Os detectores da Análise de integridade da segurança e do Web Security Scanner geram e as descobertas de vulnerabilidade que estão disponíveis no Security Command Center. Quando são ativados no Security Command Center, os serviços integrados, como o VM Manager, também geram descobertas de vulnerabilidades.
Sua capacidade de visualizar e editar as descobertas é determinada pelos papéis e permissões do Identity and Access Management (IAM) atribuídos a você. Para mais informações sobre os papéis do IAM no Security Command Center, consulte Controle de acesso.
Detectores e compliance
o Security Command Center monitora sua conformidade com detectores associados aos controles de uma ampla diversos padrões de segurança.
Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto dos controles. Para os controles marcados, o Security Command Center mostra quantos estão passando. Para o que não forem aprovados, o Security Command Center mostrará uma lista de descobertas que descrever as falhas de controle.
O CIS analisa e certifica os mapeamentos o Security Command Center os detectores a cada suporte do comparativo de mercado CIS do Google Cloud Foundations. Compliance adicional são incluídos apenas para fins de referência.
o Security Command Center adiciona suporte a novas versões de comparativo de mercado e padrões periodicamente. Antigos continuam compatíveis, mas acabarão sendo descontinuadas. Recomendamos usar o comparativo de mercado ou o padrão compatível mais recente disponível.
Com o serviço de postura de segurança, é possível mapear as políticas da organização e os detectores da Análise de integridade da segurança para os padrões e controles de acesso que se aplicam à sua empresa. Depois de criar uma postura de segurança, é possível monitorar quaisquer alterações no ambiente que possam afetar a conformidade da sua empresa.
Para mais informações sobre como gerenciar a conformidade, consulte Avalie e relate compliance com a segurança de conformidade.
Padrões de segurança com suporte no Google Cloud
o Security Command Center mapeia os detectores do Google Cloud para um ou mais dos requisitos de conformidade a seguir padrão:
- Centro de Segurança da Informação (CIS) Controles 8.0
- CIS do Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- Comparativo de mercado do CIS para Kubernetes v1.5.1
- Controles de nuvem Matriz (CCM) 4
- Seguro de saúde Lei de Portabilidade e Responsabilidade (HIPAA)
- Organização Internacional de Padronização (ISO) 27001, 2022 e 2013
- Nacional Institute of Standards and Technology (NIST) 800-53 R5 e R4
- NIST CSF 1.0 (link em inglês)
- Open Web Application Security Project (OWASP) Top Ten, 2021 e 2017
- Dados do setor de cartões de pagamento Padrão de segurança (PCI DSS) 4.0 e 3.2.1
- Controles de sistema e da organização (SOC) 2 2017 Critérios de Serviços de Confiança (TSC, na sigla em inglês)
Padrões de segurança com suporte na AWS
o Security Command Center mapeia os detectores da Amazon Web Services (AWS) em um ou mais dos itens de conformidade a seguir; padrão:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0 (link em inglês)
- CCM 4 (link em inglês)
- HIPAA
- ISO 27001 2022 (em inglês)
- NIST 800 a 53 R5
- NIST CSF 1.0 (link em inglês)
- PCI DSS 4.0 e 3.2.1
- SOC 2 2017 TSC
Para instruções sobre como visualizar e exportar relatórios de compliance, consulte a seção Compliance Como usar o Security Command Center no console do Google Cloud.
Como encontrar a desativação após a correção
Depois de corrigir uma descoberta de vulnerabilidade ou configuração incorreta, o
serviço do Security Command Center que detectou a descoberta define automaticamente
o estado dela como INACTIVE
na próxima vez que o serviço de detecção
verificar a descoberta. O tempo que o Security Command Center leva para definir uma
descoberta corrigida como INACTIVE
depende da programação da verificação que
detecta a descoberta.
Os serviços do Security Command Center também definem o estado de uma descoberta
de vulnerabilidade ou configuração incorreta como INACTIVE
quando uma verificação detecta que o
recurso afetado pela descoberta foi excluído.
Para mais informações sobre intervalos de verificação, consulte os seguintes tópicos:
- Tipos de verificações da Análise de integridade da segurança
- Tipos de verificação do Web Security Scanner
Descobertas da análise de integridade de segurança
Os detectores do Security Health Analytics monitoram um subconjunto de recursos do Cloud Asset Inventory (CAI), recebendo notificações de alterações na política de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Alguns detectores recuperam dados chamando diretamente as APIs do Google Cloud, conforme indicado em tabelas mais adiante nesta página.
Para mais informações sobre a Análise de integridade da segurança, programações de verificação e o suporte da Análise de integridade da segurança para detectores de módulo integrados e personalizados, consulte Visão geral da Análise de integridade da segurança.
As tabelas a seguir descrevem os detectores do Security Health Analytics, os recursos e os padrões de compliance compatíveis, as configurações usadas para verificações e os tipos de descobertas gerados. Você pode filtrar as descobertas por vários atributos usando a página Vulnerabilidades do Security Command Center no console do Google Cloud.
Para obter instruções sobre como corrigir problemas e proteger seus recursos, consulte Como corrigir descobertas da Análise de integridade da segurança.
Descobertas de vulnerabilidade da chave de API
O detector API_KEY_SCANNER
identifica vulnerabilidades relacionadas às
chaves de API usadas na implantação na nuvem.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
API key APIs unrestricted
Nome da categoria na API: |
Como encontrar a descrição: há chaves de API sendo usadas muito amplamente. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Recupera a propriedade
|
API key apps unrestricted
Nome da categoria na API: |
Como encontrar a descrição: há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer aplicativo não confiável. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Recupera a
|
API key exists
Nome da categoria na API: |
Descrição da descoberta: um projeto está usando chaves de API em vez da autenticação padrão. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Recupera todas as chaves de API de um projeto.
|
API key not rotated
Nome da categoria na API: |
Como encontrar a descrição: a chave de API não é rotacionada há mais de 90 dias. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Recupera o carimbo de data/hora contido na
propriedade
|
Descobertas de vulnerabilidades do Inventário de recursos do Cloud
Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações do Inventário de recursos do Cloud e pertencem ao tipo CLOUD_ASSET_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Cloud Asset API disabled
Nome da categoria na API: |
Descrição da descoberta: a captura de recursos do Google Cloud e políticas do IAM pelo Inventário de recursos do Cloud permite análise de segurança, rastreamento de alterações de recursos e auditoria de compliance. Recomendamos que o serviço do Inventário de recursos do Cloud seja ativado para todos os projetos. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o serviço do Inventário de recursos do Cloud está ativado.
|
Calcular descobertas de vulnerabilidade de imagem
O detector COMPUTE_IMAGE_SCANNER
identifica vulnerabilidades relacionadas às
configurações de imagem do Google Cloud.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Public Compute image
Nome da categoria na API: |
Como encontrar a descrição: uma imagem do Compute Engine pode ser acessada publicamente. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica a política de permissão de IAM nos metadados
de recursos para os membros
|
Descobertas de vulnerabilidade da instância do Compute
O detector COMPUTE_INSTANCE_SCANNER
identifica vulnerabilidades relacionadas às configurações da instância do Compute Engine.
Os detectores COMPUTE_INSTANCE_SCANNER
não informam as descobertas nas instâncias do Compute Engine criadas pelo GKE. Esses instâncias têm nomes que começam com "gke-", que os usuários não podem editar. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades
do contêiner.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Confidential Computing disabled
Nome da categoria na API: |
Como encontrar a descrição: a Computação confidencial está desativada em uma instância do Compute Engine. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a
propriedade
|
Compute project wide SSH keys allowed
Nome da categoria na API: |
Como encontrar a descrição: chaves SSH do projeto inteiro são usadas, permitindo o login em todas as instâncias do projeto. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica o objeto
|
Compute Secure Boot disabled
Nome da categoria na API: |
Como encontrar a descrição: esta VM protegida não tem a inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits. Nível de preços: Premium Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica a propriedade
|
Compute serial ports enabled
Nome da categoria na API: |
Como encontrar a descrição: as portas seriais de uma instância são ativadas, permitindo conexões com o console serial da instância. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica o objeto
|
Default service account used
Nome da categoria na API: |
Como encontrar a descrição: uma instância é configurada para usar a conta de serviço padrão. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Disk CMEK disabled
Nome da categoria na API: |
Como encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica o campo
|
Disk CSEK disabled
Nome da categoria na API: |
Descrição da descoberta: os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK). Esse detector requer configuração adicional para ativar Para mais instruções, consulte Detector de casos especiais. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica o campo
|
Full API access
Nome da categoria na API: |
Descrição da descoberta: uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Recupera o campo
|
HTTP load balancer
Nome da categoria na API: |
Como encontrar a descrição: uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Determina se a propriedade
|
Instance OS Login disabled
Nome da categoria na API: |
Encontrar descrição: o Login do SO está desativado nesta instância. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis
Padrões de conformidade:
|
Verifica se a propriedade
|
IP forwarding enabled
Nome da categoria na API: |
Descrição da descoberta: o encaminhamento de IP está ativado nas instâncias. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
OS login disabled
Nome da categoria na API: |
Encontrar descrição: o Login do SO está desativado nesta instância. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica o objeto
|
Public IP address
Nome da categoria na API: |
Como encontrar a descrição: uma instância tem um endereço IP público. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Shielded VM disabled
Nome da categoria na API: |
Encontrando descrição: a VM protegida está desativada nesta instância. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Weak SSL policy
Nome da categoria na API: |
Como encontrar a descrição: uma instância tem uma política de SSL fraca. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se
|
Descobertas da vulnerabilidade do contêiner
Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE
e pertencem ao tipo de detector CONTAINER_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Alpha cluster enabled
Nome da categoria na API: |
Como encontrar a descrição: os recursos do cluster Alfa estão ativados para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Auto repair disabled
Nome da categoria na API: |
Como encontrar a descrição: o recurso de reparo automático de um cluster do GKE, que mantém os nós em estado íntegro e em execução, está desativado. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Auto upgrade disabled
Nome da categoria na API: |
Como encontrar a descrição: o recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Binary authorization disabled
Nome da categoria na API: |
Descrição da descoberta: a autorização binária está desativada no cluster do GKE ou a política correspondente está configurada para permitir a implantação de todas as imagens. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica o seguinte:
|
Cluster logging disabled
Nome da categoria na API: |
Como encontrar a descrição: o Logging não está ativado para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Cluster monitoring disabled
Nome da categoria na API: |
Como encontrar a descrição: o Monitoring está desativado nos clusters do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Cluster private Google access disabled
Nome da categoria na API: |
Como encontrar a descrição: hosts de cluster não estão configurados para usar apenas endereços IP internos privados para acessar as APIs do Google. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Cluster secrets encryption disabled
Nome da categoria na API: |
Como encontrar a descrição: a criptografia de secrets da camada de aplicativos está desativada em um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Cluster shielded nodes disabled
Nome da categoria na API: |
Como encontrar a descrição:: os nós protegidos do GKE não estão ativados para um cluster. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
COS not used
Nome da categoria na API: |
Como encontrar a descrição: as VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Integrity monitoring disabled
Nome da categoria na API: |
Como encontrar a descrição: o monitoramento de integridade está desativado para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Intranode visibility disabled
Nome da categoria na API: |
Como encontrar a descrição: a visibilidade intranós é desativada para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
IP alias disabled
Nome da categoria na API: |
Descrição da descoberta: um cluster do GKE foi criado com intervalos de IP de alias desativados. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o campo
|
Legacy authorization enabled
Nome da categoria na API: |
Descrição da descoberta: a autorização legada está ativada em clusters do GKE. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Legacy metadata enabled
Nome da categoria na API: |
Como encontrar a descrição: metadados legados são ativados em clusters do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Master authorized networks disabled
Nome da categoria na API: |
Descrição da descrição: redes autorizadas do plano de controle não está ativado em clusters do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Network policy disabled
Nome da categoria na API: |
Como encontrar a descrição: a política de rede está desativada nos clusters do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica o campo
|
Nodepool boot CMEK disabled
Nome da categoria na API: |
Descrição da descoberta: os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica a propriedade
|
Nodepool secure boot disabled
Nome da categoria na API: |
Como encontrar a descrição: a Inicialização segura está desativada para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Over privileged account
Nome da categoria na API: |
Descrição da descoberta: uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Avalia a propriedade
|
Over privileged scopes
Nome da categoria na API: |
Descrição da localização: uma conta de serviço de nó tem escopos de acesso amplo. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o escopo de acesso listado na
propriedade config.oauthScopes de um pool de nós
é limitado por uma conta de serviço:
https://www.googleapis.com/auth/devstorage.read_only ,
https://www.googleapis.com/auth/logging.write ,
ou https://www.googleapis.com/auth/monitoring .
|
Pod security policy disabled
Nome da categoria na API: |
Como encontrar a descrição: PodSecurityPolicy está desativada em um cluster do GKE. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Private cluster disabled
Nome da categoria na API: |
Descrição da descoberta: um cluster privado do GKE está desativado. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o campo
|
Release channel disabled
Nome da categoria na API: |
Como encontrar a descrição: um cluster do GKE não está inscrito em um canal de lançamento. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Web UI enabled
Nome da categoria na API: |
Como encontrar a descrição: a IU da Web do GKE (painel) está ativada. Nível de preços: Premium or Standard
Recursos compatíveis Padrões de conformidade:
|
Checks the
|
Workload Identity disabled
Nome da categoria na API: |
Como encontrar a descrição: a identidade da carga de trabalho está desativada em um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Descobertas de vulnerabilidades do Dataproc
As vulnerabilidades desse tipo de detector estão todas relacionadas ao Dataproc e pertencem ao
tipo de detector DATAPROC_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Dataproc CMEK disabled
Nome da categoria na API: |
Descrição da descoberta: um cluster do Dataproc foi criado sem uma CMEK de configuração de criptografia. Com a CMEK, as chaves que você cria e gerencia no Cloud Key Management Service encapsulam as chaves que o Google Cloud usa para criptografar seus dados, oferecendo mais controle sobre o acesso a eles. Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o campo
|
Dataproc image outdated
Nome da categoria na API: |
Como encontrar a descrição: um cluster do Dataproc foi criado com uma versão de imagem do Dataproc que é afetada por vulnerabilidades de segurança no utilitário Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046). Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica se o campo
|
Descobertas de vulnerabilidade do conjunto de dados
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
BigQuery table CMEK disabled
Nome da categoria na API: |
Como encontrar a descrição: uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o campo
|
Dataset CMEK disabled
Nome da categoria na API: |
Como encontrar a descrição: um conjunto de dados do BigQuery não está configurado para usar uma CMEK padrão. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o campo
|
Public dataset
Nome da categoria na API: |
Como encontrar a descrição: um conjunto de dados está configurado para ser aberto ao acesso público. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica a política de permissão de IAM nos metadados
de recursos para os membros
|
Descobertas de vulnerabilidade de DNS
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS
e pertencem ao tipo de detector DNS_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
DNSSEC disabled
Nome da categoria na API: |
Encontrando descrição: o DNSSEC está desativado para zonas do Cloud DNS. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o campo
|
RSASHA1 for signing
Nome da categoria na API: |
Encontrando descrição: o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o objeto
|
Descobertas de vulnerabilidades de firewall
As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e
pertencem ao tipo de detector FIREWALL_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Egress deny rule not set
Nome da categoria na API: |
Como encontrar a descrição: uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Firewall rule logging disabled
Nome da categoria na API: |
Encontrando descrição: o registro de regras de firewall está desativado. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open Cassandra port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta Cassandra aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open ciscosecure websm port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta CISCOSECURE_WEBSM aberta que permita acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open directory services port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open DNS port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta DNS aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open elasticsearch port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open firewall
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ser aberto ao acesso público. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica as propriedades
|
Open FTP port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta FTP aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open HTTP port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta HTTP aberta que permite acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open LDAP port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta LDAP aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open Memcached port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open MongoDB port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta MONGODB aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open MySQL port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta MYSQL que permita acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open NetBIOS port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta NETBIOS aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open OracleDB port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta ORACLEDB aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open pop3 port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta POP3 aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open PostgreSQL port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta PostgreSQL aberta que permita acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open RDP port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta RDP aberta que permita o acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
Open Redis port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Open SMTP port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta SMTP aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Open SSH port
Nome da categoria na API: |
Como encontrar a descrição: um firewall está configurado para ter uma porta SSH aberta que permita o acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Open Telnet port
Nome da categoria na API: |
Descrição da descoberta: um firewall está configurado para ter uma porta TELNET aberta que permita o acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Descobertas da vulnerabilidade do IAM
As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês)
e pertencem ao tipo de detector IAM_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Access Transparency disabled
Nome da categoria na API: |
Descrição da descoberta: a Transparência no acesso do Google Cloud está desativada para sua organização. Registros de Transparência no acesso quando funcionários do Google Cloud acessam os projetos da sua organização para fornecer suporte. Ative a Transparência no acesso para registrar quem do Google Cloud está acessando suas informações, quando e por quê. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se sua organização tem a Transparência no acesso ativada.
|
Admin service account
Nome da categoria na API: |
Como encontrar a descrição: uma conta de serviço tem os privilégios de Administrador, Proprietário ou Editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a política de permissão de IAM nos metadados do recurso em busca de qualquer conta de serviço criada pelo usuário (indicada pelo prefixo iam.gserviceaccount.com), que recebem
|
Essential Contacts Not Configured
Nome da categoria na API: |
Descrição da descoberta: sua organização não designou uma pessoa ou um grupo para receber notificações do Google Cloud sobre eventos importantes, como ataques, vulnerabilidades e incidentes de dados na organização do Google Cloud. Recomendamos designar como contato essencial uma ou mais pessoas ou grupos na sua organização de negócios. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se um contato foi especificado para as categorias de contato essencial a seguir:
|
KMS role separation
Nome da categoria na API: |
Como encontrar a descrição: a separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: Criptografador/Descriptografador de CryptoKey, Criptografador ou Descriptografador. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica as políticas de permissão de IAM nos metadados de recursos
e recupera os membros atribuídos a qualquer um dos papéis
a seguir ao mesmo tempo:
roles/cloudkms.cryptoKeyEncrypterDecrypter ,
roles/cloudkms.cryptoKeyEncrypter e
roles/cloudkms.cryptoKeyDecrypter ,
roles/cloudkms.signer ,
roles/cloudkms.signerVerifier ,
roles/cloudkms.publicKeyViewer .
|
Non org IAM member
Nome da categoria na API: |
Encontrando descrição: há um usuário que não está usando credenciais organizacionais. De acordo com o CIS GCP Foundations 1.0, atualmente apenas identidades com endereços de e-mail @gmail.com acionam esse detector. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Compara os endereços de e-mail @gmail.com no campo
|
Open group IAM member
Nome da categoria na API: |
Descrição da descoberta: uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como principal da política de permissão do IAM. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica a política
de IAM nos metadados de
recursos para verificar se há vinculações
contendo um membro (principal) que tenha o prefixo group . Se o
grupo for aberto, o Security Health Analytics gerará essa descoberta.
|
Over privileged service account user
Nome da categoria na API: |
Como encontrar a descrição: um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço para envolvidos no projeto, em vez de para uma conta de serviço específica. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a política de permissão do IAM nos metadados de
recursos para qualquer membro atribuído
roles/iam.serviceAccountUser ou
roles/iam.serviceAccountTokenCreator no
nível do projeto.
|
Primitive roles used
Nome da categoria na API: |
Descrição da descoberta: Um usuário tem um dos seguintes papéis básicos:
Esses papéis são muito permissivos e não devem ser usados. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a política de permissão do IAM no recurso
metadados dos principais com um
|
Redis role used on org
Nome da categoria na API: |
Descrição da descoberta: um papel do IAM do Redis é atribuído ao nível da organização ou da pasta. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium
Recursos compatíveis
Padrões de conformidade:
|
Verifica a política de permissão do IAM nos metadados de
recursos para membros atribuídos a
|
Service account role separation
Nome da categoria na API: |
Como encontrar a descrição: um usuário recebeu os papéis Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas". Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a política de permissão do IAM nos metadados de
recursos para qualquer membro com
roles/iam.serviceAccountUser e
roles/iam.serviceAccountAdmin atribuídos.
|
Service account key not rotated
Nome da categoria na API: |
Como encontrar a descrição: uma chave da conta de serviço não foi alternada por mais de 90 dias. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Avalia o carimbo de data/hora de criação da chave capturado na propriedade
|
User managed service account key
Nome da categoria na API: |
Como encontrar a descrição: um usuário gerencia uma chave de conta de serviço. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Descobertas de vulnerabilidade do KMS
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS
e pertencem ao tipo de detector KMS_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
KMS key not rotated
Nome da categoria na API: |
Como encontrar a descrição: a rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves de criptografia precisam ser trocadas dentro de um período de 90 dias Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica os metadados do recurso para a existência de propriedades
|
KMS project has owner
Nome da categoria na API: |
Como encontrar a descrição: um usuário tem permissões de Proprietário em um projeto que tem chaves criptográficas. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a política de permissão do IAM nos metadados do
projeto para os membros atribuídos
|
KMS public key
Nome da categoria na API: |
Como encontrar a descrição: uma chave criptográfica do Cloud KMS é acessível publicamente. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a política de permissão de IAM nos metadados
de recursos para os membros
|
Too many KMS users
Nome da categoria na API: |
Como encontrar a descrição: há mais de três usuários de chaves criptográficas. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica as políticas de permissão do IAM quanto a keyrings,
projetos e organizações e recupera membros com
papéis que permitem criptografar, descriptografar ou assinar dados usando
as chaves do Cloud KMS: roles/owner ,
roles/cloudkms.cryptoKeyEncrypterDecrypter ,
roles/cloudkms.cryptoKeyEncrypter ,
roles/cloudkms.cryptoKeyDecrypter ,
roles/cloudkms.signer e
roles/cloudkms.signerVerifier .
|
Descobertas de vulnerabilidade de geração de registros
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e
pertencem ao tipo de detector LOGGING_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Audit logging disabled
Nome da categoria na API: |
Descrição da descoberta: a geração de registros de auditoria foi desativada para este recurso. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a política de permissão do IAM nos metadados do recurso para a existência de um objeto
|
Bucket logging disabled
Nome da categoria na API: |
Como encontrar a descrição: há um bucket de armazenamento sem o registro ativado. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o campo
|
Locked retention policy not set
Nome da categoria na API: |
Como encontrar a descrição: uma política de retenção bloqueada não está definida para os registros. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o campo
|
Log not exported
Nome da categoria na API: |
Como encontrar a descrição: há um recurso que não tem um coletor de registros apropriado configurado. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis
Padrões de conformidade:
|
Recupera um objeto
|
Object versioning disabled
Nome da categoria na API: |
Como encontrar a descrição: o controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o campo
|
Como monitorar descobertas de vulnerabilidade
Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento
e pertencem ao tipo MONITORING_SCANNER
. Todas as propriedades de descoberta do detector do Monitoring incluem:
-
O
RecommendedLogFilter
a ser usado na criação das métricas de registro. -
O
QualifiedLogMetricNames
que abrange as condições listadas no filtro de registro recomendado. -
O
AlertPolicyFailureReasons
que indica se o projeto não tem políticas de alerta criadas para nenhuma das métricas de registro qualificadas ou se as políticas de alerta atuais não têm as configurações recomendadas.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Audit config not monitored
Nome da categoria na API: |
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na configuração de auditoria. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* e, se resource.type for especificado, se o valor é global ,
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente
|
Bucket IAM not monitored
Nome da categoria na API: |
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar alterações de permissão do IAM do Cloud Storage. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
Custom role not monitored
Nome da categoria na API: |
Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações de Papéis personalizados. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
Firewall not monitored
Nome da categoria na API: |
Como encontrar a descrição: as métricas e os alertas de registro não estão configurados para monitorar alterações na regra de firewall da rede de nuvem privada virtual (VPC). Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
Network not monitored
Nome da categoria na API: |
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças da rede VPC. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
Owner not monitored
Nome da categoria na API: |
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") e, se resource.type for especificado, se o valor é global .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
Route not monitored
Nome da categoria na API: |
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na rota de rede VPC. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
SQL instance not monitored
|
Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" e, se resource.type for especificado, se o valor é global .
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
Descobertas da autenticação multifator
O detector MFA_SCANNER
identifica vulnerabilidades relacionadas à autenticação multifator para usuários.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
MFA not enforced
Nome da categoria na API: |
Há usuários que não estão usando a verificação em duas etapas. O Google Workspace permite especificar um período de carência de inscrição para novos usuários em que eles precisam se inscrever na verificação em duas etapas. Esse detector cria descobertas para os usuários durante o período de carência da inscrição. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Avalia políticas de gerenciamento de identidade em organizações e configurações de usuários para contas gerenciadas no Cloud Identity.
|
Descobertas de vulnerabilidades de rede
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede
de uma organização e pertencem ao tipo NETWORK_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Default network
Nome da categoria na API: |
Como encontrar a descrição: a rede padrão existe em um projeto. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
DNS logging disabled
Nome da categoria na API: |
Encontrar a descrição: a geração de registros DNS em uma rede VPC não está ativada. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica todos os
|
Legacy network
Nome da categoria na API: |
Como encontrar a descrição: há uma rede legada em um projeto. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a existência de metadados de rede na propriedade
|
Load balancer logging disabled
Nome da categoria na API: |
Descrição da descoberta: a geração de registros está desativada no balanceador de carga. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Descobertas da vulnerabilidade da política da organização
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de política da organização e pertencem ao tipo ORG_POLICY
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Org policy Confidential VM policy
Nome da categoria na API: |
Como encontrar a descrição: um recurso do Compute Engine não está em conformidade com a política da organização constraints/compute.restrictNonConfidentialComputing . Para mais informações sobre essa restrição da política da organização, consulte
Como aplicar restrições de políticas da organização na documentação da VM confidencial.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica se a propriedade
|
Org policy location restriction
Nome da categoria na API: |
Como encontrar a descrição: um recurso do Compute Engine está fora da conformidade com a restrição constraints/gcp.resourceLocations . Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições da política da organização.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica a propriedade
|
Recursos compatíveis para ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Como não é possível excluir os recursos do Cloud KMS, eles não serão considerados fora da região se os dados deles tiverem sido destruídos. 2 Como os jobs de importação do Cloud KMS têm um ciclo de vida controlado e não podem ser encerrados antecipadamente, um ImportJob não é considerado fora da região se o job expirar e não puder mais ser usado para importar chaves. 3 Como o ciclo de vida dos jobs do Dataflow não pode ser gerenciado, um job não é considerado fora da região depois de atingir um estado terminal (interrompido ou drenado), em que pode não serão mais usados para processar dados. |
Descobertas de vulnerabilidades do Pub/Sub
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Pub/Sub
e pertencem ao tipo PUBSUB_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Pubsub CMEK disabled
Nome da categoria na API: |
Como encontrar a descrição: um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica o campo
|
Descobertas de vulnerabilidade SQL
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
do Cloud SQL e pertencem ao tipo SQL_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
AlloyDB auto backup disabled
Nome da categoria na API: |
Descrição da descoberta: Um cluster do AlloyDB para PostgreSQL não tem backups automáticos ativados. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o
propriedade
|
AlloyDB backups disabled
Nome da categoria na API: |
Descrição da descoberta: Um cluster do AlloyDB para PostgreSQL não tem backups ativados. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
AlloyDB CMEK disabled
Nome da categoria na API: |
Descrição da descoberta:um cluster do AlloyDB não está criptografado de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica o campo
|
AlloyDB log min error statement severity
Nome da categoria na API: |
Descrição da descoberta:
A flag de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Para garantir a cobertura adequada dos tipos de mensagens nos registros, emite uma descoberta se o
O campo
|
AlloyDB log min messages
Nome da categoria na API: |
Descrição da descoberta:
A flag do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Para garantir a cobertura adequada dos tipos de mensagem nos registros, emite uma descoberta se o
campo
|
AlloyDB log error verbosity
Nome da categoria na API: |
Descrição da descoberta:
A flag de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Para garantir a cobertura adequada dos tipos de mensagens nos registros, emite uma descoberta se o
O campo
|
AlloyDB public IP
Nome da categoria na API: |
Descrição da descoberta: Uma instância de banco de dados do AlloyDB para PostgreSQL tem um endereço IP público. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
AlloyDB SSL not enforced
Nome da categoria na API: |
Descrição da descoberta:uma instância de banco de dados do AlloyDB para PostgreSQL O não exige que todas as conexões de entrada usem SSL. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Auto backup disabled
Nome da categoria na API: |
Descrição da descoberta: um banco de dados do Cloud SQL não tem backups automáticos ativados. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Public SQL instance
Nome da categoria na API: |
Como encontrar a descrição: uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
SSL not enforced
Nome da categoria na API: |
Descrição da descoberta: uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
SQL CMEK disabled
Nome da categoria na API: |
Descrição da descoberta: uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica o campo
|
SQL contained database authentication
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL cross DB ownership chaining
Nome da categoria na API: |
Descoberta de localização:
a sinalização do banco
de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL external scripts enabled
Nome da categoria na API: |
Descoberta de localização:
a sinalização do banco
de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL local infile
Nome da categoria na API: |
Encontrando descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL log checkpoints disabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL log connections disabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL log disconnections disabled
Nome da categoria na API: |
Descoberta de localização:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL log duration disabled
Nome da categoria na API: |
Descoberta de localização:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL log error verbosity
Nome da categoria na API: |
Descrição da descoberta:
A flag de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
SQL log lock waits disabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL log min duration statement enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL log min error statement
Nome da categoria na API: |
Encontrando descrição
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o campo
|
SQL log min error statement severity
Nome da categoria na API: |
Descrição da descoberta:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o campo
|
SQL log min messages
Nome da categoria na API: |
Descrição da descoberta:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Para garantir a cobertura adequada dos tipos de mensagem nos registros, emite uma descoberta se o
campo
|
SQL log executor stats enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
SQL log hostname enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
SQL log parser stats enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
SQL log planner stats enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
SQL log statement
Nome da categoria na API: |
Como encontrar a descrição: a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
SQL log statement stats enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
SQL log temp files
Nome da categoria na API: |
Descoberta de localização:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL no root password
Nome da categoria na API: |
Descrição da descoberta: um banco de dados do Cloud SQL que tem um endereço IP público não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
SQL public IP
Nome da categoria na API: |
Como encontrar a descrição: um banco de dados do Cloud SQL tem um endereço IP público. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se o tipo de endereço IP de um
banco de dados do Cloud SQL está definido como
|
SQL remote access enabled
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização do banco
de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL skip show database disabled
Nome da categoria na API: |
Encontrando descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL trace flag 3625
Nome da categoria na API: |
Como encontrar a descrição:
a sinalização do banco
de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL user connections configured
Nome da categoria na API: |
Como encontrar a descrição: a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL user options configured
Nome da categoria na API: |
Como encontrar a descrição: a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica a propriedade
|
SQL weak root password
Nome da categoria na API: |
Descrição da descoberta: um banco de dados do Cloud SQL que tem um endereço IP público também tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Compara a senha da conta raiz do banco de dados do Cloud SQL com uma lista de senhas comuns.
|
Descobertas de vulnerabilidade do armazenamento
As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage
e pertencem ao tipo STORAGE_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Bucket CMEK disabled
Nome da categoria na API: |
Descrição da descoberta: um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica o campo
|
Bucket policy only disabled
Nome da categoria na API: |
Como encontrar a descrição: o acesso uniforme no nível do bucket, anteriormente chamado de Somente política do bucket, não está configurado. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a
propriedade
|
Public bucket ACL
Nome da categoria na API: |
Como encontrar a descrição: um bucket do Cloud Storage é acessível publicamente. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica a política de permissão do IAM de um bucket para
papéis públicos,
|
Public log bucket
Nome da categoria na API: |
Como encontrar a descrição: um bucket de armazenamento usado como coletor de registros é acessível publicamente. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de conformidade:
|
Verifica a política de permissão do IAM de um bucket para
os membros
|
Descobertas de vulnerabilidades de sub-rede
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER
.
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
Flow logs disabled
Nome da categoria na API: |
Como encontrar a descrição: há uma sub-rede VPC com registros de fluxo desativados. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Flow logs settings not recommended
Nome da categoria na API: |
Descrição da descoberta: em uma sub-rede VPC, os registros de fluxo de VPC estão desativados ou não estão configurados de acordo com as recomendações do comparativo de mercado CIS 1.3. Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Private Google access disabled
Nome da categoria na API: |
Descrição da descoberta: há sub-redes particulares sem acesso às APIs públicas do Google. Nível de preços: Premium
Recursos compatíveis Padrões de conformidade:
|
Verifica se a propriedade
|
Descobertas da AWS
Detector | Resumo | Configurações da verificação de recursos |
---|---|---|
AWS Cloud Shell Full Access Restricted
Nome da categoria na API: |
Descrição da descoberta: O AWS Cloud Shell é uma maneira conveniente de executar comandos de CLI em serviços da AWS. uma política de IAM gerenciada ("AWSCloudShellFullAccess") fornece acesso total ao Cloud Shell, o que permite a capacidade de upload e download de arquivos entre o sistema local do usuário e o ambiente do Cloud Shell. No ambiente do Cloud Shell, um usuário tem permissões sudo e pode acessar a Internet. Portanto, é viável instalar um software de transferência de arquivos (por exemplo) e mover os dados do Cloud Shell para servidores de Internet externos. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se o acesso ao AWSCloudShellFullAccess está restrito
|
Access Keys Rotated Every 90 Days or Less
Nome da categoria na API: |
Descrição da descoberta: As chaves de acesso consistem em um ID de chave de acesso e uma chave de acesso secreta, que são usadas para assinar solicitações programáticas feitas para a AWS. Os usuários da AWS precisam das próprias chaves de acesso para fazer chamadas programáticas para a AWS usando a AWS Command Line Interface (AWS CLI), as ferramentas para Windows PowerShell, os SDKs da AWS ou as chamadas HTTP diretas usando as APIs para serviços individuais da AWS. É recomendável alternar regularmente todas as chaves de acesso. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se as chaves de acesso são alternadas a cada 90 dias ou menos
|
All Expired Ssl Tls Certificates Stored Aws Iam Removed
Nome da categoria na API: |
Descrição da descoberta: Para ativar as conexões HTTPS para seu site ou aplicativo na AWS, você precisa de um certificado de servidor SSL/TLS. É possível usar o ACM ou o IAM para armazenar e implantar certificados do servidor. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se todos os certificados SSL/TLS expirados armazenados no AWS IAM foram removidos
|
Autoscaling Group Elb Healthcheck Required
Nome da categoria na API: |
Descrição da descoberta: Ela verifica se os grupos de escalonamento automático associados a um balanceador de carga usam verificações de integridade do Elastic Load Balancing. Isso garante que o grupo possa determinar a integridade de uma instância com base em testes adicionais fornecidos pelo balanceador de carga. O uso das verificações de integridade do Elastic Load Balancing pode ajudar a oferecer suporte à disponibilidade de aplicativos que usam grupos de escalonamento automático do EC2. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se todos os grupos de escalonamento automático associados a um balanceador de carga usam verificações de integridade
|
Auto Minor Version Upgrade Feature Enabled Rds Instances
Nome da categoria na API: |
Descrição da descoberta: Verifique se as instâncias de banco de dados do RDS estão com a sinalização de upgrade automático de versão secundária ativada para receber atualizações automáticas de mecanismos secundários durante a janela de manutenção especificada. Assim, as instâncias do RDS podem receber novos recursos, correções de bugs e patches de segurança para os mecanismos de banco de dados. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se o recurso de upgrade automático de versão secundária está ativado nas instâncias do RDS
|
Aws Config Enabled All Regions
Nome da categoria na API: |
Descrição da descoberta: O AWS Config é um serviço da Web que gerencia a configuração de recursos da AWS com suporte na sua conta e envia arquivos de registro para você. As informações registradas incluem o item de configuração (recurso da AWS), as relações entre os itens de configuração (recursos da AWS) e as mudanças de configuração entre os recursos. É recomendável ativar o AWS Config em todas as regiões. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se o AWS Config está ativado em todas as regiões
|
Aws Security Hub Enabled
Nome da categoria na API: |
Descrição da descoberta: A Central de segurança coleta dados de segurança de contas, serviços e produtos de parceiros terceirizados da AWS e ajuda a analisar tendências de segurança e identificar os problemas de segurança de maior prioridade. Quando você ativa a Central de segurança, ela começa a consumir, agregar, organizar e priorizar as descobertas dos serviços da AWS que você ativou, como Amazon GuardDuty, Amazon Inspector e Amazon Macie. Você também pode ativar integrações com produtos de segurança de parceiros da AWS. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a Central de Segurança da AWS está ativada
|
Cloudtrail Logs Encrypted Rest Using Kms Cmks
Nome da categoria na API: |
Descrição da descoberta: O AWS CloudTrail é um serviço da Web que registra chamadas de API da AWS para uma conta e disponibiliza esses registros a usuários e recursos de acordo com as políticas do IAM. O AWS Key Management Service (KMS) é um serviço gerenciado que ajuda a criar e controlar as chaves de criptografia usadas para criptografar dados de conta e usa módulos de segurança de hardware (HSMs) para proteger a segurança das chaves de criptografia. Os registros do CloudTrail podem ser configurados para usar a criptografia do lado do servidor (SSE) e as chaves mestras criadas pelo cliente (CMK) do KMS para proteger ainda mais os registros do CloudTrail. É recomendável configurar o CloudTrail para usar SSE-KMS. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se os registros do CloudTrail são criptografados em repouso usando CMKs do KMS
|
Cloudtrail Log File Validation Enabled
Nome da categoria na API: |
Descrição da descoberta: A validação do arquivo de registros do CloudTrail cria um resumo assinado digitalmente contendo um hash de cada registro que o CloudTrail grava no S3. Esses arquivos de resumo podem ser usados para determinar se um arquivo de registro foi alterado, excluído ou inalterado após o CloudTrail entregar o registro. Recomendamos que a validação do arquivo esteja ativada em todos os CloudTrails. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a validação do arquivo de registros do CloudTrail está ativada
|
Cloudtrail Trails Integrated Cloudwatch Logs
Nome da categoria na API: |
Descrição da descoberta: O AWS CloudTrail é um serviço da Web que registra chamadas da API da AWS feitas em uma determinada conta da AWS. As informações registradas incluem a identidade do autor da chamada de API, o horário da chamada de API, o endereço IP de origem do autor da chamada, os parâmetros de solicitação e os elementos de resposta retornados pelo serviço da AWS. O CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de registros. Portanto, eles são armazenados de maneira durável. Além de capturar registros do CloudTrail em um bucket S3 especificado para análise de longo prazo, é possível realizar análises em tempo real configurando o CloudTrail para enviar registros aos registros do CloudWatch. Para uma trilha ativada em todas as regiões de uma conta, o CloudTrail envia arquivos de registros de todas essas regiões para um grupo de registros do CloudWatch. É recomendável enviar os registros do CloudTrail para os registros do CloudWatch. Observação: a intenção dessa recomendação é garantir que a atividade da conta da AWS seja capturada, monitorada e acionada adequadamente. Os registros do CloudWatch são uma maneira nativa de fazer isso usando serviços da AWS, mas não impedem o uso de uma solução alternativa. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se as trilhas do CloudTrail estão integradas aos registros do CloudWatch
|
Cloudwatch Alarm Action Check
Nome da categoria na API: |
Descrição da descoberta: Verifica se o Amazon Cloudwatch tem ações definidas quando um alarme faz a transição entre os estados "OK" e "ALARM" e "INSUFFICIENT_DATA". Configurar ações para o estado ALARM nos alarmes do Amazon CloudWatch é muito importante para acionar uma resposta imediata quando as métricas monitoradas violarem limites. Os alarmes têm pelo menos uma ação. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se os alarmes do CloudWatch têm pelo menos uma ação de alarme, uma ação INSUFFICIENT_DATA ou uma ação OK ativada.
|
Cloudwatch Log Group Encrypted
Nome da categoria na API: |
Descrição da descoberta: Essa verificação garante que os registros do CloudWatch sejam configurados com o KMS. Os dados do grupo de registros são sempre criptografados nos registros do CloudWatch. Por padrão, os registros do CloudWatch usam criptografia do lado do servidor para os dados de registro em repouso. Como alternativa, você pode usar o AWS Key Management Service para essa criptografia. Se você fizer isso, a criptografia será feita usando uma chave KMS da AWS. A criptografia usando o AWS KMS é ativada no nível do grupo de registros, associando uma chave KMS a um grupo de registros, seja na criação ou depois da criação do grupo de registros. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se todos os grupos de registro nos logs do Amazon CloudWatch estão criptografados com o KMS
|
CloudTrail CloudWatch Logs Enabled
Nome da categoria na API: |
Descrição da descoberta: Esse controle verifica se as trilhas do CloudTrail estão configuradas para enviar registros aos registros do CloudWatch. O controle falhará se a propriedade CloudWatchLogsLogGroupArn da trilha estiver vazia. O CloudTrail registra as chamadas de API da AWS feitas em uma determinada conta. As informações registradas incluem o seguinte:
O CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de registros. É possível capturar registros do CloudTrail em um bucket do S3 especificado para análise de longo prazo. Para realizar análises em tempo real, configure o CloudTrail para enviar registros aos registros do CloudWatch. Para uma trilha ativada em todas as regiões de uma conta, o CloudTrail envia arquivos de registros de todas essas regiões para um grupo de registros do CloudWatch. A Central de segurança recomenda que você envie registros do CloudTrail para os registros do CloudWatch. O objetivo dessa recomendação é garantir que as atividades da conta sejam capturadas, monitoradas e acionadas adequadamente. Você pode usar os registros do CloudWatch para configurar isso com seus serviços da AWS. Essa recomendação não impede o uso de uma solução diferente. O envio de registros do CloudTrail para os registros do CloudWatch facilita o registro de atividades em tempo real e histórico com base em usuário, API, recurso e endereço IP. Você pode usar essa abordagem para estabelecer alarmes e notificações para atividades anômalas ou de sensibilidade na conta. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se todas as trilhas do CloudTrail estão configuradas para enviar registros ao AWS CloudWatch
|
No AWS Credentials in CodeBuild Project Environment Variables
Nome da categoria na API: |
Descrição da descoberta: Isso verifica se o projeto contém as variáveis de ambiente As credenciais de autenticação Nível de preços: Empresa Padrões de conformidade:
|
Verifique se todos os projetos que contêm variáveis de ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY não estão em texto simples
|
Codebuild Project Source Repo Url Check
Nome da categoria na API: |
Descrição da descoberta: Ela verifica se um URL do repositório de origem Bitbucket do projeto do AWS CodeBuild contém tokens de acesso pessoal ou um nome de usuário e uma senha. O controle falhará se o URL do repositório de origem do Bitbucket tiver tokens de acesso pessoais ou um nome de usuário e uma senha. As credenciais de login não devem ser armazenadas nem transmitidas em texto não criptografado nem aparecer no URL do repositório de origem. Em vez de tokens de acesso pessoais ou credenciais de login, acesse seu provedor de origem no CodeBuild e altere o URL do repositório de origem para conter apenas o caminho para o local do repositório do Bitbucket. O uso de tokens de acesso pessoal ou credenciais de login pode resultar em exposição não intencional aos dados ou acesso não autorizado. Nível de preços: Empresa Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica se todos os projetos que usam o github ou bitbucket como fonte usam o oauth
|
Credentials Unused 45 Days Greater Disabled
Nome da categoria na API: |
Descrição da descoberta: Os usuários do IAM da AWS podem acessar os recursos da AWS usando diferentes tipos de credenciais, como senhas ou chaves de acesso. Recomendamos que todas as credenciais que não forem usadas em 45 dias ou mais sejam desativadas ou removidas. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se as credenciais não usadas há 45 dias ou mais estão desativadas
|
Default Security Group Vpc Restricts All Traffic
Nome da categoria na API: |
Descrição da descoberta: Uma VPC vem com um grupo de segurança padrão em que as configurações iniciais negam todo o tráfego de entrada, permitem todo o tráfego de saída e permite todo o tráfego entre instâncias atribuídas ao grupo de segurança. Se você não especificar um grupo de segurança ao iniciar uma instância, ela será atribuída automaticamente a esse grupo de segurança padrão. Os grupos de segurança fornecem filtragem com estado do tráfego de rede de entrada/saída para recursos da AWS. Recomendamos que o grupo de segurança padrão restrinja todo o tráfego. A VPC padrão de cada região precisa ter o grupo de segurança padrão atualizado para estar em conformidade. Todas as VPCs recém-criadas vão conter automaticamente um grupo de segurança padrão que precisará de correção para obedecer a essa recomendação. OBSERVAÇÃO: ao implementar essa recomendação, a geração de registros de fluxo de VPC é inestimável para determinar o acesso à porta de privilégio mínimo exigido pelos sistemas para funcionar corretamente, porque pode registrar todas as aceitações e rejeições de pacotes que ocorrem nos grupos de segurança atuais. Isso reduz drasticamente a barreira primária à engenharia de privilégio mínimo, descobrindo as portas mínimas exigidas pelos sistemas no ambiente. Mesmo que a recomendação da geração de registros de fluxos de VPC neste comparativo não seja adotada como uma medida de segurança permanente, ela deve ser usada durante qualquer período de descoberta e engenharia para os grupos de segurança com menos privilégios. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego
|
Dms Replication Not Public
Nome da categoria na API: |
Descrição da descoberta: Verifica se as instâncias de replicação do AWS DMS são públicas. Para fazer isso, ele examina o valor do campo Uma instância de replicação particular tem um endereço IP particular que não pode ser acessado fora da rede de replicação. Uma instância de replicação precisa ter um endereço IP particular quando os bancos de dados de origem e destino estão na mesma rede. A rede também precisa estar conectada à VPC da instância de replicação usando uma VPN, o AWS Direct Connect ou o peering da VPC. Para saber mais sobre instâncias de replicação públicas e privadas, consulte Instâncias de replicação públicas e privadas no Guia do usuário do AWS Database Migration Service. Você também deve garantir que o acesso à configuração da instância do AWS DMS seja limitado apenas a usuários autorizados. Para fazer isso, restrinja o acesso Permissões do IAM para modificar configurações e recursos do AWS DMS. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se as instâncias de replicação do AWS Database Migration Service são públicas
|
Do Setup Access Keys During Initial User Setup All Iam Users Console
Nome da categoria na API: |
Descrição da descoberta: Quando um novo usuário do IAM é criado, as caixas de seleção não são marcadas por padrão no console da AWS. Ao criar as credenciais de usuário do IAM, você precisa determinar o tipo de acesso necessário. Acesso programático: o usuário do IAM pode precisar fazer chamadas de API, usar a CLI da AWS ou as ferramentas para Windows PowerShell. Nesse caso, crie uma chave de acesso (ID da chave de acesso e uma chave de acesso secreta) para esse usuário. Acesso ao AWS Management Console: se o usuário precisar acessar o AWS Management Console, crie uma senha para ele. Nível de preços: Empresa Padrões de conformidade:
|
Não defina chaves de acesso durante a configuração inicial de usuário para todos os usuários do IAM que têm uma senha para o console
|
Dynamodb Autoscaling Enabled
Nome da categoria na API: |
Descrição da descoberta: Ela verifica se uma tabela do Amazon DynamoDB pode escalonar a capacidade de leitura e gravação conforme necessário. Esse controle será aprovado se a tabela usar o modo de capacidade sob demanda ou o modo provisionado com o escalonamento automático configurado. O escalonamento de capacidade com demanda evita exceções de limitação, o que ajuda a manter a disponibilidade dos aplicativos. As tabelas do DynamoDB no modo de capacidade sob demanda são limitadas apenas pelas cotas de tabelas padrão de capacidade de processamento do DynamoDB. Para aumentar essas cotas, registre um tíquete de suporte no AWS Support. As tabelas DynamoDB no modo provisionado com escalonamento automático ajustam dinamicamente a capacidade de processamento provisionada em resposta aos padrões de tráfego. Para mais informações sobre a limitação de solicitações do DynamoDB, consulte "Limitação de solicitações e capacidade de burst" no Guia do desenvolvedor do Amazon DynamoDB. Nível de preços: Empresa Padrões de conformidade:
|
As tabelas DynamoDB precisam escalonar a capacidade automaticamente conforme a demanda
|
Dynamodb In Backup Plan
Nome da categoria na API: |
Descrição da descoberta: Esse controle avalia se uma tabela do DynamoDB está coberta por um plano de backup. O controle falhará se uma tabela do DynamoDB não estiver coberta por um plano de backup. Este controle avalia apenas as tabelas do DynamoDB que estão no estado ACTIVE. Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência dos seus sistemas. A inclusão de tabelas do DynamoDB em um plano de backup ajuda a proteger os dados contra perda ou exclusão não intencional. Nível de preços: Empresa Padrões de conformidade:
|
As tabelas DynamoDB precisam estar cobertas por um plano de backup
|
Dynamodb Pitr Enabled
Nome da categoria na API: |
Descrição da descoberta: A recuperação pontual (PITR, na sigla em inglês) é um dos mecanismos disponíveis para fazer backup de tabelas DynamoDB. Um backup pontual é mantido por 35 dias. Caso seu requisito seja uma retenção mais longa, consulte Configurar backups programados para o Amazon DynamoDB usando o backup do AWS na documentação da AWS. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se a recuperação pontual (PITR) foi ativada em todas as tabelas do AWS DynamoDB
|
Dynamodb Table Encrypted Kms
Nome da categoria na API: |
Descrição da descoberta: Verifica se todas as tabelas do DynamoDB foram criptografadas com uma chave KMS gerenciada pelo cliente (não padrão). Nível de preços: Empresa Padrões de conformidade:
|
Verifica se todas as tabelas do DynamoDB foram criptografadas com o AWS Key Management Service (KMS)
|
Ebs Optimized Instance
Nome da categoria na API: |
Descrição da descoberta: Verifique se a otimização do EBS está ativada nas instâncias do EC2 que podem ser otimizadas para EBS Nível de preços: Empresa Padrões de conformidade:
|
Verifica se a otimização do EBS foi ativada em todas as instâncias com suporte à otimização do EBS
|
Ebs Snapshot Public Restorable Check
Nome da categoria na API: |
Descrição da descoberta: Verifica se os snapshots do Amazon Elastic Block Store não são públicos. O controle falhará se os snapshots do Amazon EBS puderem ser restaurados por qualquer pessoa. Os snapshots do EBS são usados para fazer backup dos dados nos volumes do EBS para o Amazon S3 em um momento específico. É possível usar os snapshots para restaurar estados anteriores de volumes EBS. Raramente é aceitável compartilhar um snapshot com o público. Normalmente, a decisão de compartilhar um snapshot publicamente foi tomada por engano ou sem uma compreensão completa das implicações. Essa verificação ajuda a garantir que todo esse compartilhamento foi totalmente planejado e intencional. Nível de preços: Empresa Padrões de conformidade:
|
Os snapshots do Amazon EBS não podem ser publicamente restauráveis
|
Ebs Volume Encryption Enabled All Regions
Nome da categoria na API: |
Descrição da descoberta: O Elastic Compute Cloud (EC2) oferece suporte à criptografia em repouso ao usar o serviço Elastic Block Store (EBS). Enquanto desativado por padrão, é possível forçar a criptografia na criação do volume EBS. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a criptografia de volume EBS está ativada em todas as regiões
|
Ec2 Instances In Vpc
Nome da categoria na API: |
Descrição da descoberta: A Amazon VPC oferece mais funcionalidades de segurança do que o EC2 Classic. Recomendamos que todos os nós pertençam a uma VPC da Amazon. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se todas as instâncias pertencem a uma VPC
|
Ec2 Instance No Public Ip
Nome da categoria na API: |
Descrição da descoberta: As instâncias do EC2 que têm um endereço IP público correm um risco maior de serem comprometidas. Recomendamos que as instâncias do EC2 não sejam configuradas com um endereço IP público. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se nenhuma instância tem IP público
|
Ec2 Managedinstance Association Compliance Status Check
Nome da categoria na API: |
Descrição da descoberta: Uma associação do gerenciador de estado é uma configuração atribuída às instâncias gerenciadas. A configuração define o estado que você quer manter nas instâncias. Por exemplo, uma associação pode especificar que o software antivírus precisa estar instalado e em execução nas instâncias ou que determinadas portas precisam ser fechadas. As instâncias do EC2 associadas ao AWS Systems Manager estão sob o gerenciamento do Systems Manager, o que facilita a aplicação de patches, a correção de configurações incorretas e a resposta a ocorrências de segurança. Nível de preços: Empresa Padrões de conformidade:
|
Verifica o status de compliance da associação do AWS Systems Manager
|
Ec2 Managedinstance Patch Compliance Status Check
Nome da categoria na API: |
Descrição da descoberta: Esse controle verifica se o status de conformidade da associação do AWS Systems Manager é COMPLIANT ou NON_COMPLIANT depois que a associação é executada em uma instância. O controle falhará se o status de conformidade da associação for NON_COMPLIANT. Uma associação do gerenciador de estado é uma configuração atribuída às instâncias gerenciadas. A configuração define o estado que você quer manter nas instâncias. Por exemplo, uma associação pode especificar que o software antivírus precisa estar instalado e em execução nas instâncias ou que determinadas portas precisam ser fechadas. Depois de criar uma ou mais associações de gerentes de estado, as informações sobre o status de compliance vão ficar disponíveis imediatamente. É possível visualizar o status de conformidade no console ou em resposta aos comandos da CLI da AWS ou às ações correspondentes da API Systems Manager. Para associações, o status "Compliance da configuração" mostra o status ("Em compliance" ou "Não está em conformidade"). Também mostra o nível de gravidade atribuído à associação, como Crítico ou Médio. Para saber mais sobre conformidade da associação do State Manager, consulte Sobre a conformidade da associação do State Manager no Guia do usuário do AWS Systems Manager. Nível de preços: Empresa Padrões de conformidade:
|
Verifica o status de compliance do patch do AWS Systems Manager
|
Ec2 Metadata Service Allows Imdsv2
Nome da categoria na API: |
Descrição da descoberta: Ao ativar o serviço de metadados nas instâncias do AWS EC2, os usuários têm a opção de usar a versão 1 do serviço de metadados da instância (IMDSv1, um método de solicitação/resposta) ou a versão 2 do serviço de metadados da instância (IMDSv2, um método orientado por sessão). Nível de preços: Empresa Padrões de conformidade:
|
Verifique se o serviço de metadados do EC2 permite apenas IMDSv2
|
Ec2 Volume Inuse Check
Nome da categoria na API: |
Descrição da descoberta: Identificar e remover volumes do Elastic Block Store (EBS) não anexados (não utilizados) na conta da AWS para reduzir o custo da fatura mensal da AWS. A exclusão de volumes EBS não utilizados também reduz o risco de dados confidenciais/sensíveis saírem do local. Além disso, esse controle também verifica se as instâncias do EC2 arquivadas foram configuradas para excluir volumes no encerramento. Por padrão, as instâncias do EC2 são configuradas para excluir os dados em qualquer volume EBS associado à instância e para excluir o volume EBS raiz da instância. No entanto, por padrão, todos os volumes EBS não raiz anexados à instância, no lançamento ou durante a execução, são mantidos após o encerramento. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se os volumes do EBS estão anexados às instâncias do EC2 e configurados para exclusão no encerramento da instância
|
Efs Encrypted Check
Nome da categoria na API: |
Descrição da descoberta: O Amazon EFS aceita duas formas de criptografia para sistemas de arquivos: criptografia de dados em trânsito e criptografia em repouso. Isso verifica se todos os sistemas de arquivos EFS estão configurados com criptografia em repouso em todas as regiões ativadas na conta. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se o EFS foi configurado para criptografar dados de arquivos usando o KMS
|
Efs In Backup Plan
Nome da categoria na API: |
Descrição da descoberta: As práticas recomendadas da Amazon recomendam a configuração de backups para o Elastic File Systems (EFS). Isso verifica todo o EFS em todas as regiões ativadas na conta da AWS para backups ativados. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se os sistemas de arquivos do EFS estão incluídos nos planos de backup do AWS
|
Elb Acm Certificate Required
Nome da categoria na API: |
Descrição da descoberta: Verifica se o balanceador de carga clássico usa os certificados HTTPS/SSL fornecidos pelo AWS Certificate Manager (ACM). O controle falhará se o balanceador de carga clássico configurado com o listener HTTPS/SSL não usar um certificado fornecido pelo ACM. Para criar um certificado, você pode usar o ACM ou uma ferramenta que ofereça suporte aos protocolos SSL e TLS, como o OpenSSL. A Central de segurança recomenda que você use o ACM para criar ou importar certificados do balanceador de carga. O ACM se integra aos balanceadores de carga clássicos para que você possa implantar o certificado no seu balanceador de carga. Eles também precisam ser renovados automaticamente. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se todos os balanceadores de carga clássicos usam os certificados SSL fornecidos pelo AWS Certificate Manager
|
Elb Deletion Protection Enabled
Nome da categoria na API: |
Descrição da descoberta: Verifica se a proteção contra exclusão está ativada em um balanceador de carga de aplicativo. O controle falhará se a proteção contra exclusão não estiver configurada. Ative a proteção contra exclusão para impedir que seu balanceador de carga de aplicativo seja excluído. Nível de preços: Empresa Padrões de conformidade:
|
A proteção contra exclusões do balanceador de carga de aplicativo precisa ser ativada
|
Elb Logging Enabled
Nome da categoria na API: |
Descrição da descoberta: Isso verifica se a geração de registros está ativada para o balanceador de carga de aplicativo e o balanceador de carga clássico. O controle falhará se access_logs.s3.enabled for falso. O Elastic Load Balancing fornece registros de acesso que capturam informações detalhadas sobre as solicitações enviadas ao balanceador de carga. Cada registro contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. É possível usar esses registros de acesso para analisar padrões de tráfego e solucionar problemas. Para saber mais, consulte Registros de acesso do balanceador de carga clássico no Guia do usuário para balanceadores de carga clássicos. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se os balanceadores de carga de aplicativo e clássicos estão com a geração de registros ativada
|
Elb Tls Https Listeners Only
Nome da categoria na API: |
Descrição da descoberta: Essa verificação garante que todos os balanceadores de carga clássicos sejam configurados para usar comunicação segura. Um listener é um processo que verifica as solicitações de conexão. Ele é configurado com um protocolo e uma porta para conexões de front-end (de cliente para balanceador de carga), além de um protocolo e uma porta para conexões de back-end (balanceador de carga para instância). Para informações sobre portas, protocolos e configurações de listener compatíveis com o Elastic Load Balancing, consulte Listeners para o balanceador de carga clássico. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se todos os balanceadores de carga clássicos foram configurados com listeners HTTPS ou SSL
|
Encrypted Volumes
Nome da categoria na API: |
Descrição da descoberta: Verifica se os volumes do EBS que estão em um estado anexado estão criptografados. Para passar na verificação, os volumes do EBS precisam estar em uso e criptografados. Se o volume do EBS não estiver anexado, ele não estará sujeito a essa verificação. Para adicionar uma camada de segurança aos dados sensíveis em volumes EBS, ative a criptografia EBS em repouso. A criptografia do Amazon EBS oferece uma solução de criptografia direta para seus recursos do EBS que não exige que você crie, mantenha e proteja sua própria infraestrutura de gerenciamento de chaves. Ele usa chaves KMS ao criar volumes e snapshots criptografados. Para saber mais sobre criptografia do Amazon EBS, consulte criptografia do Amazon EBS no Guia do usuário do Amazon EC2 para instâncias do Linux. Nível de preços: Empresa Padrões de conformidade:
|
Os volumes anexados do Amazon EBS precisam estar criptografados em repouso
|
Encryption At Rest Enabled Rds Instances
Nome da categoria na API: |
Descrição da descoberta: As instâncias de banco de dados criptografadas do Amazon RDS usam o algoritmo de criptografia AES-256 padrão do setor para criptografar seus dados no servidor que hospeda suas instâncias do Amazon RDS DB. Depois que os dados são criptografados, o Amazon RDS lida com a autenticação de acesso e a descriptografia de dados de maneira transparente, com impacto mínimo no desempenho. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a criptografia em repouso foi ativada nas instâncias do RDS
|
Encryption Enabled Efs File Systems
Nome da categoria na API: |
Descrição da descoberta: Os dados do EFS devem ser criptografados em repouso usando o AWS KMS (Key Management Service). Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a criptografia está ativada para sistemas de arquivos EFS
|
Iam Password Policy
Nome da categoria na API: |
Descrição da descoberta: A AWS permite políticas de senha personalizadas na conta da AWS para especificar os requisitos de complexidade e os períodos de rotação obrigatórios para os usuários do IAM senhas. Se você não definir uma política de senha personalizada, as senhas de usuário do IAM precisarão atender à política de senha padrão da AWS. As práticas recomendadas de segurança da AWS recomendam os seguintes requisitos de complexidade de senha:
Isso controla todos os requisitos de política de senha especificados. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se a política de senha da conta para usuários do IAM atende aos requisitos especificados
|
Iam Password Policy Prevents Password Reuse
Nome da categoria na API: |
Descrição da descoberta: As políticas de senha do IAM podem impedir a reutilização de uma determinada senha pelo mesmo usuário. Recomenda-se que a política de senha impeça a reutilização de senhas. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a política de senha do IAM impede a reutilização da senha
|
Iam Password Policy Requires Minimum Length 14 Greater
Nome da categoria na API: |
Descrição da descoberta: As políticas de senha são, em parte, usadas para impor requisitos de complexidade de senha. As políticas de senha do IAM podem ser usadas para garantir que a senha tenha um determinado tamanho. Recomenda-se que a política de senha exija um tamanho mínimo de senha 14. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a política de senha do IAM requer tamanho mínimo de 14 ou mais
|
Iam Policies Allow Full Administrative Privileges Attached
Nome da categoria na API: |
Descrição da descoberta: Com as políticas do IAM, privilégios são concedidos a usuários, grupos ou papéis. É recomendado e considerado uma recomendação de segurança padrão conceder privilégio mínimo, ou seja, conceder apenas as permissões necessárias para executar uma tarefa. Determine o que os usuários precisam fazer e crie políticas que permitam que eles realizem apenas essas tarefas, em vez de conceder privilégios administrativos completos. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se as políticas do IAM que permitem privilégios de administrador "*:*" completos não estão anexadas
|
Iam Users Receive Permissions Groups
Nome da categoria na API: |
Descrição da descoberta: Os usuários do IAM recebem acesso a serviços, funções e dados pelas políticas do IAM. Existem quatro maneiras de definir políticas para um usuário: 1) Editar a política do usuário diretamente, também conhecida como uma política in-line ou de usuário; 2) anexar uma política diretamente a um usuário; 3) adicionar o usuário a um grupo do IAM que tenha uma política anexada; 4) adicionar o usuário a um grupo do IAM que tenha uma política inline. Apenas a terceira implementação é recomendada. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se os usuários do IAM recebem permissões somente pelos grupos
|
Iam User Group Membership Check
Nome da categoria na API: |
Descrição da descoberta: Os usuários do IAM devem sempre fazer parte de um grupo do IAM para aderir às práticas recomendadas de segurança do IAM. Ao adicionar usuários a um grupo, é possível compartilhar políticas entre tipos de usuários. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se os usuários do IAM são membros de pelo menos um grupo do IAM
|
Iam User Mfa Enabled
Nome da categoria na API: |
Descrição da descoberta: A autenticação multifator (MFA) é uma prática recomendada que adiciona uma camada extra de proteção aos nomes de usuários e senhas. Com a MFA, quando um usuário faz login no AWS Management Console, ele precisa fornecer um código de autenticação temporário, fornecido por um dispositivo virtual ou físico registrado. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se a autenticação multifator (MFA) está ativada para os usuários do AWS IAM
|
Iam User Unused Credentials Check
Nome da categoria na API: |
Descrição da descoberta: Isso verifica se há senhas do IAM ou chaves de acesso ativas que não tenham sido usadas nos últimos 90 dias. As práticas recomendadas recomendam remover, desativar ou alternar todas as credenciais não usadas por 90 dias ou mais. Isso reduz a janela de oportunidade para o uso de credenciais associadas a uma conta comprometida ou abandonada. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se todos os usuários do IAM da AWS têm senhas ou chaves de acesso ativas que não tenham sido usadas em maxCredentialUsageAge dias (padrão 90)
|
Kms Cmk Not Scheduled For Deletion
Nome da categoria na API: |
Descrição da descoberta: Esse controle verifica se as chaves do KMS estão programadas para exclusão. O controle falhará se uma chave KMS estiver programada para exclusão. Não é possível recuperar as chaves do KMS após a exclusão. Os dados criptografados com uma chave KMS também são permanentemente irrecuperáveis se a chave KMS for excluída. Se dados significativos tiverem sido criptografados com uma chave KMS programada para exclusão, considere descriptografar ou recriptografar os dados com uma nova chave KMS, a menos que você esteja fazendo uma exclusão criptográfica intencionalmente. Quando uma chave KMS é programada para exclusão, um período de espera obrigatório é aplicado para que haja tempo de reverter a exclusão, caso ela tenha sido programada por engano. O período de espera padrão é de 30 dias, mas pode ser reduzido para até 7 dias quando a chave KMS for programada para exclusão. Durante o período de espera, a exclusão programada pode ser cancelada, e a chave KMS não será excluída. Para mais informações sobre a exclusão de chaves do KMS, consulte Como excluir chaves do KMS no Guia do desenvolvedor do AWS Key Management Service. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se todas as CMKs não estão programadas para exclusão
|
Lambda Concurrency Check
Nome da categoria na API: |
Descrição da descoberta: Verifica se a função do Lambda está configurada com um limite de execução simultânea no nível da função. A regra será NON_COMPLIANT se a função Lambda não estiver configurada com um limite de execução simultânea no nível da função. Nível de preços: Empresa Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica se as funções do lambda foram configuradas com limite de execução simultânea no nível da função
|
Lambda Dlq Check
Nome da categoria na API: |
Descrição da descoberta: Verifica se uma função do Lambda está configurada com uma fila de mensagens inativas. A regra será NON_COMPLIANT se a função do Lambda não estiver configurada com uma fila de mensagens inativas. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se as funções do lambda foram configuradas com uma fila de mensagens mortas
|
Lambda Function Public Access Prohibited
Nome da categoria na API: |
Descrição da descoberta: As práticas recomendadas da AWS recomendam que a função do Lambda não seja exposta publicamente. Esta política verifica todas as funções do Lambda implantadas em todas as regiões ativadas na sua conta e vai falhar se forem configuradas para permitir o acesso público. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se a política anexada à função do lambda proíbe o acesso público
|
Lambda Inside Vpc
Nome da categoria na API: |
Descrição da descoberta: Verifica se uma função do lambda está em uma VPC. Talvez você veja descobertas com falha para recursos do Lambda@Edge. Ele não avalia a configuração de roteamento da sub-rede VPC para determinar a acessibilidade pública. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se existem funções do lambda em uma VPC
|
Mfa Delete Enabled S3 Buckets
Nome da categoria na API: |
Descrição da descoberta: Depois que a exclusão de MFA está ativada no seu bucket confidencial e classificado do S3, o usuário precisa ter duas formas de autenticação. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a exclusão da MFA foi ativada nos buckets do S3
|
Mfa Enabled Root User Account
Nome da categoria na API: |
Descrição da descoberta: A "raiz" conta de usuário é o usuário mais privilegiado em uma conta da AWS. A autenticação multifator (MFA) adiciona uma camada extra de proteção, além de nome de usuário e senha. Com a MFA ativada, quando um usuário faz login em um site da AWS, ele recebe uma solicitação para inserir o nome de usuário e a senha, bem como um código de autenticação do dispositivo de MFA da AWS. Observação: quando a MFA virtual é usada para "raiz" é recomendado que o dispositivo usado NÃO seja um dispositivo pessoal, mas sim um dispositivo móvel dedicado (tablet ou telefone) que é gerenciado para ser mantido carregado e protegido, independentemente de dispositivos pessoais individuais. ("MFA virtual não pessoal") Isso diminui os riscos de perder o acesso à MFA devido à perda ou à troca de dispositivos ou se o proprietário do dispositivo não estiver mais empregado na empresa. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a autenticação multifator (MFA) está ativada para a conta de usuário "raiz"
|
Multi Factor Authentication Mfa Enabled All Iam Users Console
Nome da categoria na API: |
Descrição da descoberta: A autenticação multifator (MFA) adiciona uma camada extra de garantia de autenticação além das credenciais tradicionais. Com a MFA ativada, quando um usuário faz login no console da AWS, ele precisa inserir o nome de usuário e a senha, bem como um código de autenticação do token de MFA físico ou virtual. Recomenda-se que a MFA esteja ativada para todas as contas que tenham uma senha do console. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a autenticação multifator (MFA) foi ativada para todos os usuários do IAM que têm uma senha do console
|
No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration
Nome da categoria na API: |
Descrição da descoberta: A função Network Access Control List (NACL) fornece filtragem sem estado de tráfego de rede de entrada e saída para recursos da AWS. Recomendamos que nenhuma NACL permita o acesso de entrada irrestrito às portas de administração de servidor remoto, como SSH para a porta Nível de preços: Empresa Padrões de conformidade:
|
Verifique se nenhuma ACL de rede permite a entrada de 0.0.0.0/0 para portas de administração de servidor remoto
|
No Root User Account Access Key Exists
Nome da categoria na API: |
Descrição da descoberta: A "raiz" conta de usuário é o usuário mais privilegiado em uma conta da AWS. As chaves de acesso da AWS fornecem acesso programático a uma determinada conta da AWS. Recomendamos que todas as chaves de acesso associadas à conta ser excluída. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se não existe uma chave de acesso da conta de usuário "raiz"
|
No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration
Nome da categoria na API: |
Descrição da descoberta: Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada e saída para os recursos da AWS. Recomendamos que nenhum grupo de segurança permita o acesso de entrada irrestrito às portas de administração de servidor remoto, como SSH para a porta Nível de preços: Empresa Padrões de conformidade:
|
Verifique se nenhum grupo de segurança permite a entrada de 0.0.0.0/0 para portas de administração remotas do servidor
|
No Security Groups Allow Ingress 0 Remote Server Administration
Nome da categoria na API: |
Descrição da descoberta: Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada e saída para os recursos da AWS. Recomendamos que nenhum grupo de segurança permita o acesso de entrada irrestrito às portas de administração de servidor remoto, como SSH para a porta Nível de preços: Empresa Padrões de conformidade:
|
Verifique se nenhum grupo de segurança permite a entrada de portas ::/0 para a administração remota de servidores
|
One Active Access Key Available Any Single Iam User
Nome da categoria na API: |
Descrição da descoberta: As chaves de acesso são credenciais de longo prazo para um usuário do IAM ou para a conta "raiz" da AWS usuário. Você pode usar chaves de acesso para assinar solicitações programáticas para a CLI da AWS ou a API da AWS (diretamente ou usando o SDK da AWS) Nível de preços: Empresa Padrões de conformidade:
|
Verifique se há apenas uma chave de acesso ativa disponível para cada usuário do IAM
|
Public Access Given Rds Instance
Nome da categoria na API: |
Descrição da descoberta: Para minimizar os riscos de segurança, confirme se as instâncias de banco de dados do RDS provisionadas na sua conta da AWS restringem o acesso não autorizado. Para restringir o acesso a qualquer instância de banco de dados do RDS acessível publicamente, desative a flag de banco de dados de acesso público e atualize o grupo de segurança da VPC associado à instância. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se o acesso público não foi concedido à instância do RDS
|
Rds Enhanced Monitoring Enabled
Nome da categoria na API: |
Descrição da descoberta: O monitoramento avançado oferece métricas em tempo real sobre o sistema operacional em que a instância do RDS é executada usando um agente instalado na instância. Para mais detalhes, consulte Como monitorar as métricas do SO com o monitoramento avançado. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se o monitoramento aprimorado foi ativado em todas as instâncias do RDS DB
|
Rds Instance Deletion Protection Enabled
Nome da categoria na API: |
Descrição da descoberta: Ativar a proteção contra exclusão de instâncias é uma camada extra de proteção contra exclusão ou exclusão acidental de bancos de dados por uma entidade não autorizada. Enquanto a proteção contra exclusão estiver ativada, uma instância do RDS DB não poderá ser excluída. Para que uma solicitação de exclusão seja bem-sucedida, a proteção contra exclusão precisa estar desativada. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se a proteção contra exclusões foi ativada em todas as instâncias do RDS
|
Rds In Backup Plan
Nome da categoria na API: |
Descrição da descoberta: Essa verificação avalia se as instâncias do Amazon RDS DB estão cobertas por um plano de backup. Esse controle vai falhar se uma instância do RDS DB não for coberta por um plano de backup. O AWS Backup é um serviço de backup totalmente gerenciado que centraliza e automatiza o backup de dados entre serviços da AWS. Com o AWS Backup, é possível criar políticas de backup chamadas planos de backup. Esses planos podem ser usados para definir os requisitos de backup, como a frequência dos backups dos dados e por quanto tempo os backups serão mantidos. Incluir instâncias do RDS DB em um plano de backup ajuda a proteger seus dados contra perda ou exclusão não intencional. Nível de preços: Empresa Padrões de conformidade:
|
As instâncias do RDS DB precisam estar cobertas por um plano de backup
|
Rds Logging Enabled
Nome da categoria na API: |
Descrição da descoberta: Isso verifica se os seguintes registros do Amazon RDS estão ativados e enviados ao CloudWatch. Os bancos de dados do RDS precisam ter os registros relevantes ativados. A geração de registros do banco de dados fornece registros detalhados das solicitações feitas ao RDS. Os registros do banco de dados podem ajudar nas auditorias de segurança e acesso, além de diagnosticar problemas de disponibilidade. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se os registros exportados foram ativados em todas as instâncias do RDS DB
|
Rds Multi Az Support
Nome da categoria na API: |
Descrição da descoberta: As instâncias do RDS DB precisam ser configuradas para várias zonas de disponibilidade (AZs, na sigla em inglês). Isso garante a disponibilidade dos dados armazenados. As implantações Multi-AZ permitem failover automatizado se houver um problema com a disponibilidade da zona de disponibilidade e durante a manutenção regular do RDS. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se a alta disponibilidade foi ativada em todas as instâncias do RDS DB
|
Redshift Cluster Configuration Check
Nome da categoria na API: |
Descrição da descoberta: Ela verifica os elementos essenciais de um cluster do Redshift: criptografia em repouso, geração de registros e tipo de nó. Esses itens de configuração são importantes na manutenção de um cluster do Redshift seguro e observável. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se todos os clusters do Redshift têm criptografia em repouso, geração de registros e tipo de nó.
|
Redshift Cluster Maintenancesettings Check
Nome da categoria na API: |
Descrição da descoberta: Os upgrades automáticos da versão principal acontecem de acordo com a janela de manutenção Nível de preços: Empresa Padrões de conformidade:
|
Verifique se todos os clusters do Redshift têm allowVersionUpgrade ativado e preferredMaintenanceWindow e automatedSnapshotRetentionPeriod definidos
|
Redshift Cluster Public Access Check
Nome da categoria na API: |
Descrição da descoberta: O atributo PubliclyAccessible da configuração do cluster do Amazon Redshift indica se o cluster é acessível publicamente. Quando o cluster é configurado com PubliclyAccessible definido como verdadeiro, ele é uma instância voltada para a Internet com um nome de DNS resolvido publicamente, que é resolvido para um endereço IP público. Quando o cluster não pode ser acessado publicamente, ele é uma instância interna com um nome DNS que se refere a um endereço IP particular. A menos que você pretenda que o cluster seja acessível publicamente, ele não deve ser configurado com PubliclyAccessible definido como verdadeiro. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se os clusters do Redshift são acessíveis publicamente
|
Restricted Common Ports
Nome da categoria na API: |
Descrição da descoberta: Ela verifica se o tráfego de entrada irrestrito dos grupos de segurança pode ser acessado pelas portas especificadas de maior risco. Esse controle falhará se qualquer uma das regras em um grupo de segurança permitir tráfego de entrada de "0.0.0.0/0" ou '::/0' para essas portas. O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades para atividades maliciosas, como invasão, ataques de negação de serviço e perda de dados. Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada e saída para os recursos da AWS. Nenhum grupo de segurança deve permitir acesso de entrada irrestrito às seguintes portas:
Nível de preços: Empresa Padrões de conformidade:
|
Os grupos de segurança não podem permitir acesso irrestrito a portas de alto risco
|
Restricted Ssh
Nome da categoria na API: |
Descrição da descoberta: Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada e saída para os recursos da AWS. O CIS recomenda que nenhum grupo de segurança permita acesso de entrada irrestrito à porta 22. A remoção de conectividade irrestrita com serviços de console remoto, como SSH, reduz a exposição do servidor ao risco. Nível de preços: Empresa Padrões de conformidade:
|
Os grupos de segurança não podem permitir entradas de 0.0.0.0/0 na porta 22
|
Rotation Customer Created Cmks Enabled
Nome da categoria na API: |
Descrição da descoberta: Verifica se a rotação automática de chaves está ativada para cada chave e corresponde ao ID da chave KMS da AWS criada pelo cliente. A regra será NON_COMPLIANT se o papel de gravador de configuração da AWS para um recurso não tiver a permissão kms:DescreverKey. Nível de preços: Empresa Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifique se a rotação para CMKs criadas pelo cliente está ativada
|
Rotation Customer Created Symmetric Cmks Enabled
Nome da categoria na API: |
Descrição da descoberta: Com o serviço de gerenciamento de chaves (KMS) da AWS, os clientes podem alternar a chave de apoio, que é o material da chave armazenado no KMS vinculado ao ID da chave mestra do cliente criada pelo cliente (CMK). Ela é a chave de apoio usada para executar operações criptográficas como criptografia e descriptografia. Atualmente, a rotação de chaves automatizada retém todas as chaves de apoio anteriores para que a descriptografia de dados criptografados possa ocorrer de maneira transparente. É recomendável ativar a rotação de chaves CMK para chaves simétricas. A rotação de chaves não pode ser ativada para CMK assimétrica. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a rotação para CMKs simétricas criadas pelo cliente está ativada
|
Routing Tables Vpc Peering Are Least Access
Nome da categoria na API: |
Descrição da descoberta: Verifica se as tabelas de rotas para peering de VPC estão configuradas com a principal de privilégio mínimo. Nível de preços: Empresa Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifique se as tabelas de roteamento do peering de VPC são de "acesso mínimo"
|
S3 Account Level Public Access Blocks
Nome da categoria na API: |
Descrição da descoberta: O Amazon S3 Block Public Access fornece configurações para pontos de acesso, buckets e contas para ajudar você a gerenciar o acesso público aos recursos do Amazon S3. Por padrão, novos buckets, pontos de acesso e objetos não permitem acesso público. Nível de preços: Empresa Padrões de conformidade: Esta categoria de descoberta não está mapeada para nenhum controle padrão de compliance. |
Verifica se as configurações necessárias de bloqueio de acesso público do S3 foram definidas no nível da conta
|
S3 Buckets Configured Block Public Access Bucket And Account Settings
Nome da categoria na API: |
Descrição da descoberta: O Amazon S3 fornece Nível de preços: Empresa Padrões de conformidade:
|
Verifique se os buckets do S3 estão configurados com
|
S3 Bucket Access Logging Enabled Cloudtrail S3 Bucket
Nome da categoria na API: |
Descrição da descoberta: O registro de acesso ao bucket do S3 gera um registro com os registros de acesso de cada solicitação feita ao bucket do S3. Um registro de acesso contém detalhes sobre a solicitação, como o tipo, os recursos especificados que ela funcionou e a hora e data em que a solicitação foi processada. É recomendável ativar a geração de registros de acesso ao bucket no bucket do CloudTrail S3. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a geração de registros de acesso do bucket S3 está ativada no bucket do CloudTrail S3
|
S3 Bucket Logging Enabled
Nome da categoria na API: |
Descrição da descoberta: O recurso de geração de registros de acesso ao servidor da AWS S3 registra solicitações de acesso a buckets de armazenamento, o que é útil para auditorias de segurança. Por padrão, a geração de registros de acesso ao servidor não está ativada para buckets do S3. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se a geração de registros foi ativada em todos os buckets do S3
|
S3 Bucket Policy Set Deny Http Requests
Nome da categoria na API: |
Descrição da descoberta: No nível do bucket do Amazon S3, é possível configurar permissões usando uma política de bucket que torna os objetos acessíveis apenas por HTTPS. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a política de bucket do S3 foi definida para negar as solicitações HTTP
|
S3 Bucket Replication Enabled
Nome da categoria na API: |
Descrição da descoberta: Esse controle verifica se um bucket do Amazon S3 está com a replicação entre regiões ativada. O controle falhará se a replicação entre regiões não estiver ativada no bucket ou se a replicação da mesma região também estiver ativada. A replicação é a cópia automática e assíncrona de objetos em buckets na mesma região ou em uma região da AWS diferente. A replicação copia objetos recém-criados e atualizações de um bucket de origem para um ou mais buckets de destino. As práticas recomendadas da AWS recomendam a replicação para buckets de origem e destino que pertencem à mesma conta da AWS. Além da disponibilidade, considere outras configurações de aumento da proteção dos sistemas. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se os buckets do S3 estão com a replicação entre regiões ativada
|
S3 Bucket Server Side Encryption Enabled
Nome da categoria na API: |
Descrição da descoberta: Isso confirma se a criptografia padrão do Amazon S3 está ativada no bucket do S3 ou se a política do bucket do S3 nega explicitamente solicitações "put-object" sem criptografia do lado do servidor. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se todos os buckets do S3 usam a criptografia em repouso
|
S3 Bucket Versioning Enabled
Nome da categoria na API: |
Descrição da descoberta: O Amazon S3 é uma forma de manter diversas variantes de um objeto no mesmo bucket e pode ajudar a recuperar mais facilmente de ações não intencionais do usuário e falhas do aplicativo. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se o controle de versões foi ativado em todos os buckets do S3
|
S3 Default Encryption Kms
Nome da categoria na API: |
Descrição da descoberta: Verifica se os buckets do Amazon S3 estão criptografados com o AWS Key Management Service (AWS KMS) Nível de preços: Empresa Padrões de conformidade:
|
Verifica se todos os buckets foram criptografados com o KMS
|
Sagemaker Notebook Instance Kms Key Configured
Nome da categoria na API: |
Descrição da descoberta: Verifica se uma chave do AWS Key Management Service (AWS KMS) está configurada para uma instância de notebook do Amazon SageMaker. A regra é NON_COMPLIANT se "KmsKeyId" não está especificado para a instância de notebook do SageMaker. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se todas as instâncias de notebook do SageMaker foram definidas para usar o KMS
|
Sagemaker Notebook No Direct Internet Access
Nome da categoria na API: |
Descrição da descoberta: Verifica se o acesso direto à Internet está desativado em uma instância de notebook do SageMaker. Para isso, ele verifica se o campo DirectInternetAccess está desativado para a instância do notebook. Se você configurar a instância do SageMaker sem uma VPC, o acesso direto à Internet será ativado por padrão na instância. Configure sua instância com uma VPC e altere a configuração padrão para "Desativar: acessar a Internet por uma VPC". Para treinar ou hospedar modelos de um notebook, é preciso ter acesso à Internet. Para ativar o acesso à Internet, verifique se a VPC tem um gateway NAT e se o grupo de segurança permite conexões de saída. Para saber como conectar uma instância de notebook a recursos em uma VPC, consulte "Conectar uma instância de notebook a recursos em uma VPC" no Guia para desenvolvedores do Amazon SageMaker. Você também precisa garantir que o acesso à configuração do SageMaker seja limitado apenas a usuários autorizados. Restringir usuários Permissões do IAM para modificar configurações e recursos do SageMaker. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se o acesso direto à Internet foi desativado em todas as instâncias de notebook do Amazon SageMaker
|
Secretsmanager Rotation Enabled Check
Nome da categoria na API: |
Descrição da descoberta: Verifica se um secret armazenado no AWS Secrets Manager está configurado com rotação automática. O controle falhará se o secret não estiver configurado com rotação automática. Se você fornecer um valor personalizado para o parâmetro O Secrets Manager ajuda a melhorar a postura de segurança da sua organização. Os secrets incluem credenciais de bancos de dados, senhas e chaves de API de terceiros. É possível usar o Secrets Manager para armazenar secrets de maneira centralizada, criptografar secrets automaticamente, controlar o acesso a eles e fazer a rotação automática e segura. O Secrets Manager pode fazer a rotação de secrets. É possível usar a rotação para substituir secrets de longo prazo por secrets de curto prazo. A rotação de secrets limita por quanto tempo um usuário não autorizado pode usar um secret comprometido. Por isso, faça a rotação dos secrets com frequência. Para saber mais sobre rotação, consulte "Como fazer a rotação de secrets do AWS Secrets Manager" no Guia do usuário do AWS Secrets Manager. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se os secrets do AWS Secrets Manager estão com a rotação ativada
|
Sns Encrypted Kms
Nome da categoria na API: |
Descrição da descoberta: Verifica se um tópico de SNS está criptografado em repouso usando o AWS KMS. Os controles falharão se um tópico SNS não usar uma chave KMS para criptografia do lado do servidor (SSE). A criptografia de dados em repouso reduz o risco de os dados armazenados em disco serem acessados por um usuário não autenticado no AWS. Ele também adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados. Por exemplo, as permissões da API são necessárias para descriptografar os dados antes que eles possam ser lidos. Os tópicos SNS devem ser criptografados em repouso para uma camada adicional de segurança. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se todos os tópicos do SNS foram criptografados com o KMS
|
Vpc Default Security Group Closed
Nome da categoria na API: |
Descrição da descoberta: Ele verifica se o grupo de segurança padrão de uma VPC permite tráfego de entrada ou saída. O controle falhará se o grupo de segurança permitir tráfego de entrada ou saída. As regras do grupo de segurança padrão permitem todo o tráfego de saída e de entrada de interfaces de rede (e das instâncias associadas) que estão atribuídas ao mesmo grupo de segurança. Recomendamos que você não use o grupo de segurança padrão. Como o grupo de segurança padrão não pode ser excluído, altere a configuração das regras do grupo para restringir o tráfego de entrada e saída. Isso evita tráfego não intencional caso o grupo de segurança padrão seja configurado acidentalmente para recursos como instâncias do EC2. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego
|
Vpc Flow Logging Enabled All Vpcs
Nome da categoria na API: |
Descrição da descoberta: Os registros de fluxo de VPC são um recurso que permite capturar informações sobre o tráfego IP de e para interfaces de rede na sua VPC. Depois de criar um registro de fluxo, é possível visualizar e recuperar seus dados nos registros do Amazon CloudWatch. É recomendável ativar os registros de fluxo de VPC para "Rejeições" do pacote. para VPCs. Nível de preços: Empresa Padrões de conformidade:
|
Verifique se a geração de registros de fluxo de VPC está ativada em todas as VPCs
|
Vpc Sg Open Only To Authorized Ports
Nome da categoria na API: |
Descrição da descoberta: Esse controle verifica se um grupo de segurança do Amazon EC2 permite tráfego de entrada irrestrito de portas não autorizadas. O status de controle é determinado da seguinte forma: Se você usar o valor padrão para AuthorizedTcpPorts, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito de qualquer porta que não seja as portas 80 e 443. Se você fornecer valores personalizados para AuthorizedTcpPorts ou AuthorizedUdpPorts, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito de qualquer porta não listada. Se nenhum parâmetro for usado, o controle falhará para qualquer grupo de segurança que tenha uma regra de tráfego de entrada irrestrito. Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada e saída para a AWS. As regras do grupo de segurança precisam seguir o princípio do acesso de privilégio mínimo. O acesso irrestrito (endereço IP com um sufixo /0) aumenta as chances de atividade maliciosa, como invasão, ataques de negação de serviço e perda de dados. A menos que uma porta seja especificamente permitida, ela precisa negar acesso irrestrito. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se os grupos de segurança com 0.0.0.0/0 de qualquer VPC permitem apenas o tráfego TCP/UDP de entrada
|
Both VPC VPN Tunnels Up
Nome da categoria na API: |
Descrição da descoberta: Um túnel VPN é um link criptografado em que os dados podem passar da rede do cliente de e para a AWS dentro de uma conexão VPN site a site da AWS. Cada conexão VPN inclui dois túneis VPN que podem ser usados simultaneamente para alta disponibilidade. Garantir que ambos os túneis VPN estejam ativados para uma conexão VPN é importante para confirmar uma conexão segura e altamente disponível entre uma VPC da AWS e sua rede remota. Esse controle verifica se ambos os túneis VPN fornecidos pela VPN site a site da AWS estão no status UP. O controle falhará se um ou ambos os túneis estiverem com o status ABAIXO. Nível de preços: Empresa Padrões de conformidade:
|
Verifica se ambos os túneis do AWS VPN fornecidos pela AWS site a site têm o status UP
|
Descobertas do Web Security Scanner
As verificações personalizadas e gerenciadas do Web Security Scanner identificam os seguintes tipos de descobertas. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão atrás de um firewall.
Categoria | Descrição da descoberta | 10 principais OWASP de 2017 | 10 principais OWASP de 2021 |
---|---|---|---|
Accessible Git repository
Nome da categoria na API: |
Um repositório GIT é exposto publicamente. Para resolver esse problema, remova
o acesso público não intencional ao repositório do GIT.
Nível de preços:padrão |
A5 | A01 |
Accessible SVN repository
Nome da categoria na API: |
Um repositório SVN é exposto publicamente. Para resolver isso, remova
o acesso não intencional público ao repositório SVN.
Nível de preços:padrão |
A5 | A01 |
Cacheable password input
Nome da categoria na API: |
As senhas inseridas no aplicativo da Web podem ser armazenadas em um cache normal do navegador, em vez de um armazenamento seguro de senhas.
Nível de preços: Premium |
A3 | A04 |
Clear text password
Nome da categoria na API: |
As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para
resolver isso, criptografe a senha transmitida pela
rede.
Nível de preços:padrão |
A3 | A02 |
Insecure allow origin ends with validation
Nome da categoria na API: |
Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação Origin
antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin . Para resolver essa
descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho Origin antes de
refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin . Para caracteres curinga de subdomínio,
inclua o ponto no domínio raiz, por exemplo, .endsWith(".google.com") .
Nível de preços: Premium |
A5 | A01 |
Insecure allow origin starts with validation
Nome da categoria na API: |
Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação Origin
antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin . Para resolver essa
descoberta, valide se o domínio esperado corresponde totalmente ao valor do cabeçalho Origin antes de
refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin , por exemplo,
.equals(".google.com") .
Nível de preços: Premium |
A5 | A01 |
Invalid content type
Nome da categoria na API: |
Um recurso foi carregado e ele não corresponde ao cabeçalho
HTTP da resposta Content-Type. Para resolver essa descoberta, defina o cabeçalho HTTP X-Content-Type-Options
com o valor correto.
Nível de preços:padrão |
A6 | A05 |
Invalid header
Nome da categoria na API: |
Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso,
defina os cabeçalhos de segurança HTTP corretamente.
Nível de preços:padrão |
A6 | A05 |
Mismatching security header values
Nome da categoria na API: |
Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em
comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP
corretamente.
Nível de preços:padrão |
A6 | A05 |
Misspelled security header name
Nome da categoria na API: |
Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso,
defina os cabeçalhos de segurança HTTP corretamente.
Nível de preços:padrão |
A6 | A05 |
Mixed content
Nome da categoria na API: |
Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta,
verifique se todos os recursos são exibidos por HTTPS.
Nível de preços:padrão |
A6 | A05 |
Outdated library
Nome da categoria na API: |
Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa
descoberta, faça upgrade das bibliotecas para uma versão mais recente.
Nível de preços:padrão |
A9 | A06 |
Server side request forgery
Nome da categoria na API: |
Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma
lista de permissões para limitar os domínios e os endereços IP aos quais o aplicativo da Web podem fazer solicitações.
Nível de preços:padrão |
Não relevante | A10 |
Session ID leak
Nome da categoria na API: |
Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário
no cabeçalho da solicitação Referer . Essa vulnerabilidade dá ao domínio de recebimento acesso
ao identificador da sessão, que pode ser usado para personificar ou identificar o usuário de maneira exclusiva.
Nível de preços: Premium |
A2 | A07 |
SQL injection
Nome da categoria na API: |
Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use
consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL.
Nível de preços: Premium |
A1 | A03 |
Struts insecure deserialization
Nome da categoria na API: |
Foi detectado o uso de uma versão vulnerável do Apache
Struts. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente.
Nível de preços: Premium |
A8 | A08 |
XSS
|
Um campo nesse aplicativo da Web é vulnerável a um ataque
de scripting em vários locais (XSS). Para resolver isso, valide e escape dados
não confiáveis fornecidos pelo usuário.
Nível de preços:padrão |
A7 | A03 |
XSS angular callback
|
Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para
resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário
e manipulados pelo framework Angular.
Nível de preços:padrão |
A7 | A03 |
XSS error
|
Um campo neste aplicativo da Web é vulnerável a um ataque
de scripting em vários locais. Para resolver isso, valide e escape dados
não confiáveis fornecidos pelo usuário.
Nível de preços:padrão |
A7 | A03 |
XXE reflected file leakage
|
Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Isso pode fazer o aplicativo da Web
vazar um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir
entidades externas.
Nível de preços: Premium |
A4 | A05 |
Prototype pollution
Nome da categoria na API: |
O aplicativo está vulnerável à poluição do protótipo. Essa vulnerabilidade surge quando as propriedades
do objeto Object.prototype podem receber valores controlados pelo invasor. Valores plantados nesses protótipos
Considera-se universalmente que isso se traduz em scripting em vários locais ou vulnerabilidades semelhantes no lado do cliente, bem como bugs lógicos.
Nível de preços:padrão |
A1 | A03 |
Descobertas do recomendador do IAM
A tabela a seguir lista as descobertas do Security Command Center geradas pelo recomendador do IAM.
Cada descoberta de recomendador do IAM contém recomendações específicas para remover ou substituir um papel que inclui permissões excessivas de um principal no ambiente do Google Cloud.
As descobertas geradas pelo recomendador do IAM correspondem às recomendações que aparecem no Console do Google Cloud na página do IAM do projeto, da pasta ou da organização afetada.
Para mais informações sobre a integração do recomendador do IAM, com o Security Command Center, consulte Origens de segurança.
Detector | Resumo |
---|---|
IAM role has excessive permissions
Nome da categoria na API: |
Descrição da descoberta: o recomendador do IAM detectou uma conta de serviço que tem um ou mais papéis do IAM com permissões excessivas para a conta de usuário. Nível de preços: Premium Recursos compatíveis:
Corrigir essa descoberta :Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:
Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para |
Service agent role replaced with basic role
Nome da categoria na API: |
Descrição da descoberta: o recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: Proprietária, Editor ou Espectador do Google Analytics. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Nível de preços: Premium Recursos compatíveis:
Corrigir essa descoberta :Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:
Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para |
Service agent granted basic role
Nome da categoria na API: |
Descrição da descoberta: o recomendador do IAM detectou que o agente de serviço recebeu um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Nível de preços: Premium Recursos compatíveis:
Corrigir essa descoberta :Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:
Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para |
Unused IAM role
Nome da categoria na API: |
Descrição da descoberta: o recomendador do IAM detectou uma conta de usuário que tem um papel de IAM que não foi usado nos últimos 90 dias. Nível de preços: Premium Recursos compatíveis:
Corrigir essa descoberta :Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:
Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para |
Descobertas do CIEM
A tabela a seguir lista as descobertas de identidade e acesso do Security Command Center para AWS que foram geradas pelo Cloud Infrastructure Entitlement Management (CIEM).
As descobertas do CIEM contêm recomendações específicas para remover ou substituir políticas altamente permissivas do IAM da AWS associadas a identidades, usuários ou grupos presumidos no ambiente da AWS.
Para mais informações sobre o CIEM, acesse Visão geral do gerenciamento de direitos de infraestrutura do Cloud.
Detector | Resumo |
---|---|
Assumed identity has excessive permissions
Nome da categoria na API: |
Descrição da descoberta:no ambiente da AWS, o CIEM detectamos um papel do IAM presumido que tem uma ou mais políticas altamente permissivas que violam o princípio de privilégio mínimo e aumentam os riscos de segurança. Nível de preço: Enterprise
Corrigir essa descoberta :Dependendo da descoberta, use o AWS Management Console para executar uma das seguintes ações tarefas de correção:
Consulte os detalhes da descoberta para ver as etapas de correção específicas. |
Group has excessive permissions
Nome da categoria na API: |
Descrição da descoberta:no ambiente da AWS, o CIEM detectou um grupo do IAM que tem uma ou mais políticas altamente permissivas que violam as princípio de privilégio mínimo e aumentar os riscos de segurança. Nível de preço: Enterprise Corrigir essa descoberta :Dependendo da descoberta, use o AWS Management Console para executar uma das seguintes ações tarefas de correção:
Consulte os detalhes da descoberta para ver as etapas de correção específicas. |
User has excessive permissions
Nome da categoria na API: |
Descrição da descoberta:no ambiente da AWS, o CIEM detectou um usuário IAM que tem uma ou mais políticas altamente permissivas que violam as princípio de privilégio mínimo e aumentar os riscos de segurança. Nível de preço: Enterprise Corrigir essa descoberta :Dependendo da descoberta, use o AWS Management Console para executar uma das seguintes ações tarefas de correção:
Consulte os detalhes da descoberta para saber as etapas de correção específicas. |
Descobertas do serviço de postura de segurança
A tabela a seguir lista as descobertas do Security Command Center que são gerada pela serviço de postura de segurança.
Cada descoberta do serviço de postura de segurança identifica uma instância de desvio da sua postura de segurança definida.
Localizando | Resumo |
---|---|
SHA Canned Module Drifted
Nome da categoria na API: |
Descrição da descoberta: O serviço de postura de segurança detectou uma mudança em um detector da Análise de integridade da segurança que ocorreu fora de uma atualização de postura. Nível de preços: Premium
Corrigir essa descoberta :Essa descoberta exige que você aceite ou reverta a alteração para que as configurações do detector na sua postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o detector da Análise de integridade da segurança ou atualizar a postura e a implantação dela. Para reverter a alteração, atualize o detector da Análise de integridade da segurança no console do Google Cloud. Para instruções, consulte Ativar e desativar os detectores. Para aceitar a mudança, faça o seguinte:
|
SHA Custom Module Drifted
Nome da categoria na API: |
Descrição da descoberta: O serviço de postura de segurança detectou uma mudança em um módulo personalizado da Análise de integridade da segurança que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta :Essa descoberta exige que você aceite ou reverta a mudança para que as configurações do módulo personalizado na sua postura correspondam às do ambiente. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado da Análise de integridade da segurança ou atualizar a postura e a implantação da postura. Para reverter a mudança, atualize o módulo personalizado da Análise de integridade da segurança no console do Google Cloud. Para instruções, consulte Atualizar um módulo. Para aceitar a mudança, faça o seguinte:
|
SHA Custom Module Deleted
Nome da categoria na API: |
Descrição da descoberta: O serviço de postura de segurança detectou que uma Análise de integridade da segurança módulo personalizado foi excluído. Essa exclusão ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta :Essa descoberta exige que você aceite ou reverta a mudança para que as configurações do módulo personalizado na sua postura correspondam às do ambiente. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado da Análise de integridade da segurança ou atualizar a postura e a implantação da postura. Para reverter a mudança, atualize o módulo personalizado da Análise de integridade da segurança no console do Google Cloud. Para instruções, consulte Atualizar um módulo. Para aceitar a mudança, faça o seguinte:
|
Org Policy Canned Constraint Drifted
Nome da categoria na API: |
Descrição da descoberta: O serviço de postura de segurança detectou uma mudança na política da organização que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta :Essa descoberta exige que você aceite a alteração ou reverta-a para que as definições da política da organização na sua postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou atualizar a postura e a implantação dela. Para reverter a alteração, atualize a política da organização no console do Google Cloud. Para instruções, consulte Criando e edição de políticas. Para aceitar a mudança, faça o seguinte:
|
Org Policy Canned Constraint Deleted
Nome da categoria na API: |
Descrição da descoberta: O serviço de postura de segurança detectou que uma política da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta :Essa descoberta exige que você aceite a alteração ou reverta-a para que as definições da política da organização na sua postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou atualizar a postura e a implantação dela. Para reverter a alteração, atualize a política da organização no console do Google Cloud. Para instruções, consulte Criando e edição de políticas. Para aceitar a mudança, faça o seguinte:
|
Org Policy Custom Constraint Drifted
Nome da categoria na API: |
Descrição da descoberta: O serviço de postura de segurança detectou uma mudança em uma política personalizada da organização que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta :Essa descoberta exige que você aceite ou reverta a alteração para que as definições da política da organização personalizada na sua postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política personalizada da organização ou atualizar a postura e a implantação dela. Para reverter a alteração, atualize a política da organização personalizada no console do Google Cloud. Para instruções, consulte Atualizar uma restrição personalizada. Para aceitar a mudança, faça o seguinte:
|
Org Policy Custom Constraint Deleted
Nome da categoria na API: |
Descrição da descoberta: O serviço de postura de segurança detectou que uma política personalizada da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta :Essa descoberta exige que você aceite ou reverta a alteração para que as definições da política da organização personalizada na sua postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política personalizada da organização ou atualizar a postura e a implantação dela. Para reverter a alteração, atualize a política da organização personalizada no console do Google Cloud. Para instruções, consulte Atualizar uma restrição personalizada. Para aceitar a mudança, faça o seguinte:
|
VM Manager
O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.
Se você ativar o VM Manager com Security Command Center Premium no nível da organização, O VM Manager grava as descobertas dos relatórios de vulnerabilidade, que em pré-lançamento, para o Security Command Center. Os relatórios identificam vulnerabilidades sistemas operacionais instalados em VMs, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).
Para usar o VM Manager com ativações no nível do projeto do Security Command Center Premium, ative o Security Command Center Standard na organização pai.
Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.
As descobertas simplificam o processo de uso do recurso Conformidade com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de patches no nível da organização em todos os projetos.
A gravidade das descobertas de vulnerabilidade recebidas do
VM Manager é sempre CRITICAL
ou
HIGH
.
Descobertas do VM Manager
Todas as vulnerabilidades desse tipo estão relacionadas aos pacotes de sistema operacional instalados nas VMs do Compute Engine compatíveis.
Detector | Resumo | Configurações da verificação de recursos | Padrões de compliance |
---|---|---|---|
OS vulnerability
Nome da categoria na API: |
Como encontrar a descrição: o VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine. Nível de preços: Premium
Recursos compatíveis |
do VM Manager os relatórios de vulnerabilidades detalham as vulnerabilidades em sistemas operacionais pacotes de sistema para VMs do Compute Engine, incluindo Comum Vulnerabilidades e exposições (CVEs, na sigla em inglês). Para uma lista completa dos sistemas operacionais compatíveis, consulte Detalhes do sistema operacional.As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira:
|
Como corrigir as descobertas do VM Manager
Uma descoberta OS_VULNERABILITY
indica que o VM Manager encontrou uma
vulnerabilidade nos pacotes do sistema operacional instalados em uma VM do Compute
Engine.
Para corrigir essa descoberta, faça o seguinte:
Acesse a página Descobertas no Security Command Center.
Se necessário, selecione o projeto ou a organização do Google Cloud.
Na subseção Categoria de Filtros rápidos, selecione Vulnerabilidade do SO. Os resultados da consulta de descobertas são filtrados para mostrar somente as descobertas de vulnerabilidade do SO.
Na coluna Categoria da lista Resultados da consulta de descobertas, clique no nome da categoria da descoberta que você está corrigindo. A página de detalhes da vulnerabilidade do SO será aberta.
Clique na guia JSON. O JSON desta descoberta é exibido.
Copie o valor do campo
externalUri
. Esse valor é o URI da página Informações do SO da instância de VM do Compute Engine em que o sistema operacional vulnerável está instalado.Aplique todos os patches apropriados para o SO exibido na seção Informações básicas. Para instruções sobre como implantar patches, consulte Crie jobs de patch.
recursos compatíveis e configurações de verificação desse tipo de descoberta.
Saiba mais sobreAnalisar descobertas no console do Google Cloud
Use o procedimento a seguir para analisar as descobertas no console do Google Cloud:
Acesse a página Descobertas do Security Command Center no Console do Google Cloud.
Se necessário, selecione o projeto ou a organização do Google Cloud.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione VM Manager.
A tabela é preenchida com descobertas do VM Manager.
Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em
Category
. O painel de detalhes da descoberta é aberto e exibe a guia Resumo.Na guia Resumo, revise as informações sobre a descoberta, incluindo o que foi detectado, o recurso afetado e mais.
Para saber como corrigir as descobertas do VM Manager, consulte Como corrigir as descobertas do VM Manager.
Silenciar as descobertas do VM Manager
Talvez você queira ocultar algumas ou todas as descobertas do VM Manager no Security Command Center caso não sejam relevantes para seus requisitos de segurança.
Para ocultar as descobertas do VM Manager, crie uma regra de silenciamento e adicione atributos de consulta específicos às descobertas do VM Manager que você quer ocultar.
Para criar uma regra de silenciamento para o VM Manager usando no console do Google Cloud, faça o seguinte:
No console do Google Cloud, acesse a página Descobertas do Security Command Center.
Se necessário, selecione o projeto ou a organização do Google Cloud.
Clique em Opções de silenciamento e selecione Criar regra de silenciamento.
Digite um ID da regra de silenciamento. Esse valor é obrigatório.
Insira uma descrição de regra de silenciamento que forneça contexto para explicar por que as descobertas são silenciadas. Esse valor é opcional, mas recomendado.
Confirme o escopo da regra de silenciamento verificando o valor Parent resource.
No campo Consulta de descobertas, crie as instruções de consulta da seguinte forma: Clique em Adicionar filtro. Outra opção é digitar o nome da consulta instruções manualmente.
- Na caixa de diálogo Selecionar filtro, selecione Descoberta > Nome de exibição da origem > VM Manager.
- Clique em Aplicar.
Repita até que a consulta de silenciamento contenha todos os atributos que você deseja ocultar.
Por exemplo, se você quiser ocultar IDs do CVE específicos em descobertas de vulnerabilidade do VM Manager, selecione Vulnerabilidade > ID da CVE, e selecione os IDs do CVE que você quer ocultar.
A consulta de descoberta é semelhante a esta:
Clique em Visualizar descobertas correspondentes.
Uma tabela mostra descobertas que correspondem à sua consulta.
Clique em Salvar.
Proteção de dados sensíveis
Nesta seção, descrevemos as descobertas de vulnerabilidade geradas pela proteção de dados confidenciais, quais padrões de conformidade têm suporte e como corrigir essas descobertas.
A proteção de dados confidenciais também envia descobertas observacionais ao Security Command Center. Para mais informações sobre as descobertas de observação e a proteção de dados confidenciais, consulte Proteção de dados confidenciais.
Para mais informações sobre como exibir as descobertas, consulte Revisar descobertas sobre a proteção de dados sensíveis na Console do Google Cloud.
O serviço de descoberta da proteção de dados sensíveis ajuda a determinar se você armazena dados altamente sensíveis que não são protegidos.
Categoria | Resumo |
---|---|
Public sensitive data Nome da categoria na API: PUBLIC_SENSITIVE_DATA
|
Descrição da descoberta:o recurso especificado tem dados de alta sensibilidade que podem ser acessados por qualquer pessoa na Internet. Recursos compatíveis:
Correção: Para dados do Google Cloud, remova Para dados do Amazon S3, defina as configurações de bloqueio de acesso público ou atualize a ACL do objeto para negar o acesso de leitura público. Padrões de compliance:não mapeados |
Secrets in environment variables Nome da categoria na API: SECRETS_IN_ENVIRONMENT_VARIABLES
|
Descrição da descoberta:há
segredos, como
como senhas, tokens de autenticação e credenciais do Google Cloud no Cloud Functions
variáveis de ambiente.
Para ativar esse detector, consulte Secrets de relatório em variáveis de ambiente para o Security Command Center na seção de Proteção de na documentação do Google Cloud. Recursos compatíveis: Correção:remova o secret da variável de ambiente e armazene-o no o Secret Manager. Padrões de conformidade:
|
Secrets in storage Nome da categoria na API: SECRETS_IN_STORAGE
|
Descrição da descoberta:há
segredos, como
como senhas, tokens de autenticação e credenciais da nuvem, no recurso especificado.
Recursos compatíveis:
Correção:
Padrões de compliance:não mapeados |
Policy Controller
O Policy Controller permite a aplicação de políticas programáveis para os clusters do Kubernetes registrados como associações de frotas. Essas políticas funcionam como proteções e podem ajudar nas práticas recomendadas, na segurança e no gerenciamento de conformidade dos clusters e frotas.
Esta página não lista todas as descobertas individuais do Policy Controller, mas
informações sobre as descobertas da classe Misconfiguration
que o Policy Controller
gravações no Security Command Center são as mesmas violações de cluster documentadas
para cada pacote do Policy Controller. A documentação dos tipos de descobertas individuais do Policy Controller
está nos pacotes a seguir:
- Comparativo de mercado CIS do Kubernetes v1.5.1,
um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança
forte. Também é possível ver informações sobre esse pacote no
repositório do GitHub para
cis-k8s-v1.5.1
. - PCI-DSS v3.2.1,
um pacote que avalia a conformidade dos recursos do cluster em relação a
alguns aspectos do Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) v3.2.1.
Também é possível ver informações sobre esse pacote no
repositório do GitHub para
pci-dss-v3
.
Esse recurso não é compatível com os perímetros de serviço do VPC Service Controls sobre a API Stackdriver.
Como encontrar e corrigir descobertas do Policy Controller
As categorias do Policy Controller correspondem aos nomes de restrição listados na
documentação dos pacotes do Policy Controller. Por exemplo, uma descoberta de
require-namespace-network-policies
indica que um namespace viola a política de que todo namespace em um cluster
tem um NetworkPolicy
.
Para corrigir uma descoberta, faça o seguinte:
Acesse a página Descobertas no Security Command Center.
Se necessário, selecione o projeto ou a organização do Google Cloud.
Na subseção Categoria de Filtros rápidos, selecione o nome da descoberta do Policy Controller que você quer corrigir. Os resultados da consulta de descobertas são filtrados para mostrar apenas as descobertas dessa categoria.
Na coluna Categoria da lista Resultados da consulta de descobertas, clique no nome da categoria da descoberta que você está corrigindo. A página de detalhes da descoberta é aberta.
Na guia Resumo, revise as informações sobre a descoberta, incluindo o que foi detectado, o recurso afetado e mais.
No título Próximas etapas, analise as informações sobre como corrigir a descoberta, incluindo links para a documentação do Kubernetes sobre o problema.
A seguir
- Saiba como usar a Análise de integridade da segurança.
- Saiba como usar o Web Security Scanner.
- Ler sugestões para como corrigir descobertas da Análise de integridade da segurança e como corrigir descobertas do Web Security Scanner.