Security Health Analytics- und Web Security Scanner-Detektoren generieren Ereignistypen für Sicherheitslücken, die in Security Command Center verfügbar sind.
Detektoren und Compliance
In den folgenden Tabellen werden die Detektortypen und bestimmte Ergebnistypen für Sicherheitslücken beschrieben, die Security Analytics und Web Security Scanner generieren können. Sie können Ergebnisse nach Detektorname und Ergebnistyp auf dem Tab für Sicherheitslücken in Security Command Center in der Google Cloud Console filtern.
Diese Tabellen enthalten eine Beschreibung der Zuordnung zwischen unterstützten Detektoren und der Best-Effort-Zuordnung zu relevanten Compliance-Systemen.
Die Zuordnungen von CIS Google Cloud Foundation 1.0 wurden vom Center for Internet Security auf die Übereinstimmung mit dem CIS Google Cloud Computing Foundations Benchmark v1.0.0 geprüft und zertifiziert. Zusätzliche Compliance-Zuordnungen sind zu Referenzzwecken enthalten und werden nicht vom Payment Card Industry Data Security Standard oder der OWASP Foundation bereitgestellt oder geprüft. Weitere Informationen finden Sie unter CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0), Payment Card Industry Data Security Standard 3.2.1 (PCI-DSS v3.2.1) OWASP Top Ten, National Institute of Standards and Technology 800-53 (NIST 800-53) und International Organization for Standardization 27001 (ISO 27001) zur manuellen Prüfung auf diese Verstöße.
Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienstleistungen gemäß aller regulatorischen oder branchenspezifischen Benchmarks oder Standards.
Security Health Analytics
Security Health Analytics-Detektoren identifizieren folgende Ereignistypen: Security Health Analytics unterstützt die Echtzeiterkennung mit einigen Ausnahmen.
Ergebnisse zur Bestätigung in zwei Schritten
Der Detektor 2SV_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit der Bestätigung in zwei Schritten für Nutzer.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
2SV_NOT_ENFORCED |
Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. | Premium oder Standard | 1.2 | 8.3 | IA-2 | A.9.4.2 |
Ergebnisse zu Sicherheitslücken beim API-Schlüssel
Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
API_KEY_APIS_UNRESTRICTED |
API-Schlüssel werden zu umfassend verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden. | Premium | 1.12 | ||||
API_KEY_APPS_UNRESTRICTED |
API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen. | Premium | 1.11 | ||||
API_KEY_EXISTS |
Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung. | Premium | 1.10 | ||||
API_KEY_NOT_ROTATED |
Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert. | Premium | 1.13 |
Ergebnisse zu Sicherheitslücken bei Compute-Images
Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
PUBLIC_COMPUTE_IMAGE |
Ein Compute Engine-Image ist öffentlich zugänglich. | Premium oder Standard |
Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.
Der COMPUTE_INSTANCE_SCANNER-Detektor erfasst keine Ergebnisse zu den von GKE erstellten Compute Engine-Instanzen. Diese Instanzen haben Namen, die mit „gke-“ beginnen und nicht direkt von Nutzern bearbeitet werden können. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist. | Premium | 4,2 | ||||
COMPUTE_SECURE_BOOT_DISABLED |
Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen. | Premium | |||||
COMPUTE_SERIAL_PORTS_ENABLED |
Serielle Ports sind für eine Instanz aktiviert, sodass Verbindungen zur seriellen Konsole der Instanz möglich sind. | Premium | 4.4 | ||||
DISK_CSEK_DISABLED |
Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEK) verschlüsselt. Für diesen Detektor ist eine zusätzliche Konfiguration erforderlich. Wenden Sie die Sicherheitsmarkierung
enforce_customer_supplied_disk_encryption_keys mit dem Wert true auf die Assets an, die Sie überwachen möchten, um diesen Detektor zu aktivieren.
|
Premium | 4.6 | ||||
FULL_API_ACCESS |
Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet. | Premium | 4.1 | 7.1.2 | AC-6 | A.9.2.3 | |
HTTP_LOAD_BALANCER |
Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist. | Premium | 2.3 | ||||
IP_FORWARDING_ENABLED |
Die IP-Weiterleitung ist für Instanzen aktiviert. | Premium | 4.5 | ||||
OS_LOGIN_DISABLED |
OS Login ist für diese Instanz deaktiviert. | Premium | 4.3 | ||||
PUBLIC_IP_ADDRESS |
Eine Instanz hat eine öffentliche IP-Adresse. | Premium oder Standard |
1.2.1
1.3.5 |
CA-3
SC-7 |
|||
WEAK_SSL_POLICY |
Eine Instanz hat eine schwache SSL-Richtlinie. | Premium | 4.1 | SC-7 | A.14.1.3 |
Ergebnisse zu Container-Sicherheitslücken
Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
AUTO_REPAIR_DISABLED |
Das Feature für automatische Reparaturen von GKE-Clustern, die Knoten in einem fehlerfreien, laufenden Zustand beibehält, ist deaktiviert. | Premium | 7.7 | 2.2 | |||
AUTO_UPGRADE_DISABLED |
Das Feature für automatische Upgrades von GKE-Clustern, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert. | Premium | 7.8 | 2.2 | |||
CLUSTER_LOGGING_DISABLED |
Logging ist für einen GKE-Cluster nicht aktiviert. | Premium | 7.1 |
10.2.2
10.2.7 |
|||
CLUSTER_MONITORING_DISABLED |
Cloud Monitoring ist für GKE-Cluster deaktiviert. | Premium | 7.2 |
10.1
10.2 |
|||
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Clusterhosts sind nicht so konfiguriert, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden. | Premium | 7.1 | 1.3 | |||
COS_NOT_USED |
Compute Engine-VMs nutzen nicht das Container-Optimzed OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde. | Premium | 7.9 | 2.2 | |||
IP_ALIAS_DISABLED |
Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt. | Premium | 7.1 |
1.3.4
1.3.7 |
|||
LEGACY_AUTHORIZATION_ENABLED |
Die Legacy-Autorisierung ist für GKE-Cluster aktiviert. | Premium | 7.3 | 4.1 | |||
LEGACY_METADATA_ENABLED |
Legacy-Metadaten sind für GKE-Cluster aktiviert. | Premium | |||||
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Autorisierte Masternetzwerke sind auf GKE-Clustern nicht aktiviert. | Premium | 7.4 |
1.2.1
1.3.2 |
|||
NETWORK_POLICY_DISABLED |
Die Netzwerkrichtlinie ist auf GKE-Clustern deaktiviert. | Premium | 7.1 | 1.3 | SC-7 | A.13.1.1 | |
OVER_PRIVILEGED_ACCOUNT |
Ein Dienstkonto hat in einem Cluster übermäßigen Projektzugriff. | Premium | 7.1 |
2.1
7.1.2 |
AC-6
SC-7 |
A.9.2.3 | |
OVER_PRIVILEGED_SCOPES |
Ein Knotendienstkonto hat übermäßige Zugriffsbereiche. | Premium | 7.1 | ||||
POD_SECURITY_POLICY_DISABLED |
PodSecurityPolicy ist auf einem GKE-Cluster deaktiviert. |
Premium | 7.1 | ||||
PRIVATE_CLUSTER_DISABLED |
Auf einem GKE-Cluster ist ein privater Cluster deaktiviert. | Premium | 7.1 | 1.3.2 | |||
WEB_UI_ENABLED |
Die GKE-Web-UI (Dashboard) ist aktiviert. | Premium oder Standard | 7.6 | 6.6 | |||
WORKLOAD_IDENTITY_DISABLED |
Workload Identity ist auf einem GKE-Cluster deaktiviert. | Premium |
Ergebnisse zu Dataset-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
PUBLIC_DATASET |
Ein Dataset ist für den öffentlichen Zugriff freigegeben. | Premium | 7.1 | AC-2 |
A.8.2.3
A.14.1.3 |
Ergebnisse zu DNS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
DNSSEC_DISABLED |
DNSSEC ist für Cloud DNS-Zonen deaktiviert. | Premium | 3,3 | A.8.2.3 | |||
RSASHA1_FOR_SIGNING |
RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet. | Premium |
3.4
3.5 |
Ergebnisse zu Firewall-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
EGRESS_DENY_RULE_NOT_SET |
In einer Firewall ist keine Regel zum Ablehnen von ausgehendem Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren. | Premium | 7.2 | ||||
FIREWALL_RULE_LOGGING_DISABLED |
Firewallregel-Logging ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können | Premium |
10.1
10.2 |
SI-4 | A.13.1.1 | ||
OPEN_CASSANDRA_PORT |
Eine Firewall ist für einen offenen CASSANDRA-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_CISCOSECURE_WEBSM_PORT |
Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_DIRECTORY_SERVICES_PORT |
Eine Firewall ist für einen offenen DIRECTORY_SERVICES-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_DNS_PORT |
Eine Firewall ist für einen offenen DNS-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_ELASTICSEARCH_PORT |
Eine Firewall ist für einen offenen ELASTICSEARCH-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_FIREWALL |
Eine Firewall ist für den öffentlichen Zugriff konfiguriert. | Premium oder Standard | 1.2.1 | ||||
OPEN_FTP_PORT |
Eine Firewall ist für einen offenen FTP-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_HTTP_PORT |
Eine Firewall ist für einen offenen HTTP-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_LDAP_PORT |
Eine Firewall ist für einen offenen LDAP-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_MEMCACHED_PORT |
Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_MONGODB_PORT |
Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_MYSQL_PORT |
Eine Firewall ist für einen offenen MYSQL-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_NETBIOS_PORT |
Eine Firewall ist für einen offenen NETBIOS-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_ORACLEDB_PORT |
Eine Firewall ist für einen offenen ORACLEDB-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_POP3_PORT |
Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_POSTGRESQL_PORT |
Eine Firewall ist für einen offenen POSTGRESQL-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_RDP_PORT |
Eine Firewall ist für einen offenen SSH-Port mit generischem Zugriff konfiguriert. | Premium oder Standard | 3,7 | 1.2.1 | SC-7 | A.13.1.1 | |
OPEN_REDIS_PORT |
Eine Firewall ist für einen offenen REDIS-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_SMTP_PORT |
Eine Firewall ist für einen offenen SMTP-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_SSH_PORT |
Eine Firewall ist für einen offenen SSH-Port mit generischem Zugriff konfiguriert. | Premium oder Standard | 3,6 | 1.2.1 | SC-7 | A.13.1.1 | |
OPEN_TELNET_PORT |
Eine Firewall ist für einen offenen TELNET-Port mit generischem Zugriff konfiguriert. | Premium | 1.2.1 | SC-7 | A.13.1.1 |
Ergebnisse zu IAM-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
ADMIN_SERVICE_ACCOUNT |
Ein Dienstkonto hat Administrator-, Inhaber- oder Bearbeiterrechte. Diese Rollen sollten keinen von Nutzern erstellten Dienstkonten zugewiesen werden. | Premium | 1.4 | ||||
KMS_ROLE_SEPARATION |
Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Rollen hat: Cloud KMS-CryptoKey-Verschlüsseler/Entschlüsseler (Cloud Key Management Service), Verschlüsseler oder Entschlüsseler. | Premium | 1.9 | AC-5 |
A.9.2.3
A.10.1.2 |
||
NON_ORG_IAM_MEMBER |
Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 wird dieser Detektor derzeit nur von Identitäten mit @gmail.com-E-Mail-Adressen ausgelöst. | Premium oder Standard | 1.1 | 7.1.2 | AC-3 | A.9.2.3 | |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Ein Nutzer hat die Rolle „Dienstkontonutzer“ oder „Dienstkonto-Token-Ersteller“ auf Projektebene, statt für ein bestimmtes Dienstkonto. | Premium | 1.5 | 7.1.2 | AC-6 | A.9.2.3 | |
PRIMITIVE_ROLES_USED |
Ein Nutzer hat die einfache Rolle "Inhaber", "Autor" oder "Leser". Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden. | Premium | 7.1.2 | AC-6 | A.9.2.3 | ||
REDIS_ROLE_USED_ON_ORG |
Eine Redis-IAM-Rolle wird auf der Organisations- oder Ordnerebene zugewiesen. | Premium | 7.1.2 | A.9.2.3 | |||
SERVICE_ACCOUNT_ROLE_SEPARATION |
Einem Nutzer wurden die Rollen "Dienstkontoadministrator" und "Dienstkontonutzer" zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung". | Premium | 1.7 | AC-5 | A.9.2.3 | ||
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. | Premium | 1.6 | ||||
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Ein Dienstkontoschlüssel wird von einem Nutzer verwaltet. | Premium | 1.3 |
Ergebnisse zu KMS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
KMS_KEY_NOT_ROTATED |
Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Schlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden | Premium | 1.8 | 3.5 | SC-12 | A.10.1.2 | |
KMS_PROJECT_HAS_OWNER |
Ein Nutzer hat Inhaberberechtigungen für ein Projekt mit kryptografischen Schlüsseln. | Premium | 3.5 |
AC-6
SC-12 |
A.9.2.3
A.10.1.2 |
||
TOO_MANY_KMS_USERS |
Es gibt mehr als drei Nutzer kryptografischer Schlüssel. | Premium | 3.5.2 | A.9.2.3 |
Ergebnisse zu Logging-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
AUDIT_LOGGING_DISABLED |
Audit-Logging wurde für diese Ressource deaktiviert. | Premium | 2.1 |
10.1
10.2 |
AC-2
AU-2 |
A.12.4.1
A.16.1.7 |
|
BUCKET_LOGGING_DISABLED |
Es ist ein Storage-Bucket vorhanden, für den kein Logging aktiviert ist. | Premium | 5.3 | ||||
LOG_NOT_EXPORTED |
Es ist eine Ressource vorhanden, für die keine entsprechende Logsenke konfiguriert wurde. | Premium | 2.2 | A.18.1.3 | |||
LOCKED_RETENTION_POLICY_NOT_SET |
Für ein Log ist keine gesperrte Aufbewahrungsrichtlinie festgelegt. | Premium | 10.5 | AU-11 |
A.12.4.2
A.18.1.3 |
||
OBJECT_VERSIONING_DISABLED |
Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert. | Premium | 2.3 | 10.5 | AU-11 |
A.12.4.2
A.18.1.3 |
Ergebnisse zu Monitoring-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:
- Den
RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll. - Die
QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken. - Die
AlertPolicyFailureReasons, die angeben, ob für das Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder ob die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
AUDIT_CONFIG_NOT_MONITORED |
Logmesswerte und Benachrichtigungen sind nicht so konfiguriert, dass Änderungen an der Audit-Konfiguration überwacht werden. | Premium | 2,5 | ||||
BUCKET_IAM_NOT_MONITORED |
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud Storage-IAM-Berechtigungen konfiguriert. | Premium | 2.10 | ||||
CUSTOM_ROLE_NOT_MONITORED |
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an benutzerdefinierten Rollen konfiguriert. | Premium | 2,6 | ||||
FIREWALL_NOT_MONITORED |
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an den VPC-Netzwerk-Firewallregeln konfiguriert. | Premium | 2.7 | ||||
NETWORK_NOT_MONITORED |
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert. | Premium | 2.9 | ||||
OWNER_NOT_MONITORED |
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert. | Premium | 2.4 | ||||
ROUTE_NOT_MONITORED |
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert. | Premium | 2,8 | ||||
SQL_INSTANCE_NOT_MONITORED |
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der Konfiguration von Cloud SQL-Instanzen konfiguriert. | Premium | 2.11 |
Ergebnisse zu Netzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
DEFAULT_NETWORK |
Das Standardnetzwerk ist in einem Projekt vorhanden. | Premium | 3.1 | ||||
LEGACY_NETWORK |
Ein Legacy-Netzwerk ist in einem Projekt vorhanden. | Premium | 3.2 |
Ergebnisse zu Sicherheitslücken in der ORG-Richtlinie
Sicherheitslücken dieses Detektortyps beziehen sich jeweils auf die Konfiguration von Organisationsrichtlinien und gehören dem Typ ORG_POLICY an.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
ORG_POLICY_CONFIDENTIAL_VM_POLICY |
Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Organisationsrichtlinieneinschränkung finden Sie unter
Einschränkungen für Organisationsrichtlinien erzwingen in der Dokumentation zu vertraulichen VM.
|
Premium |
Ergebnisse zu SQL-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
AUTO_BACKUP_DISABLED |
In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert. | Premium | CP-9 | A.12.3.1 | |||
PUBLIC_SQL_INSTANCE |
Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen. | Premium oder Standard | 6.2 | 1.2.1 |
CA-3
SC-7 |
A.8.2.3
A.13.1.3 A.14.1.3 |
|
SSL_NOT_ENFORCED |
Eine Cloud SQL-Datenbankinstanz benötigt nicht alle eingehenden Verbindungen zur Verwendung von SSL. | Premium oder Standard | 6.1 | 4.1 | SC-7 |
A.8.2.3
A.13.2.1 A.14.1.3 |
|
SQL_NO_ROOT_PASSWORD |
Eine Cloud SQL-Datenbank hat kein Passwort für das Root-Konto. | Premium | 6.3 | 2.1 | AC-3 |
A.8.2.3
A.9.4.2 |
|
SQL_PUBLIC_IP |
Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse. | Premium | |||||
SQL_WEAK_ROOT_PASSWORD |
In einer Cloud SQL-Datenbank ist ein schwaches Passwort für das Root-Konto konfiguriert. | Premium |
Ergebnisse zu Speichersicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
BUCKET_POLICY_ONLY_DISABLED |
Uniform bucket-level access, zuvor Bucket Policy Only genannt, ist nicht konfiguriert. |
Premium | |||||
PUBLIC_BUCKET_ACL |
Ein Cloud Storage-Bucket ist öffentlich zugänglich. | Premium oder Standard | 5.1 | 7.1 | AC-2 |
A.8.2.3
A.14.1.3 |
|
PUBLIC_LOG_BUCKET |
Als Logsenken verwendete Storage-Buckets sollten nicht öffentlich zugänglich sein. | Premium oder Standard | 10.5 | AU-9 |
A.8.2.3
A.12.4.2 A.18.1.3 |
Ergebnisse zu Subnetzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.
| Kategorie | Ergebnisbeschreibung | Preisstufe | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
FLOW_LOGS_DISABLED |
Es gibt ein VPC-Subnetzwerk, in dem Flusslogs deaktiviert sind. | Premium | 3.9 |
10.1
10.2 |
SI-4 | A.13.1.1 | |
PRIVATE_GOOGLE_ACCESS_DISABLED |
Es gibt private Subnetze ohne Zugriff auf öffentliche Google APIs. | Premium | 3.8 |
Web Security Scanner-Ergebnisse
Im Folgenden finden Sie Typen, die von benutzerdefinierten und verwalteten Scans von Web Security Scanner identifiziert werden. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.
| Category | Ergebnisbeschreibung | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|---|---|
ACCESSIBLE_GIT_REPOSITORY |
Ein GIT-Repository ist öffentlich zugänglich. Um dieses Problem zu beheben, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository. | A3 | ||||
ACCESSIBLE_SVN_REPOSITORY |
Ein SVN-Repository ist öffentlich zugänglich. Um dieses Problem zu beheben, entfernen Sie den öffentlichen Zugriff auf das SVN-Repository. | A3 | ||||
CLEAR_TEXT_PASSWORD |
Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Problem zu beheben, verschlüsseln Sie das über das Netzwerk übertragene Passwort. | A3 | ||||
INVALID_CONTENT_TYPE |
Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Problem zu lösen, legen Sie für den HTTP-Header "X-Content-Type-Options" den richtigen Wert fest. | A6 | ||||
INVALID_HEADER |
Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest. | A6 | ||||
MISMATCHING_SECURITY_HEADER_VALUES |
Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest. | A6 | ||||
MISSPELLED_SECURITY_HEADER_NAME |
Ein Sicherheitsheader ist falsch geschrieben und wird ignoriert. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest. | A6 | ||||
MIXED_CONTENT |
Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden. | A6 | ||||
OUTDATED_LIBRARY |
Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben. | A9 | ||||
XSS |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Problem zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten. | A7 | ||||
XSS_ANGULAR_CALLBACK |
Ein vom Nutzer bereitgestellter String ist nicht maskiert und kann von AngularJS interpoliert werden. Um dieses Problem zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden. | A7 | ||||
XSS_ERROR |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Problem zu beheben, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten. | A7 |
CIS-Benchmarks
Das Center for Internet Security (CIS) enthält die folgenden Benchmarks, die derzeit nicht von Web Security Scanner- oder Security Health Analytics-Detektoren unterstützt werden:
| Kategorie | Ergebnisbeschreibung | CIS GCP Foundation 1.0 | NIST 800–53 | ISO-27001 |
|---|---|---|---|---|
BASIC_AUTHENTICATION_ENABLED |
IAM oder Clientzertifikat-Authentifizierung sollte auf Kubernetes-Clustern aktiviert sein. | 7.10 | ||
CLIENT_CERT_AUTHENTICATION_DISABLED |
Kubernetes-Cluster sollten mit aktiviertem Clientzertifikat erstellt werden. | 7.12 | ||
LABELS_NOT_USED |
Mit Labels können Zahlungsinformationen aufgeschlüsselt werden. | 7.5 | ||
PUBLIC_STORAGE_OBJECT |
Die Speicherobjekt-ACL sollte nicht allUsers den Zugriff gewähren. | 5,2 | ||
SQL_BROAD_ROOT_LOGIN |
Der Root-Zugriff auf eine SQL-Datenbank sollte auf als zulässig gelistete, vertrauenswürdige IP-Adressen beschränkt werden. | 6.4 |
Nächste Schritte
- Informationen zur Verwendung von Security Health Analytics und zur Verwendung von Web Security Scanner
- Vorschläge zur Behebung von Security Health Analytics-Ergebnissen und zur Behebung von Web Security Scanner-Ergebnissen