EC2 Classic. È consigliabile che tutti i nodi appartengano a un VPC Amazon. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che tutte le istanze appartengano a un VPC
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Le istanze EC2 con un indirizzo IP pubblico sono a maggior rischio di compromissione. È consigliabile non configurare le istanze EC2 con un indirizzo IP pubblico. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che nessuna istanza abbia un IP pubblico
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Un'associazione di State Manager è una configurazione assegnata alle istanze gestite. La configurazione definisce lo stato che vuoi mantenere nelle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato ed eseguito nelle istanze o che determinate porte devono essere chiuse. Le istanze EC2 associate ad AWS Systems Manager sono sotto la gestione di Systems Manager, il che semplifica l'applicazione delle patch, la correzione delle configurazioni errate e la risposta agli eventi di sicurezza. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla lo stato di conformità dell'associazione dei gestori di sistema AWS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Questo controllo verifica se lo stato di conformità dell'associazione di AWS Systems Manager è COMPLIANT o NON_COMPLIANT dopo l'esecuzione dell'associazione su un'istanza. Il controllo non va a buon fine se lo stato di conformità dell'associazione è NON_COMPLIANT. Un'associazione di State Manager è una configurazione assegnata alle istanze gestite. La configurazione definisce lo stato che vuoi mantenere nelle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato ed eseguito nelle istanze o che determinate porte devono essere chiuse. Dopo aver creato una o più associazioni di gestori dello stato, le informazioni sullo stato della conformità sono immediatamente disponibili. Puoi visualizzare lo stato di conformità nella console o in risposta ai comandi AWS CLI o alle azioni dell'API Systems Manager corrispondenti. Per le associazioni, la conformità della configurazione mostra lo stato di conformità (Conforme o Non conforme). Mostra anche il livello di gravità assegnato all'associazione, ad esempio Critica o Media. Per scoprire di più sulla conformità dell'associazione di State Manager, consulta la sezione Informazioni sulla conformità dell'associazione di State Manager nella Guida dell'utente di AWS Systems Manager. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla lo stato di conformità delle patch di AWS Systems Manager
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Quando attivano il servizio di metadati sulle istanze AWS EC2, gli utenti hanno la possibilità di utilizzare la versione 1 del servizio di metadati dell'istanza (IMDSv1; un metodo di richiesta/risposta) o la versione 2 del servizio di metadati dell'istanza (IMDSv2; un metodo orientato alla sessione). Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che il servizio di metadati EC2 consenta solo IMDSv2
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Identifica e rimuovi i volumi Elastic Block Store (EBS) non collegati (inutilizzati) nel tuo account AWS per ridurre il costo della fattura mensile di AWS. L'eliminazione dei volumi EBS inutilizzati riduce anche il rischio che i dati riservati/sensibili escano dalla tua sede. Inoltre, questo controllo verifica anche se le istanze EC2 archiviate sono configurate per eliminare i volumi al termine. Per impostazione predefinita, le istanze EC2 sono configurate per eliminare i dati in tutti i volumi EBS associati all'istanza e per eliminare il volume EBS principale dell'istanza. Tuttavia, per impostazione predefinita, tutti i volumi EBS non principali collegati all'istanza al momento del lancio o durante l'esecuzione vengono mantenuti dopo l'interruzione. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se i volumi EBS sono collegati alle istanze EC2 e configurati per l'eliminazione al termine dell'istanza
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Amazon EFS supporta due forme di crittografia per i file system: crittografia dei dati in transito e crittografia at-rest. Questo verifica che tutti i file system EFS siano configurati con la crittografia at-rest in tutte le regioni abilitate dell'account. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se EFS è configurato per criptare i dati dei file utilizzando KMS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Le best practice di Amazon consigliano di configurare i backup per i file system Elastic (EFS). Verranno controllati tutti i file system EFS in tutte le regioni abilitate del tuo account AWS per verificare la presenza di backup abilitati. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se i file system EFS sono inclusi nei piani di backup AWS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se il bilanciatore del carico classico utilizza i certificati HTTPS/SSL forniti da AWS Certificate Manager (ACM). Il controllo non va a buon fine se il bilanciatore del carico classico configurato con il listener HTTPS/SSL non utilizza un certificato fornito da ACM. Per creare un certificato, puoi utilizzare ACM o uno strumento che supporta i protocolli SSL e TLS, come OpenSSL. Security Hub consiglia di utilizzare ACM per creare o importare certificati per il bilanciatore del carico. ACM si integra con i bilanciatori del carico classici in modo da poter eseguire il deployment del certificato sul bilanciatore del carico. Inoltre, devi rinnovare automaticamente questi certificati. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i bilanciatori del carico classici utilizzino i certificati SSL forniti da AWS Certificate Manager
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se per un bilanciatore del carico delle applicazioni è abilitata la protezione dall'eliminazione. Il controllo non va a buon fine se la protezione da eliminazione non è configurata. Attiva la protezione da eliminazione per proteggere il bilanciatore del carico delle applicazioni dall'eliminazione. Livello di prezzo: Enterprise Standard di conformità:
|
La protezione dall'eliminazione del bilanciatore del carico delle applicazioni deve essere abilitata
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Viene controllato se il bilanciatore del carico delle applicazioni e il bilanciatore del carico classico hanno la registrazione abilitata. Il controllo non va a buon fine se access_logs.s3.enabled è false. Elastic Load Balancing fornisce log di accesso che acquisiscono informazioni dettagliate sulle richieste inviate al bilanciatore del carico. Ogni log contiene informazioni quali l'ora di ricezione della richiesta, l'indirizzo IP del client, le latenze, i percorsi di richiesta e le risposte del server. Puoi utilizzare questi log di accesso per analizzare i pattern di traffico e risolvere i problemi. Per saperne di più, consulta la sezione Log di accesso per il bilanciatore del carico classico nella Guida dell'utente per i bilanciatori del carico classici. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se i bilanciatori del carico classici e delle applicazioni hanno la registrazione abilitata
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Questo controllo garantisce che tutti i bilanciatori del carico classici siano configurati per utilizzare la comunicazione sicura. Un listener è un processo che controlla le richieste di connessione. È configurato con un protocollo e una porta per le connessioni di frontend (client al bilanciatore del carico) e un protocollo e una porta per le connessioni di backend (bilanciatore del carico all'istanza). Per informazioni su porte, protocolli e configurazioni degli ascoltatori supportati da Elastic Load Balancing, consulta Ascoltatori per il bilanciatore del carico classico. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i bilanciatori del carico classici siano configurati con listener SSL o HTTPS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se i volumi EBS in stato collegato sono criptati. Per superare questo controllo, i volumi EBS devono essere in uso e criptati. Se il volume EBS non è collegato, non è soggetto a questo controllo. Per un ulteriore livello di sicurezza dei dati sensibili nei volumi EBS, devi attivare la crittografia at-rest di EBS. La crittografia Amazon EBS offre una soluzione di crittografia semplice per le risorse EBS che non richiede la creazione, la manutenzione e la protezione della tua infrastruttura di gestione delle chiavi. Utilizza le chiavi KMS per creare volumi e istantanee criptati. Per scoprire di più sulla crittografia Amazon EBS, consulta la sezione Crittografia Amazon EBS nella Guida dell'utente di Amazon EC2 per le istanze Linux. Livello di prezzo: Enterprise Standard di conformità:
|
I volumi Amazon EBS collegati devono essere criptati at-rest
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Le istanze di database Amazon RDS con crittografia utilizzano l'algoritmo di crittografia AES-256 standard di settore per criptare i dati sul server che ospita le istanze di database Amazon RDS. Dopo la crittografia dei dati, Amazon RDS gestisce l'autenticazione dell'accesso e la decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che la crittografia at-rest sia abilitata per le istanze RDS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: I dati di EFS devono essere criptati a riposo utilizzando AWS KMS (Key Management Service). Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che la crittografia sia abilitata per i file system EFS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: AWS consente di definire criteri relativi alle password personalizzati nel tuo account AWS per specificare requisiti di complessità e periodi di rotazione obbligatori per le password degli utenti IAM. Se non imposti un criterio della password personalizzato, le password degli utenti IAM devono soddisfare il criterio della password AWS predefinito. Le best practice per la sicurezza di AWS consigliano i seguenti requisiti di complessità delle password:
Questo controllo verifica tutti i requisiti specificati per le norme relative alle password. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se il criterio della password dell'account per gli utenti IAM soddisfa i requisiti specificati
|
|
Nome della categoria nell'API: |
Descrizione del risultato: I criteri delle password IAM possono impedire il riutilizzo di una determinata password dallo stesso utente. È consigliabile che il criterio della password impedisca il riutilizzo delle password. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il criterio della password IAM impedisca il riutilizzo della password
|
|
Nome della categoria nell'API: |
Descrizione del risultato: I criteri relativi alle password vengono utilizzati in parte per applicare i requisiti di complessità delle password. I criteri relativi alle password IAM possono essere utilizzati per garantire che le password abbiano almeno una determinata lunghezza. È consigliabile che il criterio della password richieda una lunghezza minima di 14 caratteri. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il criterio della password IAM richieda una lunghezza minima di 14 caratteri
|
|
Nome della categoria nell'API: |
Descrizione del risultato: I criteri IAM sono il mezzo attraverso il quale i privilegi vengono concessi a utenti, gruppi o ruoli. È consigliabile e considerato un consiglio di sicurezza standard concedere il privilegio minimo, ovvero concedere solo le autorizzazioni necessarie per eseguire un'attività. Determina cosa devono fare gli utenti e poi crea criteri che consentano loro di eseguire solo queste attività, anziché concedere privilegi amministrativi completi. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che non siano collegati criteri IAM che consentono privilegi amministrativi completi "*:*"
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Agli utenti IAM viene concesso l'accesso a servizi, funzioni e dati tramite i criteri IAM. Esistono quattro modi per definire i criteri per un utente: 1) modificare direttamente il criterio utente, ovvero un criterio in linea o utente; 2) associare un criterio direttamente a un utente; 3) aggiungere l'utente a un gruppo IAM con un criterio associato; 4) aggiungere l'utente a un gruppo IAM con un criterio in linea. È consigliata solo la terza implementazione. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che gli utenti IAM ricevano le autorizzazioni solo tramite i gruppi
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Per rispettare le best practice per la sicurezza IAM, gli utenti IAM devono sempre far parte di un gruppo IAM. Aggiungendo utenti a un gruppo, è possibile condividere i criteri tra tipi di utenti. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se gli utenti IAM sono membri di almeno un gruppo IAM
|
|
Nome della categoria nell'API: |
Descrizione del risultato: L'autenticazione a più fattori (MFA) è una best practice che aggiunge un ulteriore livello di protezione oltre ai nomi utente e alle password. Con la MFA, quando un utente accede alla Console di gestione AWS, deve fornire un codice di autenticazione soggetto a scadenza, fornito da un dispositivo fisico o virtuale registrato. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se per gli utenti IAM AWS è abilitata l'autenticazione a più fattori (MFA)
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Vengono controllate eventuali password o chiavi di accesso attive IAM che non sono state utilizzate negli ultimi 90 giorni. Le best practice consigliano di rimuovere, disattivare o ruotare tutte le credenziali non utilizzate per almeno 90 giorni. In questo modo si riduce la finestra di opportunità per l'utilizzo delle credenziali associate a un account compromesso o abbandonato. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti gli utenti IAM AWS dispongano di password o chiavi di accesso attive che non sono state utilizzate in maxCredentialUsageAge giorni (il valore predefinito è 90)
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Questo controllo verifica se è stata pianificata l'eliminazione delle chiavi KMS. Il controllo non va a buon fine se è pianificata l'eliminazione di una chiave KMS. Le chiavi KMS non possono essere recuperate una volta eliminate. I dati criptati con una chiave KMS non sono recuperabili in modo permanente anche se la chiave KMS viene eliminata. Se i dati significativi sono stati criptati con una chiave KMS pianificata per l'eliminazione, valuta la possibilità di decriptarli o criptarli di nuovo con una nuova chiave KMS, a meno che tu non stia eseguendo intenzionalmente un'eliminazione di dati con crittografia. Quando è pianificata l'eliminazione di una chiave KMS, viene applicato un periodo di attesa obbligatorio per consentire di annullare l'eliminazione, se è stata pianificata per errore. Il periodo di attesa predefinito è di 30 giorni, ma può essere ridotto fino a 7 giorni quando è pianificata l'eliminazione della chiave KMS. Durante il periodo di attesa, l'eliminazione pianificata può essere annullata e la chiave KMS non verrà eliminata. Per ulteriori informazioni sull'eliminazione delle chiavi KMS, consulta la sezione Eliminare le chiavi KMS nella Guida per gli sviluppatori di AWS Key Management Service. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che non sia pianificata l'eliminazione di tutte le CMK
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se la funzione Lambda è configurata con un limite di esecuzione simultanea a livello di funzione. La regola è NON_COMPLIANT se la funzione Lambda non è configurata con un limite di esecuzione simultanea a livello di funzione. Livello di prezzo: Enterprise Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla se le funzioni Lambda sono configurate con un limite di esecuzione simultanea a livello di funzione
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se una funzione Lambda è configurata con una coda di messaggi non recapitabili. La regola è NON_COMPLIANT se la funzione Lambda non è configurata con una coda di messaggi non recapitabili. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se le funzioni Lambda sono configurate con una coda di messaggi non recapitabili
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Le best practice di AWS consigliano di non esporre pubblicamente la funzione Lambda. Questo criterio controlla tutte le funzioni Lambda di cui è stato eseguito il deployment in tutte le regioni abilitate all'interno del tuo account e non andrà a buon fine se sono configurate per consentire l'accesso pubblico. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se il criterio collegato alla funzione Lambda vieta l'accesso pubblico
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se una funzione Lambda si trova in un VPC. Potresti visualizzare risultati non riusciti per le risorse Lambda@Edge. Non valuta la configurazione del routing delle subnet VPC per determinare la raggiungibilità pubblica. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se esistono funzioni Lambda all'interno di un VPC
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Una volta abilitata l'eliminazione con autenticazione MFA nel bucket S3 sensibile e classificato, l'utente deve disporre di due forme di autenticazione. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che l'eliminazione con autenticazione MFA sia abilitata sui bucket S3
|
|
Nome della categoria nell'API: |
Descrizione del risultato: L'account utente "root" è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione oltre a un nome utente e una password. Con l'MFA abilitata, quando un utente accede a un sito web AWS, gli verranno richiesti il nome utente e la password, nonché un codice di autenticazione dal suo dispositivo MFA AWS. Nota: quando viene utilizzata l'autenticazione a due MFA virtuale per gli account "root", è consigliabile che il dispositivo utilizzato NON sia un dispositivo personale, ma piuttosto un dispositivo mobile dedicato (tablet o smartphone) che viene gestito in modo da essere tenuto carico e protetto indipendentemente dai singoli dispositivi personali. ("MFA virtuale non personale"). In questo modo si riducono i rischi di perdere l'accesso all'MFA a causa della perdita o della permuta del dispositivo o se la persona che possiede il dispositivo non è più impiegata nell'azienda. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che l'autenticazione MFA sia abilitata per l'account utente "root"
|
|
Nome della categoria nell'API: |
Descrizione del risultato: L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di garanzia di autenticazione rispetto alle credenziali tradizionali. Con l'MFA abilitata, quando un utente accede alla console AWS, gli vengono richiesti il nome utente e la password, nonché un codice di autenticazione del token MFA fisico o virtuale. Ti consigliamo di attivare l'autenticazione a più fattori per tutti gli account con una password per la console. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM con una password per la console
|
|
Nome della categoria nell'API: |
Descrizione del risultato: La funzione Network Access Control List (NACL) fornisce il filtro stateless del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun NACL consenta l'accesso in entrata senza restrizioni alle porte di amministrazione del server remoto, ad esempio SSH alla porta Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che nessun ACL di rete consenta il traffico in entrata da 0.0.0.0/0 alle porte di amministrazione del server remoto
|
|
Nome della categoria nell'API: |
Descrizione del risultato: L'account utente "root" è l'utente con più privilegi in un account AWS. Le chiavi di accesso AWS forniscono l'accesso programmatico a un determinato account AWS. Ti consigliamo di eliminare tutte le chiavi di accesso associate all'account utente "root". Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che non esistano chiavi di accesso all'account utente "root"
|
|
Nome della categoria nell'API: |
Descrizione del risultato: I gruppi di sicurezza forniscono il filtro stateful del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun gruppo di sicurezza consenta l'accesso in entrata senza restrizioni alle porte di amministrazione del server remoto, ad esempio SSH alla porta Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che nessun gruppo di sicurezza consenta il traffico in entrata da 0.0.0.0/0 alle porte di amministrazione del server remoto
|
|
Nome della categoria nell'API: |
Descrizione del risultato: I gruppi di sicurezza forniscono il filtro stateful del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun gruppo di sicurezza consenta l'accesso in entrata senza restrizioni alle porte di amministrazione del server remoto, ad esempio SSH alla porta Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che nessun gruppo di sicurezza consenta il traffico in entrata da ::/0 alle porte di amministrazione del server remoto
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Le chiavi di accesso sono credenziali a lungo termine per un utente IAM o per l'utente "root" dell'account AWS. Puoi utilizzare le chiavi di accesso per firmare le richieste programmatiche all'interfaccia a riga di comando AWS o all'API AWS (direttamente o utilizzando l'SDK AWS) Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che sia disponibile una sola chiave di accesso attiva per ogni singolo utente IAM
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Assicurati e verifica che le istanze di database RDS di cui è stato eseguito il provisioning nel tuo account AWS limitino l'accesso non autorizzato per ridurre al minimo i rischi per la sicurezza. Per limitare l'accesso a qualsiasi istanza del database RDS accessibile pubblicamente, devi disattivare il flag Accessibile pubblicamente del database e aggiornare il gruppo di sicurezza VPC associato all'istanza. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che l'accesso pubblico non sia concesso all'istanza RDS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Il monitoraggio avanzato fornisce metriche in tempo reale sul sistema operativo su cui viene eseguita l'istanza RDS tramite un agente installato nell'istanza. Per ulteriori dettagli, consulta Monitorare le metriche del sistema operativo con il monitoraggio avanzato. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se il monitoraggio avanzato è abilitato per tutte le istanze DB RDS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: L'attivazione della protezione da eliminazione delle istanze è un ulteriore livello di protezione contro l'eliminazione accidentale o da parte di un'entità non autorizzata del database. Quando la protezione da eliminazione è abilitata, non è possibile eliminare un'istanza di database RDS. Prima che una richiesta di eliminazione possa essere completata, la protezione da eliminazione deve essere disattivata. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se per tutte le istanze RDS è abilitata la protezione da eliminazione
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Questo controllo valuta se le istanze DB di Amazon RDS sono coperte da un piano di backup. Questo controllo non va a buon fine se un'istanza DB di RDS non è coperta da un piano di backup. AWS Backup è un servizio di backup completamente gestito che centralizza e automatizza il backup dei dati nei servizi AWS. Con AWS Backup, puoi creare criteri di backup chiamati piani di backup. Puoi utilizzare questi piani per definire i tuoi requisiti di backup, ad esempio la frequenza con cui eseguire il backup dei dati e per quanto tempo conservare i backup. L'inclusione di istanze DB di RDS in un piano di backup ti aiuta a proteggere i tuoi dati da perdita o eliminazione involontarie. Livello di prezzo: Enterprise Standard di conformità:
|
Le istanze DB di RDS devono essere coperte da un piano di backup
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Viene controllato se i seguenti log di Amazon RDS sono abilitati e inviati a CloudWatch. I log pertinenti devono essere abilitati nei database RDS. Il logging del database fornisce record dettagliati delle richieste inviate a RDS. I log del database possono essere utili per i controlli di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se i log esportati sono abilitati per tutte le istanze DB RDS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Le istanze DB di RDS devono essere configurate per più zone di disponibilità (AZ). In questo modo, viene garantita la disponibilità dei dati archiviati. Gli implementazioni multi-AZ consentono il failover automatico in caso di problemi di disponibilità della zona di disponibilità e durante la normale manutenzione di RDS. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se l'alta disponibilità è abilitata per tutte le istanze DB RDS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Vengono controllati gli elementi essenziali di un cluster Redshift: crittografia at-rest, logging e tipo di nodo. Questi elementi di configurazione sono importanti per la manutenzione di un cluster Redshift sicuro e osservabile. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i cluster Redshift dispongano di crittografia at-rest, logging e tipo di nodo.
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Gli upgrade automatici delle versioni principali vengono eseguiti in base al periodo di manutenzione Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i cluster Redshift abbiano allowVersionUpgrade abilitato e preferredMaintenanceWindow e automatedSnapshotRetentionPeriod impostati
|
|
Nome della categoria nell'API: |
Descrizione del risultato: L'attributo PubliclyAccessible della configurazione del cluster Amazon Redshift indica se il cluster è accessibile pubblicamente. Quando il cluster è configurato con PubliclyAccessible impostato su true, si tratta di un'istanza rivolta a internet con un nome DNS risolvibile pubblicamente che risolve in un indirizzo IP pubblico. Quando il cluster non è accessibile pubblicamente, si tratta di un'istanza interna con un nome DNS che risolve in un indirizzo IP privato. A meno che tu non intenda che il cluster sia accessibile pubblicamente, non deve essere configurato con PubliclyAccessible impostato su true. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se i cluster Redshift sono accessibili pubblicamente
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Viene controllato se il traffico in entrata illimitato per i gruppi di sicurezza è accessibile alle porte specificate con il rischio più elevato. Questo controllo non va a buon fine se una delle regole in un gruppo di sicurezza consente il traffico in entrata da "0.0.0.0/0" o "::/0" per queste porte. L'accesso senza restrizioni (0.0.0.0/0) aumenta le opportunità di attività dannose, come pirateria informatica, attacchi di denial-of-service e perdita di dati. I gruppi di sicurezza forniscono il filtro stateful del traffico di rete in entrata e in uscita verso le risorse AWS. Nessun gruppo di sicurezza deve consentire l'accesso in entrata illimitato alle seguenti porte:
Livello di prezzo: Enterprise Standard di conformità:
|
I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio
|
|
Nome della categoria nell'API: |
Descrizione del risultato: I gruppi di sicurezza forniscono il filtro stateful del traffico di rete in entrata e in uscita verso le risorse AWS. Il CIS consiglia di non consentire a nessun gruppo di sicurezza l'accesso in entrata senza restrizioni alla porta 22. La rimozione della connettività illimitata ai servizi di console remota, come SSH, riduce l'esposizione a rischi di un server. Livello di prezzo: Enterprise Standard di conformità:
|
I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 alla porta 22
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se la rotazione automatica delle chiavi è abilitata per ogni chiave e se corrisponde all'ID chiave della chiave AWS KMS creata dal cliente. La regola è NON_COMPLIANT se il ruolo di registratore AWS Config per una risorsa non dispone dell'autorizzazione kms:DescribeKey. Livello di prezzo: Enterprise Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Assicurati che sia abilitata la rotazione per le chiavi CMK create dal cliente
|
|
Nome della categoria nell'API: |
Descrizione del risultato: AWS Key Management Service (KMS) consente ai clienti di ruotare la chiave di supporto, ovvero il materiale della chiave archiviato all'interno del KMS, associato all'ID chiave della chiave master del cliente (CMK) creata dal cliente. È la chiave di supporto utilizzata per eseguire operazioni crittografiche come la crittografia e la decrittografia. Al momento, la rotazione automatica delle chiavi conserva tutte le chiavi di backup precedenti in modo che la decrittografia dei dati criptati possa avvenire in modo trasparente. Ti consigliamo di abilitare rotazione della chiave CMK per le chiavi simmetriche. La rotazione delle chiavi non può essere attivata per nessuna chiave CMK asimmetrica. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che sia abilitata la rotazione per le chiavi CMK simmetriche create dal cliente
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se le tabelle di routing per il peering VPC sono configurate con il principio del privilegio minimo. Livello di prezzo: Enterprise Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Assicurati che le tabelle di routing per il peering VPC siano ad "accesso minimo"
|
|
Nome della categoria nell'API: |
Descrizione del risultato: La funzionalità Blocca accesso pubblico di Amazon S3 fornisce impostazioni per punti di accesso, bucket e account per aiutarti a gestire l'accesso pubblico alle risorse Amazon S3. Per impostazione predefinita, i nuovi bucket, i punti di accesso e gli oggetti non consentono l'accesso pubblico. Livello di prezzo: Enterprise Standard di conformità: Questa categoria di risultati non è mappata a nessun controllo standard di conformità. |
Controlla se le impostazioni richieste di blocco dell'accesso pubblico S3 sono configurate a livello di account
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Amazon S3 fornisce Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che i bucket S3 siano configurati con
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Il logging degli accessi ai bucket S3 genera un log contenente i record di accesso per ogni richiesta inviata al bucket S3. Un record del log di accesso contiene dettagli sulla richiesta, ad esempio il tipo di richiesta, le risorse specificate nella richiesta che hanno funzionato e la data e l'ora di elaborazione della richiesta. Ti consigliamo di abilitare il logging degli accessi ai bucket nel bucket S3 CloudTrail. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il logging degli accessi ai bucket S3 sia abilitato sul bucket S3 CloudTrail
|
|
Nome della categoria nell'API: |
Descrizione del risultato: La funzionalità di logging degli accessi al server AWS S3 registra le richieste di accesso ai bucket di archiviazione, il che è utile per i controlli di sicurezza. Per impostazione predefinita, il logging degli accessi al server non è abilitato per i bucket S3. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se il logging è abilitato su tutti i bucket S3
|
|
Nome della categoria nell'API: |
Descrizione del risultato: A livello di bucket Amazon S3, puoi configurare le autorizzazioni tramite un criterio del bucket che rende gli oggetti accessibili solo tramite HTTPS. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il criterio bucket S3 sia impostato in modo da rifiutare le richieste HTTP
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Questo controllo verifica se in un bucket Amazon S3 è abilitata la replica tra regioni. Il controllo non va a buon fine se la replica tra regioni non è attivata per il bucket o se è attivata anche la replica nella stessa regione. La replica è la copia automatica e asincrona di oggetti tra bucket nella stessa regione AWS o in regioni diverse. La replica copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine a uno o più bucket di destinazione. Le best practice AWS consigliano la replica per i bucket di origine e di destinazione di proprietà dello stesso account AWS. Oltre alla disponibilità, devi prendere in considerazione altre impostazioni di hardening dei sistemi. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se la replica tra regioni di bucket S3 è abilitata
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Viene verificato che nel bucket S3 sia abilitata la crittografia predefinita di Amazon S3 o che il criterio del bucket S3 neghi esplicitamente le richieste put-object senza crittografia lato server. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che tutti i bucket S3 utilizzino la crittografia at-rest
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Amazon S3 è un mezzo per mantenere più varianti di un oggetto nello stesso bucket e può aiutarti a recuperare più facilmente sia da azioni utente indesiderate sia da errori dell'applicazione. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che il controllo delle versioni sia abilitato per tutti i bucket S3
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se i bucket Amazon S3 sono criptati con AWS Key Management Service (AWS KMS) Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i bucket siano criptati con KMS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se una chiave AWS Key Management Service (AWS KMS) è configurata per un'istanza di notebook Amazon SageMaker. La regola è NON_COMPLIANT se "KmsKeyId" non è specificato per l'istanza del notebook SageMaker. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutte le istanze di notebook SageMaker siano configurate per utilizzare KMS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se l'accesso diretto a internet è disabilitato per un'istanza di notebook SageMaker. A tale scopo, controlla se il campo DirectInternetAccess è disabilitato per l'istanza del notebook. Se configuri l'istanza SageMaker senza un VPC, per impostazione predefinita l'accesso diretto a internet è abilitato nell'istanza. Devi configurare l'istanza con un VPC e modificare l'impostazione predefinita su Disattiva: accedi a internet tramite un VPC. Per addestrare o ospitare modelli da un notebook, devi disporre di accesso a internet. Per abilitare l'accesso a internet, assicurati che il VPC abbia un gateway NAT e che il gruppo di sicurezza consenta le connessioni in uscita. Per scoprire di più su come connettere un'istanza notebook alle risorse in una VPC, consulta Connetti un'istanza notebook alle risorse in una VPC nella Guida per gli sviluppatori di Amazon SageMaker. Devi anche assicurarti che l'accesso alla configurazione di SageMaker sia limitato solo agli utenti autorizzati. Limita le autorizzazioni IAM degli utenti per modificare le impostazioni e le risorse di SageMaker. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se l'accesso diretto a internet è disabilitato per tutte le istanze di notebook Amazon SageMaker
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se un secret archiviato in AWS Secrets Manager è configurato con la rotazione automatica. Il controllo non va a buon fine se il secret non è configurato con la rotazione automatica. Se fornisci un valore personalizzato per il parametro Secrets Manager ti aiuta a migliorare la security posture della tua organizzazione. I secret includono credenziali di database, password e chiavi API di terze parti. Puoi utilizzare Secret Manager per archiviare i secret in modo centralizzato, criptarli automaticamente, controllare l'accesso ai secret e ruotarli in modo sicuro e automatico. Secret Manager può ruotare i secret. Puoi utilizzare la rotazione per sostituire i secret a lungo termine con quelli a breve termine. La rotazione dei secret limita il tempo per cui un utente non autorizzato può utilizzare un secret compromesso. Per questo motivo, devi ruotare i secret di frequente. Per scoprire di più sulla rotazione, consulta la sezione Rotazione dei secret di AWS Secrets Manager nella Guida dell'utente di AWS Secrets Manager. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che la rotazione sia abilitata per tutti i secret di AWS Secrets Manager
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Controlla se un argomento SNS è criptato at-rest utilizzando AWS KMS. I controlli non vanno a buon fine se un argomento SNS non utilizza una chiave KMS per la crittografia lato server (SSE). La crittografia dei dati at-rest riduce il rischio che i dati archiviati su disco vengano accessibili da un utente non autenticato su AWS. Aggiunge inoltre un'altra serie di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, le autorizzazioni API sono necessarie per decriptare i dati prima che possano essere letti. Gli argomenti SNS devono essere criptati at-rest per un ulteriore livello di sicurezza. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti gli argomenti SNS siano criptati con KMS
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Questo controllo verifica se il gruppo di sicurezza predefinito di un VPC consente il traffico in entrata o in uscita. Il controllo non va a buon fine se il gruppo di sicurezza consente il traffico in entrata o in uscita. Le regole per il gruppo di sicurezza predefinito consentono tutto il traffico in entrata e in uscita dalle interfacce di rete (e dalle relative istanze associate) assegnate allo stesso gruppo di sicurezza. Ti consigliamo di non utilizzare il gruppo di sicurezza predefinito. Poiché il gruppo di sicurezza predefinito non può essere eliminato, devi modificare l'impostazione delle regole del gruppo di sicurezza predefinito per limitare il traffico in entrata e in uscita. In questo modo si impedisce il traffico indesiderato se il gruppo di sicurezza predefinito viene configurato per errore per risorse come le istanze EC2. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico
|
|
Nome della categoria nell'API: |
Descrizione del risultato: I log di flusso VPC sono una funzionalità che consente di acquisire informazioni sul traffico IP da e verso le interfacce di rete nel VPC. Dopo aver creato un log del flusso, puoi visualizzarne e recuperarne i dati in Amazon CloudWatch Logs. È consigliabile abilitare i log di flusso VPC per i pacchetti "Rifiutati" per i VPC. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il logging dei flussi VPC sia abilitato in tutti i VPC
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente il traffico in entrata senza restrizioni da porte non autorizzate. Lo stato del controllo viene determinato come segue: Se utilizzi il valore predefinito per authorizedTcpPorts, il controllo non va a buon fine se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta diversa da 80 e 443. Se fornisci valori personalizzati per authorizedTcpPorts o authorizedUdpPorts, il controllo non va a buon fine se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta non inclusa nell'elenco. Se non viene utilizzato alcun parametro, il controllo non va a buon fine per qualsiasi gruppo di sicurezza con una regola di traffico in entrata senza restrizioni. I gruppi di sicurezza forniscono il filtraggio stateful del traffico di rete in entrata e in uscita verso AWS. Le regole del gruppo di sicurezza devono seguire il principio di accesso con privilegio minimo. L'accesso senza restrizioni (indirizzo IP con suffisso /0) aumenta le opportunità di attività dannose come pirateria informatica, attacchi di tipo denial-of-service e perdita di dati. A meno che una porta non sia consentita specificamente, deve negare l'accesso illimitato. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i gruppi di sicurezza con 0.0.0.0/0 di qualsiasi VPC consentano solo traffico TCP/UDP in entrata specifico
|
|
Nome della categoria nell'API: |
Descrizione del risultato: Un tunnel VPN è un link criptato in cui i dati possono passare dalla rete del cliente ad AWS o viceversa all'interno di una connessione VPN AWS Site-to-Site. Ogni connessione VPN include due tunnel VPN che puoi utilizzare contemporaneamente per l'alta disponibilità. È importante assicurarsi che entrambi i tunnel VPN siano attivi per una connessione VPN per confermare una connessione sicura e ad alta disponibilità tra un VPC AWS e la rete remota. Questo controllo verifica che entrambi i tunnel VPN forniti da AWS Site-to-Site VPN siano in stato UP. Il controllo non va a buon fine se uno o entrambi i tunnel sono in stato DOWN. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che entrambi i tunnel VPN forniti da AWS tra siti siano in stato attivo
|
Risultati di Web Security Scanner
Le scansioni personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le scansioni personalizzate per le applicazioni di cui è stato eseguito il deployment con URL e IP pubblici che non sono protetti da un firewall.
| Categoria | Descrizione del risultato | Top 10 OWASP 2017 | OWASP Top 10 2021 |
|---|---|---|---|
|
Nome della categoria nell'API: |
Un repository Git è esposto pubblicamente. Per risolvere il problema, rimuovi l'accesso pubblico non intenzionale al repository GIT. Livello di prezzo: Premium o Standard |
A5 | A01 |
|
Nome della categoria nell'API: |
Un repository SVN è esposto pubblicamente. Per risolvere questo problema, rimuovi l'accesso pubblico involontario al repository SVN. Livello di prezzo: Premium o Standard |
A5 | A01 |
|
Nome della categoria nell'API: |
Le password inserite nell'applicazione web possono essere memorizzate nella cache di un normale browser anziché in uno spazio di archiviazione sicuro delle password. Livello di prezzo: Premium |
A3 | A04 |
|
Nome della categoria nell'API: |
Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere questo rilevamento, cripta la password trasmessa sulla rete. Livello di prezzo: Premium o Standard |
A3 | A02 |
|
Nome della categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta Livello di prezzo: Premium |
A5 | A01 |
|
Nome della categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta Livello di prezzo: Premium |
A5 | A01 |
|
Nome della categoria nell'API: |
È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. Per risolvere questo problema, imposta l'intestazione HTTP Livello di prezzo: Premium o Standard |
A6 | A05 |
|
Nome della categoria nell'API: |
Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Premium o Standard |
A6 | A05 |
|
Nome della categoria nell'API: |
Un'intestazione di sicurezza ha valori duplicati e non corrispondenti, che comportano un comportamento indefinito. Per risolvere il problema, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Premium o Standard |
A6 | A05 |
|
Nome della categoria nell'API: |
Un'intestazione di sicurezza contiene un errore ortografico e viene ignorata. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP. Livello di prezzo: Premium o Standard |
A6 | A05 |
|
Nome della categoria nell'API: |
Le risorse vengono pubblicate tramite HTTP in una pagina HTTPS. Per risolvere questo problema, assicurati che tutte le risorse vengano pubblicate tramite HTTPS. Livello di prezzo: Premium o Standard |
A6 | A05 |
|
Nome della categoria nell'API: |
È stata rilevata una libreria con vulnerabilità note. Per risolvere questo problema, esegui l'upgrade delle librerie a una versione più recente. Livello di prezzo: Premium o Standard |
A9 | A06 |
|
Nome della categoria nell'API: |
È stata rilevata una vulnerabilità di falsificazione delle richieste lato server (SSRF). Per risolvere questo problema, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può effettuare richieste. Livello di prezzo: Premium o Standard |
Non applicabile | A10 |
|
Nome della categoria nell'API: |
Quando effettua una richiesta tra domini, l'applicazione web include l'identificatore della sessione dell'utente nell'intestazione della richiesta Livello di prezzo: Premium |
A2 | A07 |
|
Nome della categoria nell'API: |
È stata rilevata una potenziale vulnerabilità SQL injection. Per risolvere questo problema, utilizza query con parametri per impedire che gli input degli utenti influenzino la struttura della query SQL. Livello di prezzo: Premium |
A1 | A03 |
|
Nome della categoria nell'API: |
È stato rilevato l'utilizzo di una versione vulnerabile di Apache Struts. Per risolvere questo problema, esegui l'upgrade di Apache Struts all'ultima versione. Livello di prezzo: Premium |
A8 | A08 |
|
Nome della categoria nell'API: |
Un campo in questa applicazione web è vulnerabile a un attacco di tipo cross-site scripting (XSS). Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente. Livello di prezzo: Premium o Standard |
A7 | A03 |
|
Nome della categoria nell'API: |
Una stringa fornita dall'utente non è codificata ed AngularJS può interpolare. Per risolvere questo rilevamento, convalida ed elimina i dati non attendibili forniti dall'utente e gestiti dal framework Angular. Livello di prezzo: Premium o Standard |
A7 | A03 |
|
Nome della categoria nell'API: |
Un campo in questa applicazione web è vulnerabile a un attacco di cross-site scripting. Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente. Livello di prezzo: Premium o Standard |
A7 | A03 |
|
Nome della categoria nell'API: |
È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare la fuga di un file sull'host da parte dell'applicazione web. Per risolvere questo problema, configura i tuoi analizzatori XML in modo da non consentire le entità esterne. Livello di prezzo: Premium |
A4 | A05 |
|
Nome della categoria nell'API: |
L'applicazione è vulnerabile all'inquinamento da prototipi. Questa vulnerabilità si verifica quando
alle proprietà dell'oggetto Livello di prezzo: Premium o Standard |
A1 | A03 |
Risultati del motore per suggerimenti IAM
Nella tabella seguente sono elencati i risultati di Security Command Center generati dal motore per suggerimenti IAM.
Ogni risultato del motore per suggerimenti IAM contiene suggerimenti specifici per rimuovere o sostituire un ruolo che include autorizzazioni eccessive da un'entità nel tuo ambiente Google Cloud.
I risultati generati dal Recommender IAM corrispondono ai consigli visualizzati nella console Google Cloud nella pagina IAM del progetto, della cartella o dell'organizzazione interessati.
Per ulteriori informazioni sull'integrazione del motore per suggerimenti IAM con Security Command Center, consulta Origini di sicurezza.
| Rilevatore | Riepilogo |
|---|---|
|
Nome della categoria nell'API: |
Descrizione del problema: il Recommender IAM ha rilevato un account di servizio con uno o più ruoli IAM che concedono autorizzazioni eccessive all'account utente. Livello di prezzo: Premium Asset supportati:
Risolvi questo rilevamento : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo rilevamento seguendo questi passaggi:
Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del rilevamento su
|
|
Nome della categoria nell'API: |
Descrizione del problema: il motore per suggerimenti ruolo IAM ha rilevato che il ruolo IAM predefinito originale concesso a un agente di servizio è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Livello di prezzo: Premium Asset supportati:
Risolvi questo rilevamento : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo rilevamento seguendo questi passaggi:
Una volta risolto il problema, il Recommender IAM aggiorna lo stato del rilevamento su
|
|
Nome della categoria nell'API: |
Descrizione del problema: il motore per suggerimenti IAM ha rilevato che a un agente di servizio è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Livello di prezzo: Premium Asset supportati:
Risolvi questo rilevamento : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo rilevamento seguendo questi passaggi:
Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del rilevamento su
|
|
Nome della categoria nell'API: |
Descrizione del problema: il Recommender IAM ha rilevato un account utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Livello di prezzo: Premium Asset supportati:
Risolvi questo rilevamento : Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo rilevamento seguendo questi passaggi:
Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del rilevamento su
|
Risultati CIEM
La tabella seguente elenca i risultati relativi a identità e accesso di Security Command Center per AWS generati da Cloud Infrastructure Entitlement Management (CIEM).
I risultati di CIEM contengono consigli specifici per rimuovere o sostituire i criteri IAM di AWS altamente permissivi associati a identità, utenti o gruppi assunti nel tuo ambiente AWS.
Per saperne di più su CIEM, consulta Panoramica di Cloud Infrastructure Entitlement Management.
| Rilevatore | Riepilogo |
|---|---|
|
Nome della categoria nell'API: |
Descrizione dell'esito: nel tuo ambiente AWS, CIEM ha rilevato un ruolo IAM presunto con uno o più criteri molto permissivi che violano il principio del privilegio minimo e aumentano i rischi per la sicurezza. Livello di prezzo: Enterprise Risolvi questo rilevamento : A seconda del rilevamento, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione:
Fai riferimento ai dettagli del rilevamento per conoscere i passaggi di correzione specifici. |
|
Nome della categoria nell'API: |
Descrizione del problema: nel tuo ambiente AWS, CIEM ha rilevato un gruppo IAM con uno o più criteri molto permissivi che violano il principio del privilegio minimo e aumentano i rischi per la sicurezza. Livello di prezzo: Enterprise Risolvi questo rilevamento : A seconda del rilevamento, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione:
Fai riferimento ai dettagli del rilevamento per conoscere i passaggi di correzione specifici. |
|
Nome della categoria nell'API: |
Descrizione dell'esito: nel tuo ambiente AWS, CIEM ha rilevato un utente IAM con uno o più criteri molto permissivi che violano il principio del privilegio minimo e aumentano i rischi per la sicurezza. Livello di prezzo: Enterprise Risolvi questo rilevamento : A seconda del rilevamento, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione:
Fai riferimento ai dettagli del rilevamento per conoscere i passaggi di correzione specifici. |
|
Nome della categoria nell'API: |
Descrizione del problema: nel tuo ambiente AWS, CIEM ha rilevato un utente IAM inattivo con una o più autorizzazioni. Ciò viola il principio del privilegio minimo e aumenta i rischi per la sicurezza. Livello di prezzo: Enterprise Risolvi questo rilevamento : A seconda del rilevamento, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione:
Fai riferimento ai dettagli del rilevamento per conoscere i passaggi di correzione specifici. |
|
Nome della categoria nell'API: |
Descrizione del rilevamento: nel tuo ambiente AWS, CIEM ha rilevato un gruppo IAM inattivo con una o più autorizzazioni. Ciò viola il principio del privilegio minimo e aumenta i rischi per la sicurezza. Livello di prezzo: Enterprise Risolvi questo rilevamento : A seconda del rilevamento, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione:
Fai riferimento ai dettagli del rilevamento per i passaggi di correzione specifici. |
|
Nome della categoria nell'API: |
Descrizione del problema: nel tuo ambiente AWS, CIEM ha rilevato un ruolo IAM assunto inattivo e con una o più autorizzazioni. Ciò viola il principio del privilegio minimo e aumenta i rischi per la sicurezza. Livello di prezzo: Enterprise Risolvi questo rilevamento : A seconda del rilevamento, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione:
Fai riferimento ai dettagli del rilevamento per conoscere i passaggi di correzione specifici. |
|
Nome della categoria nell'API: |
Descrizione del problema: nel tuo ambiente AWS, CIEM ha rilevato un criterio di attendibilità eccessivamente permissivo applicato a un ruolo IAM AWS che viola il principio del privilegio minimo e aumenta i rischi per la sicurezza. Livello di prezzo: Enterprise Risolvi questo rilevamento : Utilizza la Console di gestione AWS per modificare le autorizzazioni nel criterio di attendibilità applicato al ruolo AWS IAM in modo da rispettare il principio del privilegio minimo. Fai riferimento ai dettagli del rilevamento per conoscere i passaggi di correzione specifici. |
|
Nome della categoria nell'API: |
Descrizione del rilevamento: nel tuo ambiente AWS, CIEM ha rilevato una o più identità che possono spostarsi lateralmente tramite furto d'identità. Livello di prezzo: Enterprise Risolvi questo rilevamento : Utilizza la Console di gestione AWS per rimuovere il criterio o i criteri allegati all'identità o alle identità che consentono il movimento laterale. Fai riferimento ai dettagli del rilevamento per conoscere i passaggi di correzione specifici. |
Risultati del servizio di security posture
Nella tabella seguente sono elencati i risultati di Security Command Center generati dal servizio di analisi della posizione di sicurezza.
Ogni risultato del servizio di sicurezza della postura identifica un'istanza di deviazione dalla tua postura di sicurezza definita.
| Risultato | Riepilogo |
|---|---|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di stato della sicurezza ha rilevato una modifica a un rilevatore Security Health Analytics avvenuta al di fuori di un aggiornamento dello stato. Livello di prezzo: Premium
Risolvi questo rilevamento : Questo rilevamento richiede che tu accetti la modifica o la ripristini in modo che le impostazioni del rilevatore nella tua postura e nel tuo ambiente corrispondano. Hai due opzioni per risolvere questo problema: puoi aggiornare il rilevatore di Security Health Analytics o aggiornare la postura e il relativo deployment. Per annullare la modifica, aggiorna il rilevatore di Security Health Analytics nella console Google Cloud. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Per accettare la modifica, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di stato di sicurezza ha rilevato una modifica a un modulo personalizzato di Security Health Analytics avvenuta al di fuori di un aggiornamento dello stato. Livello di prezzo: Premium Risolvi questo rilevamento : Questo rilevamento richiede che tu accetti la modifica o la ripristini in modo che le impostazioni del modulo personalizzato nella tua postura e nel tuo ambiente corrispondano. Hai due opzioni per risolvere questo problema: puoi aggiornare il modulo personalizzato di Security Health Analytics o aggiornare la postura e il relativo dispiegamento. Per annullare la modifica, aggiorna il modulo personalizzato di Security Health Analytics nella console Google Cloud. Per le istruzioni, vedi Aggiornare un modulo personalizzato. Per accettare la modifica, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di analisi della posizione di sicurezza ha rilevato che è stato eliminato un modulo personalizzato di Security Health Analytics. Questa eliminazione è avvenuta al di fuori di un aggiornamento della posizione. Livello di prezzo: Premium Risolvi questo rilevamento : Questo rilevamento richiede che tu accetti la modifica o la ripristini in modo che le impostazioni del modulo personalizzato nella tua postura e nel tuo ambiente corrispondano. Hai due opzioni per risolvere questo problema: puoi aggiornare il modulo personalizzato di Security Health Analytics o aggiornare la postura e il relativo dispiegamento. Per annullare la modifica, aggiorna il modulo personalizzato di Security Health Analytics nella console Google Cloud. Per le istruzioni, vedi Aggiornare un modulo personalizzato. Per accettare la modifica, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di analisi della postura di sicurezza ha rilevato una modifica a un criterio dell'organizzazione avvenuta al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Risolvi questo rilevamento : Questo rilevamento richiede che tu accetti la modifica o ripristini la modifica in modo che le definizioni dei criteri dell'organizzazione nella tua postura e nel tuo ambiente corrispondano. Hai due opzioni per risolvere questo rilevamento: puoi aggiornare il criterio dell'organizzazione o aggiornare la postura e il deployment della postura. Per annullare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, consulta Creare e modificare i criteri. Per accettare la modifica, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di analisi della postura di sicurezza ha rilevato che è stato eliminato un criterio dell'organizzazione. Questa eliminazione è avvenuta al di fuori di un aggiornamento della posizione. Livello di prezzo: Premium Risolvi questo rilevamento : Questo rilevamento richiede che tu accetti la modifica o ripristini la modifica in modo che le definizioni dei criteri dell'organizzazione nella tua postura e nel tuo ambiente corrispondano. Hai due opzioni per risolvere questo rilevamento: puoi aggiornare il criterio dell'organizzazione o aggiornare la postura e il deployment della postura. Per annullare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, consulta Creare e modificare i criteri. Per accettare la modifica, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di analisi della postura di sicurezza ha rilevato una modifica a un criterio dell'organizzazione personalizzato che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Risolvi questo rilevamento : Questo rilevamento richiede che tu accetti la modifica o la ripristini in modo che le definizioni dei criteri dell'organizzazione personalizzati nella tua postura e nel tuo ambiente corrispondano. Hai due opzioni per risolvere questo rilevamento: puoi aggiornare il criterio dell'organizzazione personalizzato o aggiornare la postura e il deployment della postura. Per annullare la modifica, aggiorna il criterio dell'organizzazione personalizzata nella console Google Cloud. Per le istruzioni, consulta Aggiornare una limitazione personalizzata. Per accettare la modifica, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di analisi della postura di sicurezza ha rilevato che è stato eliminato un criterio personalizzato per l'organizzazione. Questa eliminazione è avvenuta al di fuori di un aggiornamento della posizione. Livello di prezzo: Premium Risolvi questo rilevamento : Questo rilevamento richiede che tu accetti la modifica o la ripristini in modo che le definizioni dei criteri dell'organizzazione personalizzati nella tua postura e nel tuo ambiente corrispondano. Hai due opzioni per risolvere questo rilevamento: puoi aggiornare il criterio dell'organizzazione personalizzato o aggiornare la postura e il deployment della postura. Per annullare la modifica, aggiorna il criterio dell'organizzazione personalizzata nella console Google Cloud. Per le istruzioni, consulta Aggiornare una limitazione personalizzata. Per accettare la modifica, svolgi i seguenti passaggi:
|
La tabella seguente elenca i risultati della posizione di sicurezza che identificano le istanze di risorse che violano la tua posizione di sicurezza definita.
| Risultato | Riepilogo |
|---|---|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di analisi della posizione di sicurezza ha rilevato che in una subnet è abilitato un indirizzo IPv6 esterno. Livello di prezzo: Premium Risolvi questo rilevamento : Hai due opzioni per risolvere questo rilevamento: puoi eliminare la risorsa in violazione o puoi aggiornare e rieseguire il deployment della postura. Per eliminare la risorsa, completa i seguenti passaggi:
Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di analisi della posizione di sicurezza ha rilevato che una subnet ha un indirizzo IPv6 interno abilitato. Livello di prezzo: Premium Risolvi questo rilevamento : Hai due opzioni per risolvere questo rilevamento: puoi eliminare la risorsa in violazione o puoi aggiornare e rieseguire il deployment della postura. Per eliminare la risorsa, completa i seguenti passaggi:
Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di security posture ha rilevato che l'OS Login è disabilitato in un'istanza VM. Livello di prezzo: Premium Risolvi questo rilevamento : Hai due opzioni per risolvere questo rilevamento: puoi aggiornare la risorsa in violazione o puoi aggiornare la posizione e reimplementarla. Per aggiornare la risorsa:
Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di analisi della posizione di sicurezza ha rilevato che una rete autorizzata è stata aggiunta a un'istanza SQL. Livello di prezzo: Premium Risolvi questo rilevamento : Questo rilevamento richiede la correzione della violazione o l'aggiornamento della posizione. Hai due opzioni per risolvere questo rilevamento: puoi aggiornare la risorsa in violazione o aggiornare la postura e reimplementarla. Per aggiornare la risorsa:
Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del problema: il servizio di analisi della posizione di sicurezza ha rilevato che un connettore VPC non è abilitato per un'istanza di funzione Cloud Run. Livello di prezzo: Premium Risolvi questo rilevamento : Hai due opzioni per risolvere questo rilevamento: puoi aggiornare la risorsa in violazione o puoi aggiornare la posizione e reimplementarla. Per aggiornare la risorsa:
Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di security posture ha rilevato che l'accesso alla porta seriale di un'istanza VM è abilitato. Livello di prezzo: Premium Risolvi questo rilevamento : Hai due opzioni per risolvere questo rilevamento: puoi aggiornare la risorsa in violazione o puoi aggiornare la posizione e reimplementarla. Per aggiornare la risorsa:
Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di analisi della posizione di sicurezza ha rilevato che è stata creata una rete predefinita. Livello di prezzo: Premium Risolvi questo rilevamento : Hai due opzioni per risolvere questo rilevamento: puoi eliminare la risorsa in violazione o puoi aggiornare e rieseguire il deployment della postura. Per eliminare la risorsa, completa i seguenti passaggi:
Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di security posture ha rilevato che un servizio Cloud Run non è conforme alle impostazioni di ingresso specificate. Livello di prezzo: Premium Risolvi questo rilevamento : Hai due opzioni per risolvere questo rilevamento: puoi aggiornare la risorsa in violazione o puoi aggiornare la posizione e reimplementarla. Per aggiornare la risorsa:
Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di analisi della posizione di sicurezza ha rilevato che un accesso a livello di bucket è granulare anziché uniforme. Livello di prezzo: Premium Risolvi questo rilevamento : Hai due opzioni per risolvere questo rilevamento: puoi aggiornare la risorsa in violazione o puoi aggiornare la posizione e reimplementarla. Per aggiornare la risorsa:
Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, svolgi i seguenti passaggi:
|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: il servizio di security posture ha rilevato che un servizio Cloud Run non è conforme alle impostazioni di uscita specificate. Livello di prezzo: Premium Risolvi questo rilevamento : Hai due opzioni per risolvere questo rilevamento: puoi aggiornare la risorsa in violazione o puoi aggiornare la posizione e reimplementarla. Per aggiornare la risorsa:
Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, svolgi i seguenti passaggi:
|
VM Manager
VM Manager è una suite di strumenti che puoi utilizzare per gestire i sistemi operativi per grandi gruppi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.
Se abiliti VM Manager con Security Command Center Premium a livello di organizzazione, VM Manager scrive i risultati dei report sulle vulnerabilità, che sono in anteprima, in Security Command Center. I report identificano le vulnerabilità nei sistemi operativi installati sulle VM, incluse le vulnerabilità ed esposizioni comuni (CVE).
Per utilizzare VM Manager con attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell' organizzazione principale.
I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.
I risultati semplificano la procedura di utilizzo della funzionalità di conformità ai patch di VM Manager, che è in anteprima. La funzionalità consente di eseguire la gestione delle patch a livello di organizzazione in tutti i progetti.
La gravità dei risultati relativi alle vulnerabilità ricevuti da VM Manager è sempre CRITICAL o HIGH.
Risultati di VM Manager
Le vulnerabilità di questo tipo si riferiscono ai pacchetti del sistema operativo installati nelle VM Compute Engine supportate.
| Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
|---|---|---|
|
Nome della categoria nell'API: |
Descrizione del rilevamento: VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo (OS) installato per una VM Compute Engine. Livello di prezzo: Premium Asset supportati |
I report sulle vulnerabilità di VM Manager descrivono nel dettaglio le vulnerabilità nei pacchetti del sistema operativo installati per le VM di Compute Engine, tra cui le vulnerabilità ed esposizioni comuni (CVE). Per un elenco completo dei sistemi operativi supportati, consulta Dettagli del sistema operativo. I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati nel seguente modo:
|
Esamina i risultati nella console
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Gestore VM. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Console Security Operations
-
Nella console Security Operations, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAINcon l'identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
- Seleziona VM Manager. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Correzione dei risultati di VM Manager
Un rilevamento OS_VULNERABILITY indica che VM Manager ha rilevato una vulnerabilità nei pacchetti del sistema operativo installati in una VM Compute Engine.
Per risolvere il problema, segui questi passaggi:
Apri un rilevamento
OS vulnerabilitye visualizza la relativa definizione JSON.Copia il valore del campo
externalUri. Questo valore è l'URI della pagina Informazioni sul sistema operativo dell'istanza VM Compute Engine in cui è installato il sistema operativo vulnerabile.Applica tutte le patch appropriate per il sistema operativo mostrato nella sezione Informazioni di base. Per istruzioni su come implementare le patch, consulta Creare job di applicazione patch.
Scopri le risorse e le impostazioni di scansione supportate di questo tipo di segnalazione.
Disattivare i risultati di VM Manager
Potresti voler nascondere alcuni o tutti i risultati di VM Manager in Security Command Center se non sono pertinenti ai tuoi requisiti di sicurezza.
Puoi nascondere i risultati di VM Manager creando una regola di disattivazione e aggiungendo attributi di query specifici per i risultati di VM Manager che vuoi nascondere.
Per creare una regola di disattivazione audio per VM Manager utilizzando la console Google Cloud:
Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona il tuo progetto o la tua organizzazione Google Cloud.
Fai clic su Opzioni di disattivazione e poi seleziona Crea regola di disattivazione.
Inserisci un ID regola di disattivazione. Questo valore è obbligatorio.
Inserisci una descrizione della regola di disattivazione che fornisca il contesto del motivo per cui i risultati sono stati disattivati. Questo valore è facoltativo, ma consigliato.
Conferma l'ambito della regola di disattivazione controllando il valore Risorsa principale.
Nel campo Query sui risultati, crea le istruzioni di query facendo clic su Aggiungi filtro. In alternativa, puoi digitare le istruzioni di query manualmente.
Nella finestra di dialogo Seleziona filtro, seleziona Risultato > Nome visualizzato dell'origine > Gestore VM.
Fai clic su Applica.
Ripeti fino a quando la query di disattivazione non contiene tutti gli attributi che vuoi nascondere.
Ad esempio, se vuoi nascondere ID CVE specifici nei risultati relativi alle vulnerabilità di VM Manager, seleziona Vulnerabilità > ID CVE e poi gli ID CVE che vuoi nascondere.
La query di ricerca è simile alla seguente:
Fai clic su Anteprima dei risultati corrispondenti.
Viene visualizzata una tabella con i risultati che corrispondono alla tua query.
Fai clic su Salva.
Sensitive Data Protection
Questa sezione descrive i risultati relativi alle vulnerabilità generati da Sensitive Data Protection, gli standard di conformità supportati e come correggere i risultati.
Sensitive Data Protection invia anche i risultati delle osservazioni a Security Command Center. Per ulteriori informazioni sui risultati dell'osservazione e su Sensitive Data Protection, consulta Sensitive Data Protection.
Per informazioni su come visualizzare i risultati, consulta Esaminare i risultati di Sensitive Data Protection nella console Google Cloud.
Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se stai archiviando dati altamente sensibili non protetti.
| Categoria | Riepilogo |
|---|---|
|
Nome della categoria nell'API:
|
Descrizione del rilevamento: la risorsa specificata contiene dati con sensibilità elevata a cui chiunque può accedere su internet. Asset supportati:
Correzione: Per i dati di Google Cloud, rimuovi Per i dati di Amazon S3, configura le impostazioni di blocco dell'accesso pubblico o aggiorna l'ACL dell'oggetto per negare l'accesso in lettura pubblico. Standard di conformità: non mappato |
|
Nome della categoria nell'API:
|
Descrizione del problema: nelle variabili di ambiente sono presenti secret, come passwords, token di autenticazione e credenziali Google Cloud. Per attivare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection. Asset supportati: Correzione: Per le variabili di ambiente delle funzioni Cloud Run, rimuovi il secret dalla variabile di ambiente e memorizzalo in Secret Manager. Per le variabili di ambiente della revisione del servizio Cloud Run, sposta tutto il traffico dalla revisione ed eliminala. Standard di conformità:
|
|
Nome della categoria nell'API:
|
Descrizione del problema: nella risorsa specificata sono presenti secret, come password, token di autenticazione e credenziali cloud. Asset supportati:
Correzione:
Standard di conformità: non mappato |
Policy Controller
Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes registrati come adesioni al parco risorse. Questi criteri fungono da barriere e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse.
Questa pagina non elenca tutti i singoli risultati di Policy Controller, ma le informazioni sui risultati della classe Misconfiguration che Policy Controller scrive in Security Command Center sono le stesse delle violazioni del cluster documentate per ogni bundle di Policy Controller. La documentazione per i singoli tipi di risultati di Policy Controller è disponibile nei seguenti pacchetti di Policy Controller:
CIS Kubernetes Benchmark v1.5.1, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. Puoi anche visualizzare le informazioni su questo bundle nel repository GitHub per
cis-k8s-v1.5.1.PCI-DSS v3.2.1, un pacchetto che valuta la conformità delle risorse del cluster ad alcuni aspetti dello standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. Puoi anche visualizzare le informazioni su questo bundle nel repository GitHub per
pci-dss-v3.
Questa funzionalità non è compatibile con i perimetri di servizio dei Controlli di servizio VPC intorno all'API Stackdriver.
Individuare e correggere i risultati di Policy Controller
Le categorie di Policy Controller corrispondono ai nomi dei vincoli elencati nella documentazione dei pacchetti di Policy Controller. Ad esempio, un
require-namespace-network-policies
risultato indica che uno spazio dei nomi viola la norma che prevede che ogni spazio dei nomi in un
cluster abbia un NetworkPolicy.
Per correggere un rilevamento:
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Controller dei criteri nel cluster. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Console Security Operations
-
Nella console Security Operations, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAINcon l'identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
- Seleziona Policy Controller on-cluster. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Passaggi successivi
Scopri come utilizzare Security Health Analytics.
Scopri come utilizzare Web Security Scanner.
Leggi i suggerimenti per la correzione dei risultati di Security Health Analytics e per la correzione dei risultati di Web Security Scanner.