Ergebnisse zu Sicherheitslücken

>

Security Health Analytics- und Web Security Scanner-Detektoren generieren Ereignistypen für Sicherheitslücken, die in Security Command Center verfügbar sind.

Detektoren und Compliance

In den folgenden Tabellen werden die Detektortypen und bestimmte Ergebnistypen für Sicherheitslücken beschrieben, die Security Analytics und Web Security Scanner generieren können. Sie können Ergebnisse nach Detektorname und Ergebnistyp auf dem Tab für Sicherheitslücken in Security Command Center in der Google Cloud Console filtern.

Diese Tabellen enthalten eine Beschreibung der Zuordnung zwischen unterstützten Detektoren und die Best-Effort-Zuordnung zu relevanten Compliance-Systemen.

Die Zuordnungen von CIS Google Cloud Foundation 1.0 wurden vom Center for Internet Security auf die Übereinstimmung mit dem CIS Google Cloud Computing Foundations Benchmark v1.0.0 geprüft und zertifiziert. Zusätzliche Compliance-Zuordnungen sind zu Referenzzwecken enthalten und werden nicht vom Payment Card Industry Data Security Standard oder der OWASP Foundation bereitgestellt oder geprüft. Weitere Informationen finden Sie unter CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0), Payment Card Industry Data Security Standard 3.2.1 (PCI-DSS v3.2.1) OWASP Top Ten, National Institute of Standards and Technology 800-53 (NIST 800-53) und International Organization for Standardization 27001 (ISO 27001) zur manuellen Prüfung auf diese Verstöße.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienstleistungen gemäß aller regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Security Health Analytics

Security Health Analytics-Detektoren identifizieren folgende Ereignistypen: Security Health Analytics unterstützt die Echtzeiterkennung mit einigen Ausnahmen.

Ergebnisse zur Bestätigung in zwei Schritten

Der Detektor 2SV_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit der Bestätigung in zwei Schritten für Nutzer.

Tabelle 1. Scanner zur Bestätigung in zwei Schritten
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
2SV_NOT_ENFORCED Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. Premium oder Standard 1.2 IA-2 A.9.4.2

Ergebnisse zu Sicherheitslücken beim API-Schlüssel

Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.

Tabelle 2. API-Schlüssel-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
API_KEY_APIS_UNRESTRICTED API-Schlüssel werden zu umfassend verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden. Premium 1.11
API_KEY_APPS_UNRESTRICTED API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen. Premium
API_KEY_EXISTS Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung. Premium 1.10
API_KEY_NOT_ROTATED Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert. Premium 1.13

Ergebnisse zu Sicherheitslücken bei Compute-Images

Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.

Tabelle 2. Compute Image-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
PUBLIC_COMPUTE_IMAGE Ein Compute Engine-Image ist öffentlich zugänglich. Premium oder Standard

Ergebnisse zu Sicherheitslücken bei Compute-Instanzen

Der Detektor COMPUTE_INSTANCE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Instanzkonfigurationen.

Der Detektor COMPUTE_INSTANCE_SCANNER erfasst keine Ergebnisse zu den von GKE erstellten Compute-Instanzen. Diese Instanzen haben Namen, die mit "gke-" beginnen und nicht direkt von Nutzern bearbeitet werden können. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt zu den Ergebnissen der Container-Sicherheitslücke.

Taelble 4. Scanner von Compute-Instanzen
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist. Premium 4,2
COMPUTE_SECURE_BOOT_DISABLED Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen. Premium 4,8
COMPUTE_SERIAL_PORTS_ENABLED Serielle Ports sind für eine Instanz aktiviert, sodass Verbindungen zur seriellen Konsole der Instanz möglich sind. Premium 4.4
DISK_CSEK_DISABLED Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEK) verschlüsselt. Für diesen Detektor ist eine zusätzliche Konfiguration erforderlich. Wenden Sie die Sicherheitsmarkierung enforce_customer_supplied_disk_encryption_keys mit dem Wert true auf die Assets an, die Sie überwachen möchten, um diesen Detektor zu aktivieren. Premium 4.6
FULL_API_ACCESS Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet. Premium 4,1 AC-6 A.9.2.3
IP_FORWARDING_ENABLED Die IP-Weiterleitung ist für Instanzen aktiviert. Premium 4.5
OS_LOGIN_DISABLED OS Login ist für diese Instanz deaktiviert. Premium 4.3
PUBLIC_IP_ADDRESS Eine Instanz hat eine öffentliche IP-Adresse. Premium oder Standard 1.2.1
1.3.5
CA-3
SC-7
WEAK_SSL_POLICY Eine Instanz hat eine schwache SSL-Richtlinie. Premium SC-7 A.14.1.3

Ergebnisse zu Container-Sicherheitslücken

Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.

Tabelle 5. Container-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
AUTO_REPAIR_DISABLED Das Feature für automatische Reparaturen von GKE-Clustern, die Knoten in einem fehlerfreien, laufenden Zustand beibehält, ist deaktiviert. Premium 7.7
AUTO_UPGRADE_DISABLED Das Feature für automatische Upgrades von GKE-Clustern, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert. Premium 7.8
CLUSTER_LOGGING_DISABLED Logging ist für einen GKE-Cluster nicht aktiviert. Premium 7.1
CLUSTER_MONITORING_DISABLED Cloud Monitoring ist für GKE-Cluster deaktiviert. Premium 7.2 10.2.2
10.2.7
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED Clusterhosts sind nicht so konfiguriert, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden. Premium 7.16 1.3
COS_NOT_USED Compute Engine-VMs nutzen nicht das Container-Optimzed OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde. Premium 7.9 2,2
IP_ALIAS_DISABLED Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt. Premium 7.13 1.3.4
1.3.7
LEGACY_AUTHORIZATION_ENABLED Die Legacy-Autorisierung ist für GKE-Cluster aktiviert. Premium 7.3 4,1
LEGACY_METADATA_ENABLED Legacy-Metadaten sind für GKE-Cluster aktiviert. Premium
MASTER_AUTHORIZED_NETWORKS_DISABLED Autorisierte Masternetzwerke sind auf GKE-Clustern nicht aktiviert. Premium 7.4
NETWORK_POLICY_DISABLED Die Netzwerkrichtlinie ist auf GKE-Clustern deaktiviert. Premium 7.11 1.3 SC-7 A.13.1.1
OVER_PRIVILEGED_ACCOUNT Ein Dienstkonto hat in einem Cluster übermäßigen Projektzugriff. Premium 7.17 2.1 AC-6
SC-7
A.9.2.3
OVER_PRIVILEGED_SCOPES Ein Knotendienstkonto hat übermäßige Zugriffsbereiche. Premium 7.18
POD_SECURITY_POLICY_DISABLED PodSecurityPolicy ist auf einem GKE-Cluster deaktiviert. Premium 7.14
PRIVATE_CLUSTER_DISABLED Auf einem GKE-Cluster ist ein privater Cluster deaktiviert. Premium 7.15
WEB_UI_ENABLED Die GKE-Web-UI (Dashboard) ist aktiviert. Premium oder Standard 7,6 6.5.8
6.6
WORKLOAD_IDENTITY_DISABLED Workload Identity ist auf einem GKE-Cluster deaktiviert. Premium

Ergebnisse zu Dataset-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.

Tabelle 6. Dataset-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
PUBLIC_DATASET Ein Dataset ist für den öffentlichen Zugriff freigegeben. Premium AC-3 A.8.2.3
A.14.1.3

Ergebnisse zu DNS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.

Tabelle 7. DNS-Scanner
Kategorie Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
DNSSEC_DISABLED DNSSEC ist für Cloud DNS-Zonen deaktiviert. Premium 3,3 A.8.2.3
RSASHA1_FOR_SIGNING RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet. Premium 3.4
3.5

Ergebnisse zu Firewall-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.

Tabelle 8. Firewall-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
FIREWALL_RULE_LOGGING_DISABLED Firewallregel-Logging ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können Premium 10,1 SI-4 A.13.1.1
OPEN_FIREWALL Eine Firewall ist für den öffentlichen Zugriff konfiguriert. Premium oder Standard 1.2.1
OPEN_RDP_PORT Eine Firewall ist für einen offenen SSH-Port mit generischem Zugriff konfiguriert. Premium oder Standard 3,7 1.2.1 SC-7 A.13.1.1
OPEN_SSH_PORT Eine Firewall ist für einen offenen SSH-Port mit generischem Zugriff konfiguriert. Premium oder Standard 3,6 1.2.1 SC-7 A.13.1.1

Ergebnisse zu IAM-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.

Tabelle 9. IAM-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
ADMIN_SERVICE_ACCOUNT Es ist ein Dienstkonto mit Administratorrollen vorhanden. Premium 1.4
KMS_PROJECT_HAS_OWNER Ein Nutzer hat Inhaberberechtigungen für ein Projekt mit kryptografischen Schlüsseln. Premium 3,5 AC-6
SC-12
A.9.2.3
A.10.1.2
KMS_ROLE_SEPARATION Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Rollen hat: Cloud KMS-CryptoKey-Verschlüsseler/Entschlüsseler (Cloud Key Management Service), Verschlüsseler oder Entschlüsseler. Premium 1.9 AC-5 A.9.2.3
A.10.1.2
NON_ORG_IAM_MEMBER Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 wird dieser Detektor derzeit nur von Identitäten mit @gmail.com-E-Mail-Adressen ausgelöst. Premium oder Standard 1.1 7.1.2 AC-3 A.9.2.3
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER Ein Nutzer hat die Rolle "Dienstkontonutzer" auf Projektebene und nicht für ein bestimmtes Dienstkonto. Premium 1.5 7.1.2 AC-6 A.9.2.3
PRIMITIVE_ROLES_USED Ein Nutzer hat die einfache Rolle "Inhaber", "Autor" oder "Leser". Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden. Premium 7.1.2 AC-6 A.9.2.3
REDIS_ROLE_USED_ON_ORG Eine Redis-IAM-Rolle wird auf der Organisations- oder Ordnerebene zugewiesen. Premium 8.7 A.9.2.3
SERVICE_ACCOUNT_ROLE_SEPARATION Einem Nutzer wurden die Rollen "Dienstkontoadministrator" und "Dienstkontonutzer" zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung". Premium 1.7 AC-5
SERVICE_ACCOUNT_KEY_NOT_ROTATED Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Premium 1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY Ein Dienstkontoschlüssel wird von einem Nutzer verwaltet. Premium 1.3

Ergebnisse zu KMS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.

Tabelle 10. KMS-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
KMS_KEY_NOT_ROTATED Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Premium 1.8 SC-12 A.10.1.2
TOO_MANY_KMS_USERS Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Premium 3.5.2 A.9.2.3

Ergebnisse zu Logging-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.

Tabelle 11. Logging-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
AUDIT_LOGGING_DISABLED Audit-Logging wurde für diese Ressource deaktiviert. Premium 2.1 10.2.3 AU-2 A.12.4.1
A.16.1.7
BUCKET_LOGGING_DISABLED Es ist ein Storage-Bucket vorhanden, für den kein Logging aktiviert ist. Premium 5.3
LOG_NOT_EXPORTED Es ist eine Ressource vorhanden, für die keine entsprechende Logsenke konfiguriert wurde. Premium 2.2 10.2.3 A.18.1.3
OBJECT_VERSIONING_DISABLED Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert. Premium 2.3 10.2.3
PUBLIC_LOG_BUCKET Als Logsenken verwendete Storage-Buckets sollten nicht öffentlich zugänglich sein. Premium oder Standard 10.5 AU-9 A.8.2.3
A.12.4.2
A.18.1.3

Ergebnisse zu Monitoring-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:

  • Den RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll.
  • Die QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken.
  • Die AlertPolicyFailureReasons, die angeben, ob für das Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder ob die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
Tabelle 12. Monitoring-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
AUDIT_CONFIG_NOT_MONITORED Logmesswerte und Benachrichtigungen sind nicht so konfiguriert, dass Änderungen an der Audit-Konfiguration überwacht werden. Premium 2,5
BUCKET_IAM_NOT_MONITORED Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud Storage-IAM-Berechtigungen konfiguriert. Premium 2.10 1.3.2
CUSTOM_ROLE_NOT_MONITORED Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an benutzerdefinierten Rollen konfiguriert. Premium 2,6
FIREWALL_NOT_MONITORED Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an den VPC-Netzwerk-Firewallregeln konfiguriert. Premium 2.7
NETWORK_NOT_MONITORED Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert. Premium 2.9
OWNER_NOT_MONITORED Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert. Premium 2.4
ROUTE_NOT_MONITORED Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert. Premium 2,8
SQL_INSTANCE_NOT_MONITORED Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der Konfiguration von Cloud SQL-Instanzen konfiguriert. Premium 2.11

Ergebnisse zu Netzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.

Tabelle 13. Netzwerk-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
DEFAULT_NETWORK Das Standardnetzwerk ist in einem Projekt vorhanden. Premium 3.1
LEGACY_NETWORK Ein Legacy-Netzwerk ist in einem Projekt vorhanden. Premium 3.2

Ergebnisse zu Sicherheitslücken bei SSH-Passwörtern

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Passwörter und gehören zum Typ SSH_PASSWORD.

Tabelle 14. SSH-Passwort-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
WEAK_SSH_PASSWORD Eine Ressource hat ein schwaches SSH-Passwort. Premium

Ergebnisse zu SQL-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.

Tabelle 15. SQL-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
AUTO_BACKUP_DISABLED In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert. Premium 10.2.1 CA-3 A.12.3.1
PUBLIC_SQL_INSTANCE Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen. Premium oder Standard 6.2 1.2.1 CA-3
SC-7
A.8.2.3
A.13.1.3
A.14.1.3
SSL_NOT_ENFORCED Eine Cloud SQL-Datenbankinstanz benötigt nicht alle eingehenden Verbindungen zur Verwendung von SSL. Premium oder Standard 6.1 2,3 SC-7 A.8.2.3
A.13.2.1
A.14.1.3
SQL_NO_ROOT_PASSWORD Eine Cloud SQL-Datenbank hat kein Passwort für das Root-Konto. Premium
SQL_WEAK_ROOT_PASSWORD In einer Cloud SQL-Datenbank ist ein schwaches Passwort für das Root-Konto konfiguriert. Premium

Ergebnisse zu Speichersicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.

Tabelle 16. Storage-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
BUCKET_POLICY_ONLY_DISABLED Uniform bucket-level access, zuvor Bucket Policy Only genannt, ist nicht konfiguriert. Premium
LOGGING_DISABLED Logging ist für einen Cloud Storage-Bucket deaktiviert. Premium
PUBLIC_BUCKET_ACL Ein Cloud Storage-Bucket ist öffentlich zugänglich. Premium oder Standard 5.1 7.1 AC-2 A.8.2.3
A.14.1.3

Ergebnisse zu Subnetzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.

Tabelle 17. Subnetzwerk-Scanner
Category Ergebnisbeschreibung Preisstufe CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
FLOW_LOGS_DISABLED Es gibt ein VPC-Subnetzwerk, in dem Flusslogs deaktiviert sind. Premium 3.9 SI-4 A.13.1.1
PRIVATE_GOOGLE_ACCESS_DISABLED Es gibt private Subnetze ohne Zugriff auf öffentliche Google APIs. Premium 3.8

Web Security Scanner-Ergebnisse

Im Folgenden finden Sie Typen, die von benutzerdefinierten und verwalteten Scans von Web Security Scanner identifiziert werden. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Tabelle 18. Web Security Scanner-Ergebnisse
Category Ergebnisbeschreibung CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Ein GIT-Repository ist öffentlich zugänglich. Um dieses Problem zu beheben, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository. A3
ACCESSIBLE_SVN_REPOSITORY Ein SVN-Repository ist öffentlich zugänglich. Um dieses Problem zu beheben, entfernen Sie den öffentlichen Zugriff auf das SVN-Repository. A3
CLEAR_TEXT_PASSWORD Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Problem zu beheben, verschlüsseln Sie das über das Netzwerk übertragene Passwort. A3
INVALID_CONTENT_TYPE Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Problem zu lösen, legen Sie für den HTTP-Header "X-Content-Type-Options" den richtigen Wert fest. A6
INVALID_HEADER Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest. A6
MISMATCHING_SECURITY_HEADER_VALUES Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest. A6
MISSPELLED_SECURITY_HEADER_NAME Ein Sicherheitsheader ist falsch geschrieben und wird ignoriert. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest. A6
MIXED_CONTENT Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden. A6
OUTDATED_LIBRARY Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben. A9
XSS Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Problem zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten. A7
XSS_ANGULAR_CALLBACK Ein vom Nutzer bereitgestellter String ist nicht maskiert und kann von AngularJS interpoliert werden. Um dieses Problem zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden. A7
XSS_ERROR Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Problem zu beheben, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten. A7

CIS-Benchmarks

Das Center for Internet Security (CIS) enthält die folgenden Benchmarks, die derzeit nicht von Web Security Scanner- oder Security Health Analytics-Detektoren unterstützt werden:

Tabelle 19. CIS-Benchmarks
Kategorie Ergebnisbeschreibung CIS GCP Foundation 1.0 NIST 800–53 ISO-27001
BASIC_AUTHENTICATION_ENABLED IAM oder Clientzertifikat-Authentifizierung sollte auf Kubernetes-Clustern aktiviert sein. 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED Kubernetes-Cluster sollten mit aktiviertem Clientzertifikat erstellt werden. 7.12
LABELS_NOT_USED Mit Labels können Zahlungsinformationen aufgeschlüsselt werden. 7.5
PUBLIC_STORAGE_OBJECT Die Speicherobjekt-ACL sollte nicht allUsers den Zugriff gewähren. 5,2
SQL_BROAD_ROOT_LOGIN Der Root-Zugriff auf eine SQL-Datenbank sollte auf als zulässig gelistete, vertrauenswürdige IP-Adressen beschränkt werden. 6.4

Nächste Schritte