Les détecteurs de Security Health Analytics et de Web Security Scanner génèrent des résultats de failles disponibles dans Security Command Center. Votre capacité à afficher et à modifier les résultats est déterminée par les rôles et autorisations IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM dans Security Command Center, consultez la page Contrôle des accès.
Détecteurs et conformité
Cette section décrit la mise en correspondance entre les détecteurs compatibles et la meilleure mise en correspondance avec les normes de conformité pertinentes.
Benchmarks CIS
Security Command Center est compatible avec les versions suivantes des benchmarks CIS Google Cloud Platform Foundation :
- Benchmark CIS Google Cloud Computing Foundations v1.2.0 (CIS Google Cloud Foundation 1.2)
- Benchmark CIS Google Cloud Computing Foundations v1.1.0 (CIS Google Cloud Foundation 1.1)
- Benchmark CIS Google Cloud Computing Foundations v1.0.0 (CIS Google Cloud Foundation 1.0)
Les mises en correspondance de CIS Google Cloud Foundation 1.2, 1.1 et 1.0 ont été examinées et certifiées par le Center for Internet Security pour s'assurer qu'elles sont conformes aux benchmarks CIS de Google Cloud Computing Foundations v1.2.0, v1.1.0 et v1.0.0.
Bien que les versions CIS 1.0 et CIS 1.1 soient toujours compatibles, elles seront abandonnées à terme. Nous vous recommandons d'utiliser le dernier benchmark CIS 1.2 ou de migrer vers celui-ci.
Certains détecteurs sont mappés au benchmark CIS Google Kubernetes Engine (GKE) v1.0.0 (CIS GKE 1.0). La compatibilité avec ce benchmark est limitée ; il ne doit pas être utilisé comme base pour les audits ou la conformité des rapports.
Normes supplémentaires
Des mises en correspondance de conformité supplémentaires sont incluses pour référence. Elles ne sont pas fournies ni examinées par la norme de sécurité des données de l'industrie des cartes de paiement ou la OWASP Foundation. Vous devez vous reporter à la norme de sécurité des données de l'industrie des cartes de paiement 3.2.1 (PCI-DSS v3.2.1), au Top 10 de la fondation OWASP, à la norme National Institute of Standards and Technology 800-53 (NIST 800-53), et à la norme Organisation internationale de normalisation 27001 (ISO 27001) afin de vérifier manuellement ces cas de non-respect.
Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.
Pour savoir comment afficher et exporter des rapports de conformité, consultez la section Conformité du tableau de bord Security Command Center.
Security Health Analytics
Les détecteurs de Security Health Analytics surveillent un sous-ensemble de ressources de l'inventaire des éléments cloud (CAI) et reçoivent des notifications concernant les modifications apportées aux règles de gestion des ressources et de gestion de l'authentification et des accès (IAM). Certains détecteurs récupèrent les données en appelant directement les API Google Cloud, comme indiqué dans les tableaux plus loin sur cette page.
Security Health Analytics s'exécute dans trois modes :
Analyse par lots : tous les détecteurs sont programmés pour s'exécuter pour toutes les organisations enregistrées, deux fois ou plus par jour. Les détecteurs s'exécutent selon un calendrier différent afin d'atteindre des objectifs de niveau de service (SLO) spécifiques. Pour respecter les SLO de 12 et 24 heures, les détecteurs exécutent des analyses par lot toutes les six heures ou toutes les douze heures, respectivement. Les modifications de ressources et de règles effectuées entre deux analyses par lot ne sont pas immédiatement capturées et sont appliquées à la prochaine analyse par lot. Remarque : les planifications d'analyse par lot sont des objectifs de performances et non des garanties de service.
Analyse en temps réel : Les détecteurs compatibles lancent des analyses chaque fois que l'outil CAI signale une modification dans la configuration d'un élément. Les résultats sont immédiatement écrits dans Security Command Center.
Mode mixte : certains détecteurs compatibles avec les analyses en temps réel peuvent ne pas détecter les modifications en temps réel dans tous les éléments compatibles. Dans ce cas, les modifications de configuration de certains éléments sont capturées immédiatement, tandis que d'autres sont capturées lors des analyses par lot. Les exceptions sont indiquées dans les tableaux de cette page.
Les tableaux suivants décrivent les détecteurs de Security Health Analytics, les éléments et les normes de conformité qu'ils acceptent, les paramètres qu'ils utilisent pour les analyses et les types de résultats qu'ils génèrent. Vous pouvez filtrer les résultats par nom et type de résultat de détecteur à l'aide de l'onglet Vulnerabilities (Vulnérabilités) de Security Command Center dans Google Cloud Console.
Pour obtenir des instructions sur la résolution des problèmes et la protection de vos ressources, consultez la page Corriger les résultats de Security Health Analytics.
Résultats de failles de clé API
Le détecteur API_KEY_SCANNER identifie les failles liées aux clés API utilisées dans votre déploiement cloud.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
API key APIs unrestricted
Nom de la catégorie dans l'API : |
Description du résultat : Certaines clés API sont utilisées de manière trop large. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application. Niveau de tarification : Premium
Éléments compatibles |
Récupère la propriété
|
CIS GCP Foundation 1.0 : 1.12 CIS GCP Foundation 1.1 : 1.14 CIS GCP Foundation 1.2 : 1.14 |
API key apps unrestricted
Nom de la catégorie dans l'API : |
Description du résultat : certaines clés API sont utilisées de manière illimitée, ce qui permet leur utilisation par toute application non approuvée. Niveau de tarification : Premium
Éléments compatibles |
Récupère la propriété
|
CIS GCP Foundation 1.0 : 1.11 CIS GCP Foundation 1.1 : 1.13 CIS GCP Foundation 1.2 : 1.13 |
API key exists
Nom de la catégorie dans l'API : |
Description du résultat : un projet utilise des clés API au lieu de l'authentification standard. Niveau de tarification : Premium
Éléments compatibles |
Récupère toutes les clés API appartenant à un projet.
|
CIS GCP Foundation 1.0 : 1.10 CIS GCP Foundation 1.1 : 1.12 CIS GCP Foundation 1.2 : 1.12 |
API key not rotated
Nom de la catégorie dans l'API : |
Description du résultat : La clé API n'a pas été alternée depuis plus de 90 jours. Niveau de tarification : Premium
Éléments compatibles |
Récupère l'horodatage contenu dans la propriété
|
CIS GCP Foundation 1.0 : 1.13 CIS GCP Foundation 1.1 : 1.15 CIS GCP Foundation 1.2 : 1.15 |
Résultats de failles d'images Compute
Le détecteur COMPUTE_IMAGE_SCANNER identifie les failles liées aux configurations d'image Google Cloud.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Public Compute image
Nom de la catégorie dans l'API : |
Description du résultat : une image Compute Engine est accessible au public. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux
|
Résultats de failles d'instance Compute
Le détecteur COMPUTE_INSTANCE_SCANNER identifie les failles liées aux configurations d'instance Compute Engine.
Les détecteurs COMPUTE_INSTANCE_SCANNER ne signalent pas les résultats sur les instances Compute Engine créées par GKE. Les noms de ces instances commencent par "gke-", et les utilisateurs ne peuvent pas modifier cette convention. Pour sécuriser ces instances, reportez-vous à la section "Résultats de failles de conteneur".
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Confidential Computing disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'informatique confidentielle est désactivée sur une instance Compute Engine. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.2 : 4.11 |
Compute project wide SSH keys allowed
Nom de la catégorie dans l'API : |
Description du résultat : les clés SSH au niveau du projet sont utilisées. Elles permettent de se connecter à toutes les instances du projet. Niveau de tarification : Premium
Éléments compatibles |
Vérifie l'objet
|
CIS GCP Foundation 1.0 : 4.2 CIS GCP Foundation 1.1 : 4.3 CIS GCP Foundation 1.2 : 4.3 |
Compute Secure Boot disabled
Nom de la catégorie dans l'API : |
Description du résultat : Le démarrage sécurisé n'est pas activé sur cette VM protégée. L'utilisation du démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits. Niveau de tarification : Premium Éléments compatibles |
Il vérifie la propriété
|
|
Compute serial ports enabled
Nom de la catégorie dans l'API : |
Description du résultat : les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance. Niveau de tarification : Premium
Éléments compatibles |
Vérifie l'objet
|
CIS GCP Foundation 1.0 : 4.4 CIS GCP Foundation 1.1 : 4.5 CIS GCP Foundation 1.2 : 4.5 |
Default service account used
Nom de la catégorie dans l'API : |
Description du résultat : une instance est configurée pour utiliser le compte de service par défaut. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.1 : 4.1 CIS GCP Foundation 1.2 : 4.1 |
Disk CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles |
Vérifie le champ
|
|
Disk CSEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : Les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Détecteur de cas particuliers. Niveau de tarification : Premium
Éléments compatibles |
Vérifie le champ
|
CIS GCP Foundation 1.0 : 4.6 CIS GCP Foundation 1.1 : 4.7 CIS GCP Foundation 1.2 : 4.7 |
Full API access
Nom de la catégorie dans l'API : |
Description du résultat : une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud. Niveau de tarification : Premium
Éléments compatibles |
Récupère le champ
|
CIS GCP Foundation 1.0 : 4.1 CIS GCP Foundation 1.1 : 4.2 CIS GCP Foundation 1.2 : 4.2 PCI-DSS v3.2.1 : 7.1.2 NIST 800-53 : AC-6 ISO-27001 : A.9.2.3 |
HTTP load balancer
Nom de la catégorie dans l'API : |
Description du résultat : une instance utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible. Niveau de tarification : Premium
Éléments compatibles |
Détermine si la propriété
|
PCI-DSS v3.2.1 : 2.3 |
IP forwarding enabled
Nom de la catégorie dans l'API : |
Description du résultat : Le transfert IP est activé sur les instances. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.0 : 4.5 CIS GCP Foundation 1.1 : 4.6 CIS GCP Foundation 1.2 : 4.6 |
OS login disabled
Nom de la catégorie dans l'API : |
Description du résultat : OS Login est désactivé sur cette instance. Niveau de tarification : Premium
Éléments compatibles |
Vérifie l'objet
|
CIS GCP Foundation 1.0 : 4.3 CIS GCP Foundation 1.1 : 4.4 CIS GCP Foundation 1.2 : 4.4 |
Public IP address
Nom de la catégorie dans l'API : |
Description du résultat : une instance possède une adresse IP publique. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.1 : 4.9 CIS GCP Foundation 1.2 : 4.9 PCI-DSS v3.2.1 : 1.2.1, 1.3.5 NIST 800-53 : CA-3, SC-7 |
Shielded VM disabled
Nom de la catégorie dans l'API : |
Description du résultat : La VM protégée est désactivée sur cette instance. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.1 : 4.8 CIS GCP Foundation 1.2 : 4.8 |
Weak SSL policy
Nom de la catégorie dans l'API : |
Description du résultat : une instance a une règle SSL faible. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si
|
CIS GCP Foundation 1.1 : 3.9 CIS GCP Foundation 1.2 : 3.9 PCI-DSS v3.2.1 : 4.1 NIST 800-53 : SC-7 ISO-27001 : A.14.1.3 |
Résultats de failles de conteneur
Ces types de résultats sont tous liés aux configurations de conteneurs GKE et appartiennent au type de détecteur CONTAINER_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Alpha cluster enabled
Nom de la catégorie dans l'API : |
Description du résultat : les fonctionnalités du cluster alpha sont activées pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GKE 1.0 : 6.10.2 |
Auto repair disabled
Nom de la catégorie dans l'API : |
Description du résultat : la fonctionnalité de réparation automatique d'un cluster GKE, qui maintient les nœuds en bon état de fonctionnement, est désactivée. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.0 : 7.7 CIS GKE 1.0 : 6.5.2 PCI-DSS v3.2.1 : 2.2 |
Auto upgrade disabled
Nom de la catégorie dans l'API : |
Description du résultat : La fonctionnalité de mise à niveau automatique des clusters GKE, qui conserve les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.0 : 7.8 CIS GKE 1.0 : 6.5.3 PCI-DSS v3.2.1 : 2.2 |
Binary authorization disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'autorisation binaire est désactivée sur un cluster GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GKE 1.0 : 6.10.5 |
Cluster logging disabled
Nom de la catégorie dans l'API : |
Description du résultat : La journalisation n'est pas activée pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.7.1 PCI-DSS v3.2.1 : 10.2.2, 10.2.7 |
Cluster monitoring disabled
Nom de la catégorie dans l'API : |
Description du résultat : Monitoring est désactivé sur les clusters GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.0 : 7.2 CIS GKE 1.0 : 6.7.1 PCI-DSS v3.2.1 : 10.1, 10.2 |
Cluster private Google access disabled
Nom de la catégorie dans l'API : |
Description du résultat : les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées pour accéder aux API Google. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.0 : 7.1 PCI-DSS v3.2.1 : 1.3 |
Cluster secrets encryption disabled
Nom de la catégorie dans l'API : |
Description du résultat : le chiffrement des secrets au niveau de la couche d'application est désactivé sur un cluster GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GKE 1.0 : 6.3.1 |
Cluster shielded nodes disabled
Nom de la catégorie dans l'API : |
Description du résultat : les nœuds GKE protégés ne sont pas activés pour un cluster. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GKE 1.0 : 6.5.5 |
COS not used
Nom de la catégorie dans l'API : |
Description du résultat : Les VM Compute Engine n'utilisent pas la version de Container-Optimized OS conçue pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.0 : 7.9 CIS GKE 1.0 : 6.5.1 PCI-DSS v3.2.1 : 2.2 |
Integrity monitoring disabled
Nom de la catégorie dans l'API : |
Description du résultat : la surveillance de l'intégrité est désactivée pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GKE 1.0 : 6.5.6 |
Intranode visibility disabled
Nom de la catégorie dans l'API : |
Description du résultat : la visibilité intranœud est désactivée pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GKE 1.0 : 6.6.1 |
IP alias disabled
Nom de la catégorie dans l'API : |
Description du résultat : un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le champ
|
CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.6.2 PCI-DSS v3.2.1 : 1.3.4, 1.3.7 |
Legacy authorization enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'ancienne autorisation est activée sur les clusters GKE. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.0 : 7.3 CIS GKE 1.0 : 6.8.3 PCI-DSS v3.2.1 : 4.1 |
Legacy metadata enabled
Nom de la catégorie dans l'API : |
Description du résultat Les anciennes métadonnées sont activées sur les clusters GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GKE 1.0 : 6.4.1 |
Master authorized networks disabled
Nom de la catégorie dans l'API : |
Description du résultat : Les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.0 : 7.4 CIS GKE 1.0 : 6.6.3 PCI-DSS v3.2.1 : 1.2.1, 1.3.2 |
Network policy disabled
Nom de la catégorie dans l'API : |
Description du résultat : La règle de réseau est désactivée sur les clusters GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie le champ
|
CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.6.7 PCI-DSS v3.2.1 : 1.3 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Nodepool boot CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : Les disques de démarrage de ce pool de nœuds ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
|
Nodepool secure boot disabled
Nom de la catégorie dans l'API : |
Description du résultat : le démarrage sécurisé est désactivé pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GKE 1.0 : 6.5.7 |
Over privileged account
Nom de la catégorie dans l'API : |
Description du résultat : Un compte de service bénéficie d'un accès aux projets trop étendu dans un cluster. Niveau de tarification : Premium
Éléments compatibles |
Évalue la propriété
|
CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.2.1 PCI-DSS v3.2.1 : 2.1, 7.1.2 NIST 800-53 : AC-6, SC-7 ISO-27001 : A.9.2.3 |
Over privileged scopes
Nom de la catégorie dans l'API : |
Description du résultat : un compte de service de nœud possède des champs d'application d'accès étendus. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le niveau d'accès répertorié dans la propriété config.oauthScopes d'un pool de nœuds est un niveau d'accès limité au compte de service : https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, ou https://www.googleapis.com/auth/monitoring.
|
CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.2.1 |
Pod security policy disabled
Nom de la catégorie dans l'API : |
Description du résultat : PodSecurityPolicy est désactivé sur un cluster GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.10.3 |
Private cluster disabled
Nom de la catégorie dans l'API : |
Description du résultat : Un cluster GKE possède un cluster privé désactivé. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le champ
|
CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.6.5 PCI-DSS v3.2.1 : 1.3.2 |
Release channel disabled
Nom de la catégorie dans l'API : |
Description du résultat : un cluster GKE n'est pas abonné à un canal de publication. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GKE 1.0 : 6.5.4 |
Web UI enabled
Nom de la catégorie dans l'API : |
Description du résultat : L'UI Web (tableau de bord) de GKE est activée. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie le champ
|
CIS GCP Foundation 1.0 : 7.6 CIS GKE 1.0 : 6.10.1 PCI-DSS v3.2.1 : 6.6 |
Workload Identity disabled
Nom de la catégorie dans l'API : |
Description du résultat : Workload Identity est désactivé sur un cluster GKE. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GKE 1.0 : 6.2.2 |
Résultats de failles Dataproc
Les failles de ce type de détecteur sont toutes liées à Dataproc et appartiennent au type de détecteur DATAPROC_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Dataproc image outdated
Nom de la catégorie dans l'API : |
Description du résultat : Un cluster Dataproc a été créé avec une version d'image Dataproc affectée par les failles de sécurité dans l'utilitaire Apache Log4j 2 (CVE-2021-44228). et CVE-2021-45046. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie si le champ
|
Résultats de failles d'ensemble de données
Les failles de ce type de détecteur sont toutes liées aux configurations de l'ensemble de données BigQuery et appartiennent au type de détecteur DATASET_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
BigQuery table CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le champ
|
CIS GCP Foundation 1.2 : 7.2 |
Dataset CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : un ensemble de données BigQuery n'est pas configuré pour utiliser une clé CMEK par défaut. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le champ
|
|
Public dataset
Nom de la catégorie dans l'API : |
Description du résultat : Un ensemble de données est configuré pour être accessible au public. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux
|
CIS GCP Foundation 1.1 : 7.1 CIS GCP Foundation 1.2 : 7.1 PCI-DSS v3.2.1 : 7.1 NIST 800-53 : AC-2 ISO-27001 : A.8.2.3, A.14.1.3 |
Résultats de failles DNS
Les failles de ce type de détecteur sont toutes liées aux configurations Cloud DNS et appartiennent au type de détecteur DNS_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
DNSSEC disabled
Nom de la catégorie dans l'API : |
Description du résultat : DNSSEC est désactivé pour les zones Cloud DNS. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le champ
|
CIS GCP Foundation 1.0 : 3.3 CIS GCP Foundation 1.1 : 3.3 CIS GCP Foundation 1.2 : 3.3 ISO-27001 : A.8.2.3 |
RSASHA1 for signing
Nom de la catégorie dans l'API : |
Description du résultat : RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si l'objet
|
CIS GCP Foundation 1.0 : 3.4, 3.5 CIS GCP Foundation 1.1 : 3.4, 3.5 CIS GCP Foundation 1.2 : 3.4, 3.5 |
Résultats de failles de pare-feu
Les failles de ce type de détecteur sont toutes liées aux configurations de pare-feu et appartiennent au type de détecteur FIREWALL_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Egress deny rule not set
Nom de la catégorie dans l'API : |
Description du résultat : Une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Vous devez définir des règles de refus du trafic sortant pour bloquer le trafic sortant indésirable. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
PCI-DSS v3.2.1 : 7.2 |
Firewall rule logging disabled
Nom de la catégorie dans l'API : |
Description du résultat : la journalisation des règles de pare-feu est désactivée. Activez la journalisation des règles de pare-feu pour pouvoir auditer les accès au réseau. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
PCI-DSS v3.2.1 : 10.1, 10.2 NIST 800-53 : SI-4 ISO-27001 : A.13.1.1 |
Open Cassandra port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port CASSANDRA ouvert qui autorise un accès générique. Niveau de tarification : Premium
Éléments compatibles |
Il vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open ciscosecure websm port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Il vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open directory services port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port ouvert DIRECTORY_SERVICES permettant un accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Il vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open DNS port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port DNS ouvert autorisant les accès génériques. Niveau de tarification : Premium
Éléments compatibles |
Il vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open elasticsearch port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port ELASTICSEARCH ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles |
Il vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open firewall
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour être accessible au public. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie les propriétés
| PCI-DSS v3.2.1 : 1.2.1 |
Open FTP port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port FTP ouvert autorisant l'accès générique. Niveau de tarification : Premium
Éléments compatibles |
Il vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open HTTP port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port HTTP ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles |
Il vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open LDAP port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port LDAP ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open Memcached port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port MEMCACHED ouvert qui autorise un accès générique. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open MongoDB port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port MONGODB ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles |
Il vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open MySQL port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port MYSQL ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles |
Il vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open NetBIOS port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port NETBIOS ouvert autorisant un accès générique. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open OracleDB port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port ORACLEDB ouvert qui autorise un accès générique. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open pop3 port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port POP3 ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles |
Il vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open PostgreSQL port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port PostgreSQL ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open RDP port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port RDP ouvert autorisant l'accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.0 : 3.7 CIS GCP Foundation 1.1 : 3.7 CIS GCP Foundation 1.2 : 3.7 PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open Redis port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port REDIS ouvert autorisant l'accès générique. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open SMTP port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port SMTP ouvert autorisant l'accès générique. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open SSH port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port SSH ouvert permettant un accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.0 : 3.6 CIS GCP Foundation 1.1 : 3.6 CIS GCP Foundation 1.2 : 3.6 PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Open Telnet port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port TELNET ouvert qui autorise l'accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie si la propriété
|
PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1 |
Résultats de failles IAM
Les failles de ce type de détecteur sont toutes liées à la configuration de la gestion de l'authentification et des accès (IAM) et appartiennent au type de détecteur IAM_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité | ||
|---|---|---|---|---|---|
Admin service account
Nom de la catégorie dans l'API : |
Description du résultat : un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource de tous les comptes de service créés par l'utilisateur (indiqués par le préfixe iam.gserviceaccount.com) qui se voient attribuer
|
CIS GCP Foundation 1.0 : 1.4 CIS GCP Foundation 1.1 : 1.5 CIS GCP Foundation 1.2 : 1.5 |
||
KMS role separation
Nom de la catégorie dans l'API : |
Description du résultat : la séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service (Cloud KMS) : Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur. Niveau de tarification : Premium
Éléments compatibles |
Vérifie les stratégies d'autorisation IAM dans les métadonnées de ressource et récupère les comptes principaux attribués à l'un des rôles suivants en même temps : roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
|
CIS GCP Foundation 1.0 : 1.9 CIS GCP Foundation 1.1 : 1.11 NIST 800-53 : AC-5 ISO-27001 : A.9.2.3, A.10.1.2 |
||
Non org IAM member
Nom de la catégorie dans l'API : |
Description du résultat : un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS GCP Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent actuellement ce détecteur. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Compare les adresses e-mail @gmail.com dans le champ
|
CIS GCP Foundation 1.0 : 1.1 CIS GCP Foundation 1.1 : 1.1 CIS GCP Foundation 1.2 : 1.1 PCI-DSS v3.2.1 : 7.1.2 NIST 800-53 : AC-3 ISO-27001 : A.9.2.3 |
||
Open group IAM member
Nom de la catégorie dans l'API : |
Description du résultat : Un compte Google Groupes pouvant être associé sans approbation est utilisé comme compte principal de stratégie d'autorisation IAM. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie la stratégie IAM dans les métadonnées de ressource pour toutes les liaisons contenant un membre (entité principale) préfixé par group. Si le groupe est un groupe ouvert, Security Health Analytics génère ce résultat.
|
|||
Over privileged service account user
Nom de la catégorie dans l'API : |
Description du résultat : un utilisateur possède le rôle Utilisateur du compte de service ou Créateur de jetons du compte de service au niveau du projet, plutôt que pour un compte de service spécifique. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator est attribué au niveau du projet.
|
CIS GCP Foundation 1.0 : 1.5 CIS GCP Foundation 1.1 : 1.6 CIS GCP Foundation 1.2 : 1.6 PCI-DSS v3.2.1 : 7.1.2 NIST 800-53 : AC-6 ISO-27001 : A.9.2.3 |
||
Primitive roles used
Nom de la catégorie dans l'API : |
Description du résultat : un utilisateur possède le rôle de base Propriétaire, Rédacteur ou Lecteur. Ces rôles sont trop permissifs et ne doivent pas être utilisés. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels
|
PCI-DSS v3.2.1 : 7.1.2 NIST 800-53 : AC-6 ISO-27001 : A.9.2.3 |
||
Redis role used on org
Nom de la catégorie dans l'API : |
Description du résultat : un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier. Niveau de tarification : Premium
Éléments compatibles
|
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour les comptes principaux auxquels
|
PCI-DSS v3.2.1 : 7.1.2 ISO-27001 : A.9.2.3 |
||
Service account role separation
Nom de la catégorie dans l'API : |
Description du résultat : les rôles Administrateur de compte de service et Utilisateur du compte de service ont été attribués à un utilisateur. Cela enfreint le principe de "séparation des tâches". Niveau de tarification : Premium
Éléments compatibles |
Il vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser et roles/iam.serviceAccountAdmin sont affectés simultanément.
|
CIS GCP Foundation 1.0 : 1.7 CIS GCP Foundation 1.1 : 1.8 CIS GCP Foundation 1.2 : 1.8 NIST 800-53 : AC-5 ISO-27001 : A.9.2.3 |
||
Service account key not rotated
Nom de la catégorie dans l'API : |
Description du résultat : une clé de compte de service n'a pas été alternée depuis plus de 90 jours. Niveau de tarification : Premium
Éléments compatibles |
Évalue l'horodatage de la création de clé capturé dans la propriété
|
CIS GCP Foundation 1.0 : 1.6 | CIS GCP Foundation 1.1 : 1.7 | CIS GCP Foundation 1.2 : 1.7 |
User managed service account key
Nom de la catégorie dans l'API : |
Description du résultat : un utilisateur gère une clé de compte de service. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.0 : 1.3 | CIS GCP Foundation 1.1 : 1.4 | CIS GCP Foundation 1.2 : 1.4 |
Résultats de failles KMS
Les failles de ce type de détecteur sont toutes liées aux configurations Cloud KMS et appartiennent au type de détecteur KMS_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
KMS key not rotated
Nom de la catégorie dans l'API : |
Description du résultat : la rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. Alternez les clés de chiffrement tous les 90 jours. Niveau de tarification : Premium
Éléments compatibles |
Vérifie l'existence de propriétés
|
CIS GCP Foundation 1.0 : 1.8 CIS GCP Foundation 1.1 : 1.10 CIS GCP Foundation 1.2 : 1.10 PCI-DSS v3.2.1 : 3.5 NIST 800-53 : SC-12 ISO-27001 : A.10.1.2 |
KMS project has owner
Nom de la catégorie dans l'API : |
Description du résultat : un utilisateur dispose des autorisations Propriétaire sur un projet disposant de clés cryptographiques. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la stratégie d'autorisation IAM dans les métadonnées du projet pour les comptes principaux attribués à
|
CIS GCP Foundation 1.1 : 1.11 CIS GCP Foundation 1.2 : 1.11 PCI-DSS v3.2.1 : 3.5 NIST 800-53 : AC-6, SC-12 ISO-27001 : A.9.2.3, A.10.1.2 |
KMS public key
Nom de la catégorie dans l'API : |
Description du résultat : une clé cryptographique Cloud KMS est accessible au public. Niveau de tarification : Premium
Éléments compatibles |
Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux
|
CIS GCP Foundation 1.1 : 1.9 CIS GCP Foundation 1.2 : 1.9 |
Too many KMS users
Nom de la catégorie dans l'API : |
Description du résultat : il existe plus de trois utilisateurs de clés cryptographiques. Niveau de tarification : Premium
Éléments compatibles |
Vérifie les stratégies d'autorisation IAM pour les trousseaux, les projets et les organisations, et récupère les comptes principaux dotés de rôles permettant de chiffrer, déchiffrer ou signer les données à l'aide de clés Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer et roles/cloudkms.signerVerifier.
|
PCI-DSS v3.2.1 : 3.5.2 ISO-27001 : A.9.2.3 |
Résultats de failles de journalisation
Les failles de ce type de détecteur sont toutes liées aux configurations de journalisation et appartiennent au type de détecteur LOGGING_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Audit logging disabled
Nom de la catégorie dans l'API : |
Description du résultat : la journalisation d'audit a été désactivée pour cette ressource. Niveau de tarification : Premium
Éléments compatibles |
Vérifie l'existence d'un objet
|
CIS GCP Foundation 1.0 : 2.1 CIS GCP Foundation 1.1 : 2.1 CIS GCP Foundation 1.2 : 2.1 PCI-DSS v3.2.1 : 10.1, 10.2 NIST 800-53 : AC-2, AU-2 ISO-27001 : A.12.4.1, A.16.1.7 |
Bucket logging disabled
Nom de la catégorie dans l'API : |
Description du résultat : il existe un bucket de stockage sans la journalisation activée. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le champ
|
CIS GCP Foundation 1.0 : 5.3 |
Locked retention policy not set
Nom de la catégorie dans l'API : |
Description du résultat : une règle de conservation verrouillée n'est pas configurée pour les journaux. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le champ
|
CIS GCP Foundation 1.1 : 2.3 CIS GCP Foundation 1.2 : 2.3 PCI-DSS v3.2.1 : 10.5 NIST 800-53 : AU-11 ISO-27001 : A.12.4.2, A.18.1.3 |
Log not exported
Nom de la catégorie dans l'API : |
Description du résultat : une ressource n'a pas de récepteur de journaux approprié configuré. Niveau de tarification : Premium
Éléments compatibles
|
Récupère un objet
|
CIS GCP Foundation 1.0 : 2.2 CIS GCP Foundation 1.1 : 2.2 CIS GCP Foundation 1.2 : 2.2 ISO-27001 : A.18.1.3 |
Object versioning disabled
Nom de la catégorie dans l'API : |
Description du résultat : la gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le champ
|
CIS GCP Foundation 1.0 : 2.3 PCI-DSS v3.2.1 : 10.5 NIST 800-53 : AU-11 ISO-27001 : A.12.4.2, A.18.1.3 |
Résultats de failles de surveillance
Les failles de ce type de détecteur sont toutes liées aux configurations de surveillance et appartiennent au type MONITORING_SCANNER. Toutes les propriétés des données de détection Monitoring incluent :
-
RecommendedLogFilterà utiliser pour créer les métriques de journal. -
QualifiedLogMetricNamesqui couvre les conditions répertoriées dans le filtre de journal recommandé. -
Les
AlertPolicyFailureReasonsqui indiquent si le projet n'a pas créé de règles d'alerte pour l'une des métriques de journaux qualifiées ou si les règles d'alerte existantes ne disposent pas des paramètres recommandés.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Audit config not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* et, si resource.type est spécifié, que cette valeur est global.
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
CIS GCP Foundation 1.0 : 2.5 CIS GCP Foundation 1.1 : 2.5 CIS GCP Foundation 1.2 : 2.5 |
Bucket IAM not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications des autorisations IAM Cloud Storage. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions".
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
CIS GCP Foundation 1.0 : 2.10 CIS GCP Foundation 1.1 : 2.10 CIS GCP Foundation 1.2 : 2.10 |
Custom role not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole").
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
CIS GCP Foundation 1.0 : 2.6 CIS GCP Foundation 1.1 : 2.6 CIS GCP Foundation 1.2 : 2.6 |
Firewall not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à règle de pare-feu du réseau VPC. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete").
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
CIS GCP Foundation 1.0 : 2.7 CIS GCP Foundation 1.1 : 2.7 CIS GCP Foundation 1.2 : 2.7 |
Network not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications du réseau VPC. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering").
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
CIS GCP Foundation 1.0 : 2.9 CIS GCP Foundation 1.1 : 2.9 CIS GCP Foundation 1.2 : 2.9 |
Owner not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ni les modifications de propriété du projet. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") et, si resource.type est spécifié, que cette valeur est global.
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
CIS GCP Foundation 1.0 : 2.4 CIS GCP Foundation 1.1 : 2.4 CIS GCP Foundation 1.2 : 2.4 |
Route not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert").
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
CIS GCP Foundation 1.0 : 2.8 CIS GCP Foundation 1.1 : 2.8 CIS GCP Foundation 1.2 : 2.8 |
SQL instance not monitored
|
Description du résultat : les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration des instances Cloud SQL. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" et, si resource.type est spécifié, que cette valeur est global.
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
CIS GCP Foundation 1.0 : 2.11 CIS GCP Foundation 1.1 : 2.11 CIS GCP Foundation 1.2 : 2.11 |
Résultats de l'authentification multifacteur
Le détecteur MFA_SCANNER identifie les failles liées à l'authentification multifacteur pour les utilisateurs.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
MFA not enforced
Nom de la catégorie dans l'API : |
Certains utilisateurs n'utilisent pas la validation en deux étapes. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Évalue les règles de gestion des identités dans les organisations et les paramètres utilisateur des comptes gérés dans Cloud Identity.
|
CIS GCP Foundation 1.0 : 1.2 CIS GCP Foundation 1.1 : 1.2 CIS GCP Foundation 1.2 : 1.2 PCI-DSS v3.2.1 : 8.3 NIST 800-53 : IA-2 ISO-27001 : A.9.4.2 |
Résultats de failles de réseau
Les failles de ce type de détecteur sont toutes liées aux configurations de réseau d'une organisation et appartiennent au typeNETWORK_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Default network
Nom de la catégorie dans l'API : |
Description du résultat : le réseau par défaut existe dans un projet. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.0 : 3.1 CIS GCP Foundation 1.1 : 3.1 CIS GCP Foundation 1.2 : 3.1 |
DNS logging disabled
Nom de la catégorie dans l'API : |
Description du résultat : la journalisation DNS sur un réseau VPC n'est pas activée. Niveau de tarification : Premium
Éléments compatibles |
Vérifie toutes les règles (
|
CIS GCP Foundation 1.2 : 2.12 |
Legacy network
Nom de la catégorie dans l'API : |
Description du résultat : un ancien réseau existe dans un projet. Niveau de tarification : Premium
Éléments compatibles |
Vérifie l'existence de la propriété
|
CIS GCP Foundation 1.0 : 3.2 CIS GCP Foundation 1.1 : 3.2 CIS GCP Foundation 1.2 : 3.2 |
Résultats de failles liées aux règles d'administration
Les failles de ce type de détecteur sont toutes liées aux configurations des contraintes des règles d'administration et appartiennent au type ORG_POLICY.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Org policy Confidential VM policy
Nom de la catégorie dans l'API : |
Description du résultat : une ressource Compute Engine n'est pas conforme à la règle d'administration constraints/compute.restrictNonConfidentialComputing. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration sur les VM Confidential VM.
Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
|
Org policy location restriction
Nom de la catégorie dans l'API : |
Description du résultat : une ressource Compute Engine ne respecte pas la contrainte constraints/gcp.resourceLocations. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration.
Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
|
|
Éléments compatibles avec ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Étant donné que les éléments Cloud KMS ne peuvent pas être supprimés, ils ne sont pas considérés comme hors région si leurs données ont été détruites. 2 Étant donné que les tâches d'importation Cloud KMS ont un cycle de vie contrôlé et ne peuvent pas être arrêtées en amont, une tâche d'importation n'est pas considérée comme hors région si elle est arrivée à expiration et ne peut plus être utilisée pour importer des clés. 3 Étant donné que le cycle de vie des tâches Dataflow ne peut pas être géré, une tâche n'est pas considérée comme hors région une fois qu'elle a atteint un état final (arrêt ou drainage) dans lequel elle ne sera plus utilisées pour traiter des données. |
|||
Résultats de failles Pub/Sub
Les failles de ce type de détecteur sont toutes liées aux configurations Pub/Sub et appartiennent au type PUBSUB_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Pubsub CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : Un sujet Pub/Sub n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles |
Dans le champ
|
Résultats de failles SQL
Les failles de ce type de détecteur sont toutes liées aux configurations Cloud SQL et appartiennent au type SQL_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Auto backup disabled
Nom de la catégorie dans l'API : |
Description du résultat : les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.1 : 6.7 CIS GCP Foundation 1.2 : 6.7 NIST 800-53 : CP-9 ISO-27001 : A.12.3.1 |
Public SQL instance
Nom de la catégorie dans l'API : |
Description du résultat : une instance de base de données Cloud SQL accepte les connexions de toutes les adresses IP. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.0 : 6.2 CIS GCP Foundation 1.1 : 6.5 CIS GCP Foundation 1.2 : 6.5 PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : CA-3, SC-7 ISO-27001 : A.8.2.3, A.13.1.3, A.14.1.3 |
SSL not enforced
Nom de la catégorie dans l'API : |
Description du résultat : une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.0 : 6.1 CIS GCP Foundation 1.1 : 6.4 CIS GCP Foundation 1.2 : 6.4 PCI-DSS v3.2.1 : 4.1 NIST 800-53 : SC-7 ISO-27001 : A.8.2.3, A.13.2.1, A.14.1.3 |
SQL CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : une instance de base de données SQL n'est pas chiffrée avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles |
Vérifie le champ
|
|
SQL contained database authentication
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.1 : 6.3.2 CIS GCP Foundation 1.2 : 6.3.7 |
SQL cross DB ownership chaining
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.1 : 6.3.1 CIS GCP Foundation 1.2 : 6.3.2 |
SQL external scripts enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.2 : 6.3.1 |
SQL local infile
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.1 : 6.1.2 CIS GCP Foundation 1.2 : 6.1.3 |
SQL log checkpoints disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.1 : 6.2.1 CIS GCP Foundation 1.2 : 6.2.1 |
SQL log connections disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.1 : 6.2.2 CIS GCP Foundation 1.2 : 6.2.3 |
SQL log disconnections disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.1 : 6.2.3 CIS GCP Foundation 1.2 : 6.2.4 |
SQL log duration disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.2 : 6.2.5 |
SQL log error verbosity
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.2 : 6.2.2 |
SQL log lock waits disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.1 : 6.2.4 CIS GCP Foundation 1.2 : 6.2.6 |
SQL log min duration statement enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.1 : 6.2.7 CIS GCP Foundation 1.2 : 6.2.16 |
SQL log min error statement
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le champ
|
CIS GCP Foundation 1.1 : 6.2.5 |
SQL log min error statement severity
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le champ
|
CIS GCP Foundation 1.2 : 6.2.14 |
SQL log min messages
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le champ
|
CIS GCP Foundation 1.2 : 6.2.13 |
SQL log executor stats enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.2 : 6.2.11 |
SQL log hostname enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.2 : 6.2.8 |
SQL log parser stats enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.2 : 6.2.9 |
SQL log planner stats enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.2 : 6.2.10 |
SQL log statement
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.2 : 6.2.7 |
SQL log statement stats enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.2 : 6.2.12 |
SQL log temp files
Nom de la catégorie dans l'API : |
Description du résultat : l'option Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.1 : 6.2.6 CIS GCP Foundation 1.2 : 6.2.15 |
SQL no root password
Nom de la catégorie dans l'API : |
Description du résultat : une base de données Cloud SQL n'a pas de mot de passe configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.0 : 6.3 CIS GCP Foundation 1.1 : 6.1.1 CIS GCP Foundation 1.2 : 6.1.1 PCI-DSS v3.2.1 : 2.1 NIST 800-53 : AC-3 ISO-27001 : A.8.2.3, A.9.4.2 |
SQL public IP
Nom de la catégorie dans l'API : |
Description du résultat : une base de données Cloud SQL possède une adresse IP publique. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si le type d'adresse IP d'une base de données Cloud SQL est défini sur
|
CIS GCP Foundation 1.1 : 6.6 CIS GCP Foundation 1.2 : 6.6 |
SQL remote access enabled
Nom de la catégorie dans l'API : |
Description du résultat : L'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.2 : 6.3.5 |
SQL skip show database disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.2 : 6.1.2 |
SQL trace flag 3625
Nom de la catégorie dans l'API : |
Description du résultat : L'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.2 : 6.3.6 |
SQL user connections configured
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.2 : 6.3.3 |
SQL user options configured
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles |
Vérifie la propriété
|
CIS GCP Foundation 1.2 : 6.3.4 |
SQL weak root password
Nom de la catégorie dans l'API : |
Description du résultat : une base de données Cloud SQL possède un mot de passe faible configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles |
Compare le mot de passe du compte racine de votre base de données Cloud SQL à une liste de mots de passe courants.
|
Résultats de failles de stockage
Les failles de ce type de détecteur sont toutes liées aux configurations de buckets Cloud Storage et appartiennent au typeSTORAGE_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Bucket CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : un bucket n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver les détecteurs. Niveau de tarification : Premium
Éléments compatibles |
Vérifie le champ
|
|
Bucket policy only disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'accès uniforme au niveau du bucket, précédemment appelé "Stratégie du bucket seulement", n'est pas configuré. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
|
Public bucket ACL
Nom de la catégorie dans l'API : |
Description du résultat : un bucket Cloud Storage est accessible au public. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie la stratégie d'autorisation IAM d'un bucket pour détecter les rôles publics (
|
CIS GCP Foundation 1.0 : 5.1 CIS GCP Foundation 1.1 : 5.1 CIS GCP Foundation 1.2 : 5.1 PCI-DSS v3.2.1 : 7.1 NIST 800-53 : AC-2 ISO-27001 : A.8.2.3, A.14.1.3 |
Public log bucket
Nom de la catégorie dans l'API : |
Description du résultat : un bucket de stockage utilisé comme récepteur de journaux est accessible au public. Niveau de tarification : Premium ou Standard
Éléments compatibles |
Vérifie la stratégie d'autorisation IAM d'un bucket pour les comptes principaux
|
PCI-DSS v3.2.1 : 10.5 NIST 800-53 : AU-9 ISO-27001 : A.8.2.3, A.12.4.2, A.18.1.3 |
Résultats de failles de sous-réseau
Les failles de ce type de détecteur sont toutes liées aux configurations de sous-réseau d'une organisation et appartiennent au typeSUBNETWORK_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
Flow logs disabled
Nom de la catégorie dans l'API : |
Description du résultat : il existe un sous-réseau VPC dans lequel les journaux de flux sont désactivés. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.0 : 3.9 CIS GCP Foundation 1.1 : 3.8 CIS GCP Foundation 1.2 : 3.8 PCI-DSS v3.2.1 : 10.1, 10.2 NIST 800-53 : SI-4 ISO-27001 : A.13.1.1 |
Private Google access disabled
Nom de la catégorie dans l'API : |
Description du résultat : il existe des sous-réseaux privés sans accès aux API publiques Google. Niveau de tarification : Premium
Éléments compatibles |
Vérifie si la propriété
|
CIS GCP Foundation 1.0 : 3.8 |
VM Manager
VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.
Si vous activez VM Manager et que vous êtes abonné au niveau Premium de Security Command Center, VM Manager écrit les résultats dans ses rapports de failles en version bêta dans Security Command Center. Les rapports identifient les failles dans les systèmes d'exploitation installés sur les VM, y compris les failles CVE courantes (Common Vulnerabilities and Exposures).
Les rapports de failles ne sont pas disponibles dans le niveau Standard de Security Command Center.
Les résultats simplifient l'utilisation de la fonctionnalité de conformité des correctifs de VM Manager, qui est en version bêta. Cette fonctionnalité vous permet de gérer les correctifs au niveau de l'organisation dans tous vos projets. Actuellement, VM Manager ne permet de gérer les correctifs qu'au niveau du projet.
Résultats de VM Manager
Les failles de ce type concernent toutes les packages de système d'exploitation installés dans les VM Compute Engine compatibles.
| Détecteur | Résumé | Paramètres d'analyse des éléments | Normes de conformité |
|---|---|---|---|
OS vulnerability
Nom de la catégorie dans l'API : |
Description du résultat : VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine. Niveau de tarification : Premium
Éléments compatibles |
Failles consignées dans les rapports de failles de VM Manager dans les packages de système d'exploitation installés pour les VM Compute Engine, y compris les failles CVE courantes.
Des résultats s'affichent dans Security Command Center peu de temps après la détection de failles. Dans VM Manager, les rapports de failles sont générés comme suit :
|
Corriger les résultats de VM Manager
Un résultat OS_VULNERABILITY indique que VM Manager a détecté une faille dans les packages du système d'exploitation installés dans une VM Compute Engine.
Pour corriger ce résultat, procédez comme suit :
Examiner les résultats
Pour examiner les menaces détectées, procédez comme suit :
Ancienne page de résultats
Accédez à la page Résultats de Security Command Center.
À côté de Afficher par, sélectionnez Type de source.
Dans la liste Type de source, sélectionnez VM Manager.
La table présente les résultats correspondant au type de source que vous avez sélectionné.
Sous Catégorie, cliquez sur le nom d'un résultat.
Dans le panneau Résultats détaillés, sélectionnez Propriétés sources.
Pour en savoir plus sur la faille, consultez les champs suivants :
properties: contient une description de la faille et des options d'atténuation.severity: niveau de risque attribué au résultat.vulnerability: contient un lien vers un dépôt CVE public comprenant plus de détails sur la faille.references: contient des liens d'informations supplémentaires, y compris vers des sources du secteur.id: ID de la faille CVE, par exemple,CVE-2021-33200, permettant de filtrer les résultats et de rechercher d'autres VM concernées par cette faille CVE.
Pour créer une tâche d'application de correctifs pour l'OS dans la console Google Cloud, cliquez sur le lien dans
external_uri.
Page de résultats (Bêta)
Si vous avez choisi de passer à la version améliorée du workflow de résultats, procédez comme suit :
Dans Google Cloud Console, accédez à la page Résultats de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez VM Manager.
La table contient les résultats de VM Manager.
Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous
Category. Le volet de détails du résultat se développe pour afficher les attributs du résultat.Cliquez sur l'onglet JSON. Pour en savoir plus sur la faille, consultez les champs suivants :
properties: contient une description de la faille et des options d'atténuation.severity: niveau de risque attribué au résultat.vulnerability: contient un lien vers un dépôt CVE public comprenant plus de détails sur la faille.references: contient des liens d'informations supplémentaires, y compris vers des sources du secteur.id: ID de la faille CVE, par exemple,CVE-2021-33200, permettant de filtrer les résultats et de rechercher d'autres VM concernées par cette faille CVE.
Pour créer une tâche d'application de correctifs pour l'OS dans la console Google Cloud, accédez à l'URL de la propriété
external_uri.
Pour obtenir des instructions sur le déploiement des correctifs, consultez la page OS Patch Management.
En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.
Désactiver les rapports de failles de VM Manager
Pour empêcher l'écriture des rapports de failles dans Security Command Center, vous pouvez désactiver l'API du service OS Config pour vos projets.
Accédez à la page API OS Config dans la console Google Cloud.
Si nécessaire, sélectionnez votre projet.
Cliquez sur Désactiver l'API, puis sur Désactiver dans la boîte de dialogue.
Résultats de Web Security Scanner
Les analyses personnalisées et gérées de Web Security Scanner identifient les types de résultats suivants. Au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL et des adresses IP publiques qui ne sont pas protégées par un pare-feu.
| Catégorie | Description du résultat | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
|---|---|---|---|
Accessible Git repository
Nom de la catégorie dans l'API : |
Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT.
Niveau de tarification : Standard |
A5 | A01 |
Accessible SVN repository
Nom de la catégorie dans l'API : |
Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN.
Niveau de tarification : Standard |
A5 | A01 |
Cacheable password input
Nom de la catégorie dans l'API : |
Les mots de passe saisis dans l'application Web peuvent être mis en cache dans un cache de navigateur standard au lieu d'un espace de stockage sécurisé.
Niveau de tarification : Premium |
A3 | A04 |
Clear text password
Nom de la catégorie dans l'API : |
Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau.
Niveau de tarification : Standard |
A3 | A02 |
Insecure allow origin ends with validation
Nom de la catégorie dans l'API : |
Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour corriger ce résultat, vérifiez que le domaine racine attendu fait partie de la valeur d'en-tête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour les caractères génériques de sous-domaine, ajoutez le point au domaine racine, par exemple .endsWith(".google.com").
Niveau de tarification : Premium |
A5 | A01 |
Insecure allow origin starts with validation
Nom de la catégorie dans l'API : |
Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour corriger ce résultat, vérifiez que le domaine attendu correspond entièrement à la valeur de l'en-tête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin (par exemple, .equals(".google.com")).
Niveau de tarification : Premium |
A5 | A01 |
Invalid content type
Nom de la catégorie dans l'API : |
Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour corriger ce résultat, définissez l'en-tête HTTP X-Content-Type-Options sur la valeur correcte.
Niveau de tarification : Standard |
A6 | A05 |
Invalid header
Nom de la catégorie dans l'API : |
Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.
Niveau de tarification : Standard |
A6 | A05 |
Mismatching security header values
Nom de la catégorie dans l'API : |
Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.
Niveau de tarification : Standard |
A6 | A05 |
Misspelled security header name
Nom de la catégorie dans l'API : |
Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.
Niveau de tarification : Standard |
A6 | A05 |
Mixed content
Nom de la catégorie dans l'API : |
Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS.
Niveau de tarification : Standard |
A6 | A05 |
Outdated library
Nom de la catégorie dans l'API : |
Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente.
Niveau de tarification : Standard |
A9 | A06 |
Server side request forgery
Nom de la catégorie dans l'API : |
Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utilisez une liste d'autorisation pour limiter les domaines et les adresses IP auxquels l'application Web peut envoyer des requêtes.
Niveau de tarification : Standard |
Non applicable | A10 |
Session ID leak
Nom de la catégorie dans l'API : |
Lors d'une requête interdomaine, l'application Web inclut l'identifiant de session de l'utilisateur dans son en-tête de requête Referer. Cette faille donne au domaine destinataire la possibilité d'accéder à l'identifiant de session, qui peut servir à emprunter l'identité de l'utilisateur ou à l'identifier de manière unique.
Niveau de tarification : Premium |
A2 | A07 |
SQL injection
Nom de la catégorie dans l'API : |
Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce résultat, utilisez des requêtes paramétrées afin d'empêcher les entrées utilisateur d'affecter la structure de la requête SQL.
Niveau de tarification : Premium |
A1 | A03 |
Struts insecure deserialization
Nom de la catégorie dans l'API : |
L'utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version.
Niveau de tarification : Premium |
A8 | A08 |
XSS
Nom de la catégorie dans l'API : |
Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.
Niveau de tarification : Standard |
A7 | A03 |
XSS angular callback
Nom de la catégorie dans l'API : |
Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper.
Niveau de tarification : Standard |
A7 | A03 |
XSS error
Nom de la catégorie dans l'API : |
Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.
Niveau de tarification : Standard |
A7 | A03 |
XXE reflected file leakage
Nom de la catégorie dans l'API : |
Une faille XML External Entity (XXE) a été détectée. Elle peut entraîner la fuite d'un fichier sur l'hôte par l'application Web. Pour corriger ce résultat, configurez vos analyseurs XML de manière à interdire les entités externes.
Niveau de tarification : Premium |
A4 | A05 |
Benchmarks CIS
Le CIS (Center for Internet Security) inclut les benchmarks suivants qui ne sont actuellement pas compatibles avec Web Security Scanner ou avec les détecteurs de Security Health Analytics :
| Catégorie | Description du résultat | CIS GCP Foundation 1.0 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|
Basic authentication enabled
Nom de la catégorie dans l'API : |
L'authentification par certificat IAM ou client doit être activée sur les clusters Kubernetes. | 7.10 | ||
Client cert authentication disabled
Nom de la catégorie dans l'API : |
Les certificats Kubernetes doivent être créés avec le certificat client activé. | 7.12 | ||
Labels not used
Nom de la catégorie dans l'API : |
Des libellés peuvent être utilisés pour répartir les informations de facturation. | 7.5 | ||
Public storage object
Nom de la catégorie dans l'API : |
La LCA de stockage d'objet ne doit pas accorder l'accès à **allUsers**. | 5,2 | ||
SQL broad root login
Nom de la catégorie dans l'API : |
L'accès root à une base de données SQL doit être limité aux adresses IP approuvées répertoriées | 6,4 |
Étapes suivantes
- Découvrez comment utiliser Security Health Analytics et comment utiliser Web Security Scanner.
- Consultez les suggestions pour corriger les résultats de Security Health Analytics et corriger les résultats de Web Security Scanner.