Detektoren für Security Health Analytics und Web Security Scanner erzeugen Sicherheitslücken, die in Security Command Center verfügbar sind.
Detektoren und Compliance
In den folgenden Tabellen werden die Detektortypen und die gefundenen Sicherheitslücken beschrieben, die von Security Health Analytics und Web Security Scanner generiert werden können. Sie können Ergebnisse nach Detektorname und Ergebnistyp auf dem Tab für Sicherheitslücken in Security Command Center in der Google Cloud Console filtern.
Diese Tabellen enthalten eine Beschreibung der Zuordnung zwischen unterstützten Detektoren und der Best-Effort-Zuordnung zu relevanten Compliance-Systemen.
Die Zuordnungen von CIS Google Cloud Foundation 1.0 wurden vom Center for Internet Security auf die Übereinstimmung mit dem CIS Google Cloud Computing Foundations Benchmark v1.0.0 geprüft und zertifiziert. Zusätzliche Compliance-Zuordnungen sind zu Referenzzwecken enthalten und werden nicht vom Payment Card Industry Data Security Standard oder der OWASP Foundation bereitgestellt oder geprüft. Weitere Informationen finden Sie unter CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0), Payment Card Industry Data Security Standard 3.2.1 (PCI-DSS v3.2.1) OWASP Top Ten, National Institute of Standards and Technology 800-53 (NIST 800-53) und International Organization for Standardization 27001 (ISO 27001) zur manuellen Prüfung auf diese Verstöße.
Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienstleistungen gemäß aller regulatorischen oder branchenspezifischen Benchmarks oder Standards.
Security Health Analytics
Detektoren für Sicherheitsintegritäts-Analysen überwachen eine Teilmenge von Ressourcen aus dem Cloud Asset Inventory (CAI), um Benachrichtigungen zu Änderungen der Ressourcen- und Identitäts- und Zugriffsverwaltung (IAM) zu erhalten. Einige Detektoren rufen Daten ab, indem sie Google Cloud APIs direkt aufrufen, wie in den Tabellen später auf dieser Seite angegeben.
Security Health Analytics-Scans werden in drei Modi ausgeführt:
Batch Scan:Alle Detektoren werden für ein registriertes Konto mindestens zweimal pro Tag ausgeführt. Detektoren werden in unterschiedlichen Zeitplänen ausgeführt, um bestimmte Service Level Objectives (SLO) zu erreichen. Zur Erfüllung einer SLO von 12 und 24 Stunden führen die Detektoren Batch-Scans alle sechs Stunden oder zwölf Stunden aus. Ressourcen- und Richtlinienänderungen, die zwischen den Batch-Scans auftreten, werden nicht sofort erfasst und beim nächsten Batch-Scan angewendet. Hinweis: Batch-Scanpläne sind Leistungsziele, keine Dienstgarantien.
Echtzeit-Scan:Unterstützte Detektoren starten Scans, wenn CAI eine Änderung in der Konfiguration eines Assets meldet. Die Ergebnisse werden sofort in Security Command Center geschrieben.
Gemischter Modus:Bei einigen Detektoren, die Echtzeitscans unterstützen, werden Änderungen in allen unterstützten Assets möglicherweise nicht in Echtzeit erkannt. In diesen Fällen werden Konfigurationsänderungen für einige Assets sofort erfasst und andere in Batch-Scans erfasst. Ausnahmen sind in den Tabellen auf dieser Seite aufgeführt.
In den folgenden Tabellen werden Sicherheitsprüfer von Security Health Analytics, die unterstützten Assets und Compliance-Regimes, die Einstellungen für Scans und die gefundenen Ergebnistypen beschrieben. Anleitungen zum Beheben von Problemen und zum Schutz Ihrer Ressourcen finden Sie unter Ergebnisse von Security Health Analytics beheben.
Ergebnisse zu Sicherheitslücken beim API-Schlüssel
Der Detektor API_KEY_SCANNER
identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
API_KEY_APIS_UNRESTRICTED
|
Finding description (Beschreibung der Suche): Es gibt zu weit gefasste API-Schlüssel. Um dieses Problem zu beheben, begrenzen Sie die Nutzung der API-Schlüssel, damit nur die von der Anwendung benötigten APIs zugelassen werden. Preisstufe: Premium
Unterstützte Assets |
Ruft das Attribut
|
CIS GCP Foundation 1.0: 1,12 |
API_KEY_APPS_UNRESTRICTED
|
Beschreibung suchen:API-Schlüssel werden uneingeschränkt verwendet, um die Verwendung durch eine nicht vertrauenswürdige Anwendung zu ermöglichen. Preisstufe: Premium
Unterstützte Assets |
Ruft das Attribut
|
CIS GCP Foundation 1.0: 1.11 |
API_KEY_EXISTS
|
Finding description (Beschreibung der Suche): Ein Projekt verwendet API-Schlüssel anstelle der Standardauthentifizierung. Preisstufe: Premium
Unterstützte Assets |
Ruft alle API-Schlüssel eines Projekts ab.
|
CIS GCP Foundation 1.0: 1,10 |
API_KEY_NOT_ROTATED
|
Finding description (Beschreibung der Suche): Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets |
Ruft den Zeitstempel im Attribut
|
CIS GCP Foundation 1.0: 1,13 |
Ergebnisse zu Sicherheitslücken bei Compute-Images
Der Detektor COMPUTE_IMAGE_SCANNER
identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
PUBLIC_COMPUTE_IMAGE
|
Beschreibung finden: Ein Compute Engine-Image ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets |
Prüft die IAM-Richtlinie in den Ressourcenmetadaten für öffentliche Mitglieder,
|
Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
Der COMPUTE_INSTANCE_SCANNER
-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.
COMPUTE_INSTANCE_SCANNER
-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Die Namen dieser Instanzen beginnen mit "gke-", das Nutzer nicht bearbeiten können. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
|
Beschreibung suchen: Projektweite SSH-Schlüssel werden verwendet, wodurch eine Anmeldung für alle Instanzen im Projekt möglich ist. Preisstufe: Premium
Unterstützte Assets |
Prüft das Objekt
|
CIS GCP Foundation 1.0: 4.2 |
COMPUTE_SECURE_BOOT_DISABLED
|
Finding description (Beschreibung der Beschreibung): Für diese Shielded VM ist Secure Boot nicht aktiviert. Secure Boot schützt VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits. Preisstufe: Premium Unterstützte Assets |
Prüft das Attribut
|
|
COMPUTE_SERIAL_PORTS_ENABLED
|
Beschreibung der Beschreibung:serielle Ports sind für eine Instanz aktiviert, die Verbindungen zur seriellen Konsole der Instanz zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Objekt
|
CIS GCP Foundation 1.0: 4.4 |
DEFAULT_SERVICE_ACCOUNT_USED
|
Finding description (Beschreibung der Suche): Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto verwendet. Preisstufe: Premium
Unterstützte Assets |
Überprüft das Attribut
|
|
DISK_CMEK_DISABLED
|
Finding description (Beschreibung der Suche): Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite unter Detektoren für Sicherheitsintegrität aktivieren. Preisstufe: Premium
Unterstützte Assets |
Prüft das Feld
|
|
DISK_CSEK_DISABLED
|
Finding description (Beschreibung der Suche): Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer Supplied Encryption Keys, CSEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung finden Sie unter Detektor aktivieren. Preisstufe: Premium
Unterstützte Assets |
Prüft das Feld
|
CIS GCP Foundation 1.0: 4.6 |
FULL_API_ACCESS
|
Finding description (Beschreibung der Suche): Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit Vollzugriff auf alle Google Cloud APIs verwendet. Preisstufe: Premium
Unterstützte Assets |
Ruft das Feld
|
CIS GCP Foundation 1.0: 4.1 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3 |
HTTP_LOAD_BALANCER
|
Finding description (Beschreibung der Suche): Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist. Preisstufe: Premium
Unterstützte Assets |
Bestimmt, ob das Attribut
|
PCI-DSS v3.2.1: 2.3 |
IP_FORWARDING_ENABLED
|
Finding description (Beschreibung der Suche): IP-Weiterleitung ist für Instanzen aktiviert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut
|
CIS GCP Foundation 1.0: 4.5 |
OS_LOGIN_DISABLED
|
Finding description (Beschreibung der Suche): OS Login ist für diese Instanz deaktiviert. Preisstufe: Premium
Unterstützte Assets |
Überprüft das Objekt
|
CIS GCP Foundation 1.0: 4.3 |
PUBLIC_IP_ADDRESS
|
Beschreibung der Instanz:Eine Instanz hat eine öffentliche IP-Adresse. Preisstufe: Premium oder Standard
Unterstützte Assets |
Überprüft, ob das Attribut
|
PCI-DSS v3.2.1: 1.2.1, 1.1.3.5 NIST 800-53: CA-3, SC-7 |
SHIELDED_VM_DISABLED
|
Finding description: Shielded VM ist für diese Instanz deaktiviert. Preisstufe: Premium
Unterstützte Assets |
Überprüft das Attribut
|
|
WEAK_SSL_POLICY
|
Beschreibung suchen:Eine Instanz hat eine schwache SSL-Richtlinie. Preisstufe: Premium
Unterstützte Assets |
Überprüft, ob
|
PCI-DSS v3.2.1: 4,1 NIST 800-53: SC-7 ISO-27001: A.14.1.3 |
Ergebnisse zu Container-Sicherheitslücken
Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER
.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
AUTO_REPAIR_DISABLED
|
Finding description (Beschreibung der Beschreibung): Ein Feature zur automatischen Reparatur von GKE-Clustern, mit dem Knoten in einem fehlerfreien Zustand ausgeführt werden, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets |
Überprüft das
|
CIS GCP Foundation 1.0: 7,7 PCI-DSS v3.2.1: 2.2 |
AUTO_UPGRADE_DISABLED
|
Finding description (Beschreibung suchen): Die Funktion für automatische Upgrades eines GKE-Clusters, die Cluster und Knotenpools auf der neuesten stabilen Version von Kubernetes deaktiviert, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets |
Überprüft das
|
CIS GCP Foundation 1.0: 7,8 PCI-DSS v3.2.1: 2.2 |
CLUSTER_LOGGING_DISABLED
|
Finding description (Beschreibung suchen): Logging ist für GKE-Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets |
Überprüft, ob das Attribut
|
CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 10.2.2.2, 10.2.7 |
CLUSTER_MONITORING_DISABLED
|
Finding description (Beschreibung suchen): Monitoring ist für GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets |
Überprüft, ob das Attribut
|
CIS GCP Foundation 1.0: 7.2 PCI-DSS v3.2.1: 10.1, 10.2 |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
|
Finding description (Beschreibung der Suche): Clustercluster sind nicht so konfiguriert, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut
|
CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3 |
COS_NOT_USED
|
Beschreibung finden: Compute Engine-VMs nutzen nicht das Container-Optimized OS, das für die sichere Ausführung von Docker-Containern in Google Cloud ausgelegt ist. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
CIS GCP Foundation 1.0: 7.9 PCI-DSS v3.2.1: 2.2 |
IP_ALIAS_DISABLED
|
Finding description (Beschreibung der Suche): Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Feld
|
CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3.4, 1.1.7 |
LEGACY_AUTHORIZATION_ENABLED
|
Finding description (Beschreibung der Suche): Die Legacy-Autorisierung ist für GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
CIS GCP Foundation 1.0: 7.3 PCI-DSS v3.2.1: 4,1 |
LEGACY_METADATA_ENABLED
|
Finding description (Beschreibung der Suche): Legacy-Metadaten sind für GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
|
MASTER_AUTHORIZED_NETWORKS_DISABLED
|
Finding description (Autorisierte Beschreibung): Master autorisierte Netzwerke sind auf GKE-Clustern nicht aktiviert. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
CIS GCP Foundation 1.0: 7.4 PCI-DSS v3.2.1: 1.2.1, 1.3.2 |
NETWORK_POLICY_DISABLED
|
Finding description (Beschreibung der Suche): Die Netzwerkrichtlinie ist für GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets |
Prüft das Feld
|
CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
NODEPOOL_BOOT_CMEK_DISABLED
|
Finding description (Beschreibung der Beschreibung): Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung finden Sie weiter unten auf dieser Seite unter Sicherheitsintegritäts-Analytics-Detektoren aktivieren. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
|
OVER_PRIVILEGED_ACCOUNT
|
Beschreibung suchen:Ein Dienstkonto hat zu viele Projektzugriffe in einem Cluster. Preisstufe: Premium
Unterstützte Assets |
Wertet das Attribut
|
CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 2.1, 7.1.2 NIST 800-53: AC-6, SC-7 ISO-27001: A.9.2.3 |
OVER_PRIVILEGED_SCOPES
|
Beschreibung finden:Ein Knotendienstkonto hat breite Zugriffsbereiche. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob der im Attribut config.oauthScopes eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich für Dienstkonten ist: https://www.googleapis.com/auth/devstorage.read_only , https://www.googleapis.com/auth/logging.write , oder https://www.googleapis.com/auth/monitoring .
|
CIS GCP Foundation 1.0: 7.1 |
POD_SECURITY_POLICY_DISABLED
|
Finding description (Beschreibung der Suche): PodSecurityPolicy ist auf einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
CIS GCP Foundation 1.0: 7.1 |
PRIVATE_CLUSTER_DISABLED
|
Beschreibung finden: In einem GKE-Cluster ist ein privater Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Feld
|
CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3.2 |
WEB_UI_ENABLED
|
Finding description (Beschreibung der Suche): Die GKE-Web-UI (Dashboard) ist aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets |
Prüft das Feld
|
CIS GCP Foundation 1.0: 7,6 PCI-DSS v3.2.1: 6,6 |
WORKLOAD_IDENTITY_DISABLED
|
Finding description: Workload Identity ist auf einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut
|
Ergebnisse zu Dataset-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER
.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
PUBLIC_DATASET
|
Finding description (Beschreibung der Suche): Ein Dataset ist so konfiguriert, dass es öffentlich zugänglich ist. Preisstufe: Premium
Unterstützte Assets |
Prüft die IAM-Richtlinie in den Ressourcenmetadaten für öffentliche Mitglieder
|
PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3, A.14.1.3 |
Ergebnisse zu DNS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER
.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
DNSSEC_DISABLED
|
Finding description (Beschreibung der Suche): DNSSEC ist für Cloud DNS-Zonen deaktiviert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Feld
|
CIS GCP Foundation 1.0: 3.3 ISO-27001: A.8.2.3 |
RSASHA1_FOR_SIGNING
|
Finde description (Beschreibung der Beschreibung): RSASHA1 wird für die Schlüsselsignatur in Cloud DNS-Zonen verwendet. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das
|
CIS GCP Foundation 1.0: 3.4, 3.5 |
Ergebnisse zu Firewall-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER
.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
EGRESS_DENY_RULE_NOT_SET
|
Finding description (Beschreibung der Beschreibung): Eine Firewallregel für ausgehenden Traffic wird nicht für eine Firewall festgelegt. Regeln für abzulehnenden ausgehenden Traffic sollten blockiert werden, um unerwünschten ausgehenden Traffic zu blockieren. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut
|
PCI-DSS v3.2.1: 7.2 |
FIREWALL_RULE_LOGGING_DISABLED
|
Finding description (Beschreibung der Suche): Firewallregel-Logging ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können. Preisstufe: Premium
Unterstützte Assets |
Überprüft das Attribut
|
PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: SI-4 ISO-27001: A.13.1.1 |
OPEN_CASSANDRA_PORT
|
Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen CASSANDRA-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_CISCOSECURE_WEBSM_PORT
|
Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen CISCOSECURE_WEBSM-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_DIRECTORY_SERVICES_PORT
|
Finding description: Eine Firewall ist so konfiguriert, dass sie einen offenen DIRECTORY_DIENST-Ports hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_DNS_PORT
|
Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen DNS-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_ELASTICSEARCH_PORT
|
Finding description (Beschreibung der Suche): Eine Firewall ist so konfiguriert, dass ein offener ELASTICSEARCH-Port vorhanden ist, der den allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_FIREWALL
|
Beschreibung finden: Eine Firewall ist so konfiguriert, dass sie für den öffentlichen Zugriff geöffnet ist. Preisstufe: Premium oder Standard
Unterstützte Assets |
Prüft, ob der
| PCI-DSS v3.2.1: 1.2.1 |
OPEN_FTP_PORT
|
Beschreibung finden:Eine Firewall ist so konfiguriert, dass sie einen offenen FTP-Port hat, der den allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_HTTP_PORT
|
Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_LDAP_PORT
|
Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_MEMCACHED_PORT
|
Finding description (Beschreibung der Suche): Eine Firewall ist so konfiguriert, dass sie einen offenen MENCACHE-Port hat, der den allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_MONGODB_PORT
|
Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen MOGODB-Port hat, der den allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_MYSQL_PORT
|
Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen MYSQL-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_NETBIOS_PORT
|
Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_ORACLEDB_PORT
|
Beschreibung finden:Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_POP3_PORT
|
Beschreibung suchen:Eine Firewall ist so konfiguriert, dass sie einen offenen POP3-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_POSTGRESQL_PORT
|
Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_RDP_PORT
|
Beschreibung suchen:Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets |
Prüft das Attribut
|
CIS GCP Foundation 1.0: 3.7 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_REDIS_PORT
|
Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Überprüft, ob das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_SMTP_PORT
|
Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Überprüft, ob das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_SSH_PORT
|
Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets |
Überprüft, ob das Attribut
|
CIS GCP Foundation 1.0: 3.6 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
OPEN_TELNET_PORT
|
Beschreibung finden:Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets |
Überprüft, ob das Attribut
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Ergebnisse zu IAM-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER
.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
ADMIN_SERVICE_ACCOUNT
|
Beschreibung finden:Ein Dienstkonto hat die Berechtigungen Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht vom Nutzer erstellten Dienstkonten zugewiesen werden. Preisstufe: Premium
Unterstützte Assets |
Prüft die IAM-Richtlinie in den Ressourcenmetadaten für alle von Nutzern erstellten Dienstkonten. Dies wird durch das Präfix iam.gserviceaccount.com gekennzeichnet. werden
|
CIS GCP Foundation 1.0: 1.4 |
KMS_ROLE_SEPARATION
|
Finding description (Beschreibung der Beschreibung): Die Aufgabentrennung wird nicht erzwungen und ein Nutzer hat eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) gleichzeitig: CryptoKey Encrypter/Decrypter, Encrypter oder Decrypter Preisstufe: Premium
Unterstützte Assets |
Prüft IAM-Richtlinien in Ressourcenmetadaten und ruft gleichzeitig Mitglieder mit einer der folgenden Rollen ab: roles/cloudkms.cryptoKeyEncrypterDecrypter , roles/cloudkms.cryptoKeyEncrypter und roles/cloudkms.cryptoKeyDecrypter ,
roles/cloudkms.signer ,
roles/cloudkms.signerVerifier ,
roles/cloudkms.publicKeyViewer .
|
CIS GCP Foundation 1.0: 1,9 NIST 800-53: AC-5 ISO-27001: A.9.2.3, A.10.1.2 |
NON_ORG_IAM_MEMBER
|
Beschreibung der Suche:Es gibt einen Nutzer, der keine Organisationsdaten verwendet. Laut CIS GCP Foundations 1.0 wird dieser Detektor nur von Identitäten mit @gmail.com-E-Mail-Adressen ausgelöst. Preisstufe: Premium oder Standard
Unterstützte Assets |
Vergleicht die E-Mail-Adressen der @gmail.com im Feld
|
CIS GCP Foundation 1.0: 1.1 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-3 ISO-27001: A.9.2.3 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
|
Finding description (Beschreibung zur Suche): Ein Nutzer hat auf Projektebene die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Token. . Preisstufe: Premium
Unterstützte Assets |
Überprüft die IAM-Richtlinie in den Ressourcenmetadaten für alle Mitglieder mit der Kennzeichnung roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator auf Projektebene.
|
CIS GCP Foundation 1.0: 1,5 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3 |
PRIMITIVE_ROLES_USED
|
Finding description (Beschreibung zur Suche): Ein Nutzer hat die einfache Rolle Owner (Inhaber), Writer (Autor) oder Reader (Leser). auf. Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden. Preisstufe: Premium
Unterstützte Assets |
Prüft die IAM-Richtlinie in den Ressourcenmetadaten für alle Mitglieder, denen
|
PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3 |
REDIS_ROLE_USED_ON_ORG
|
Finding description (Beschreibung der Beschreibung): Auf Organisations- oder Ordnerebene wird eine Redis-IAM-Rolle zugewiesen. Preisstufe: Premium
Unterstützte Assets
|
Prüft die IAM-Richtlinie in den Ressourcenmetadaten für Mitglieder, denen
|
PCI-DSS v3.2.1: 7.1.2 ISO-27001: A.9.2.3 |
SERVICE_ACCOUNT_ROLE_SEPARATION
|
Beschreibung finden:Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Das ist ein Prinzip des Prinzips der "Separation of Duties". Preisstufe: Premium
Unterstützte Assets |
Prüft die IAM-Richtlinie in den Ressourcenmetadaten für alle Mitglieder, die sowohl roles/iam.serviceAccountUser als auch roles/iam.serviceAccountAdmin zugewiesen haben.
|
CIS GCP Foundation 1.0: 1,7 NIST 800-53: AC-5 ISO-27001: A.9.2.3 |
SERVICE_ACCOUNT_KEY_NOT_ROTATED
|
Beschreibung finden:Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets |
Wertet den Zeitstempel der Schlüsselerstellung, der in den Metadaten der Dienstkontenschlüssel im Attribut
|
CIS GCP Foundation 1.0: 1.6 |
USER_MANAGED_SERVICE_ACCOUNT_KEY
|
Finding description (Beschreibung der Suche): Ein Nutzer verwaltet einen Dienstkontoschlüssel. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut
|
CIS GCP Foundation 1.0: 1.3 |
Ergebnisse zu KMS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER
.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
KMS_KEY_NOT_ROTATED
|
Finding description (Beschreibung der Suche): Die Rotation wird nicht für einen Cloud KMS-Verschlüsselungsschlüssel konfiguriert. Schlüssel müssen innerhalb eines Zeitraums von 90 Tagen rotiert werden. Preisstufe: Premium
Unterstützte Assets |
Prüft Ressourcenmetadaten auf das Vorhandensein von
|
CIS GCP Foundation 1.0: 1,8 PCI-DSS v3.2.1: 3,5 NIST 800-53: SC-12 ISO-27001: A.10.11.2 |
KMS_PROJECT_HAS_OWNER
|
Beschreibung finden:Ein Nutzer hat Berechtigungen des Typs Inhaber für ein Projekt mit kryptografischen Schlüsseln. Preisstufe: Premium
Unterstützte Assets |
Prüft die IAM-Richtlinie in Projektmetadaten für Mitglieder, die
|
PCI-DSS v3.2.1: 3,5 NIST 800-53: AC-6, SC-12 ISO-27001: A.9.2.3, A.10.1.2 |
KMS_PUBLIC_KEY
|
Beschreibung finden:Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Preisstufe: Premium
Unterstützte Assets |
Prüft die IAM-Richtlinie in den Ressourcenmetadaten für öffentliche Mitglieder,
|
|
TOO_MANY_KMS_USERS
|
Finding description (Beschreibung der Suche): Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Preisstufe: Premium
Unterstützte Assets |
Prüft IAM-Richtlinien auf Schlüsselbunde, Projekte und Organisationen und ruft Mitglieder mit Rollen ab, die ihnen das Verschlüsseln, Entschlüsseln oder Signieren von Daten mithilfe von Cloud KMS-Schlüsseln ermöglichen: roles/owner , roles/cloudkms.cryptoKeyEncrypterDecrypter , roles/cloudkms.cryptoKeyEncrypter ,
roles/cloudkms.cryptoKeyDecrypter ,
roles/cloudkms.signer und
roles/cloudkms.signerVerifier .
|
PCI-DSS v3.2.1: 3.5.2 ISO-27001: A.9.2.3 |
Ergebnisse zu Logging-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER
.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
AUDIT_LOGGING_DISABLED
|
Finding description (Beschreibung der Suche): Das Audit-Logging wurde für diese Ressource deaktiviert. Preisstufe: Premium
Unterstützte Assets |
Prüft die IAM-Richtlinie in den Ressourcenmetadaten auf das Vorhandensein eines
|
CIS GCP Foundation 1.0: 2.1 PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: AC-2, AU-2 ISO-27001: A.12.4.1, A.16.1.7 |
BUCKET_LOGGING_DISABLED
|
Finding description (Beschreibung der Suche): Es gibt einen Storage-Bucket, für den kein Logging aktiviert ist. Preisstufe: Premium
Unterstützte Assets |
Überprüft, ob das Feld
|
CIS GCP Foundation 1.0: 5.3 |
LOCKED_RETENTION_POLICY_NOT_SET
|
Finding description (Beschreibung der Suche): Eine gesperrte Aufbewahrungsrichtlinie ist für Logs nicht festgelegt. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob im Feld
|
PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2, A.18.1.3 |
LOG_NOT_EXPORTED
|
Finding description (Beschreibung der Suche): Es gibt eine Ressource, für die keine entsprechende Logsenke konfiguriert ist. Preisstufe: Premium
Unterstützte Assets
|
Ruft ein
|
CIS GCP Foundation 1.0: 2.2 ISO-27001: A.18.1.3 |
OBJECT_VERSIONING_DISABLED
|
Finding description (Beschreibung der Suche): Die Objektversionsverwaltung ist für einen Storage-Bucket nicht aktiviert, in dem Senken konfiguriert sind. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob im Feld
|
CIS GCP Foundation 1.0: 2.3 PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2, A.18.1.3 |
Ergebnisse zu Monitoring-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER
. Alle Monitoring-Detektoren für die Monitoring-Erkennung sind:
- Den
RecommendedLogFilter
, der beim Erstellen der Logmesswerte verwendet werden soll. - Die
QualifiedLogMetricNames
, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken. -
Die
AlertPolicyFailureReasons
gibt an, ob im Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
AUDIT_CONFIG_NOT_MONITORED
|
Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Änderungen der Audit-Konfiguration konfiguriert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName=\"SetIamPolicy\" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
CIS GCP Foundation 1.0: 2,5 |
BUCKET_IAM_NOT_MONITORED
|
Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von IAM-Berechtigungenänderungen konfiguriert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gcs_bucket AND
protoPayload.methodName=\"storage.setIamPermissions\" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
CIS GCP Foundation 1.0: 2,10 |
CUSTOM_ROLE_NOT_MONITORED
|
Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Änderungen der benutzerdefinierten Rolle konfiguriert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=\"iam_role\" AND
protoPayload.methodName=\"google.iam.admin.v1.CreateRole\"
OR
protoPayload.methodName=\"google.iam.admin.v1.DeleteRole\"
OR
protoPayload.methodName=\"google.iam.admin.v1.UpdateRole\" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
CIS GCP Foundation 1.0: 2,6 |
FIREWALL_NOT_MONITORED
|
Finding description (Beschreibung der Suche): Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Änderungen der VPC-Netzwerkfirewallregeln konfiguriert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=\"gce_firewall_rule\" AND
jsonPayload.event_subtype=\"compute.firewalls.patch\" OR
jsonPayload.event_subtype=\"compute.firewalls.insert\" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
CIS GCP Foundation 1.0: 2,7 |
NETWORK_NOT_MONITORED
|
Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von VPC-Netzwerkänderungen konfiguriert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gce_network AND
jsonPayload.event_subtype=\"compute.networks.insert\" OR
jsonPayload.event_subtype=\"compute.networks.patch\" OR
jsonPayload.event_subtype=\"compute.networks.delete\" OR
jsonPayload.event_subtype=\"compute.networks.removePeering\"
OR
jsonPayload.event_subtype=\"compute.networks.addPeering\" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
CIS GCP Foundation 1.0: 2,99 |
OWNER_NOT_MONITORED
|
Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Zuweisungen oder Änderungen für Projekteigentümer konfiguriert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf (protoPayload.serviceName=\"cloudresourcemanager.googleapis.com\")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action=\"REMOVE\"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action=\"ADD\"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
CIS GCP Foundation 1.0: 2,4 |
ROUTE_NOT_MONITORED
|
Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Änderungen der VPC-Netzwerkroute konfiguriert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=\"gce_route\" AND
jsonPayload.event_subtype=\"compute.routes.delete\" OR
jsonPayload.event_subtype=\"compute.routes.insert\" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
CIS GCP Foundation 1.0: 2,8 |
SQL_INSTANCE_NOT_MONITORED
|
Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Änderungen an der Cloud SQL-Instanz konfiguriert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName=\"cloudsql.instances.update\" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy -Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
CIS GCP Foundation 1.0: 2,11 |
Ergebnisse der Multi-Faktor-Authentifizierung
Der MFA_SCANNER
-Detektor identifiziert Sicherheitslücken im Zusammenhang mit der Multi-Faktor-Authentifizierung für Nutzer.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
MFA_NOT_ENFORCED
|
Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. Preisstufe: Premium oder Standard
Unterstützte Assets |
Bewertung der Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity.
|
CIS GCP Foundation 1.0: 1.2 PCI-DSS v3.2.1: 8.3 NIST 800-53: IA-2 ISO-27001: A.9.4.2 |
Ergebnisse zu Netzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER
.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
DEFAULT_NETWORK
|
Finding description (Beschreibung der Suche): Das Standardnetzwerk ist in einem Projekt vorhanden. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut
|
CIS GCP Foundation 1.0: 3.1 |
LEGACY_NETWORK
|
Finding description (Beschreibung der Suche): In einem Projekt ist ein Legacy-Netzwerk vorhanden. Preisstufe: Premium
Unterstützte Assets |
Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs
| CIS GCP Foundation 1.0: 3.2 |
Ergebnisse der Organisationsrichtlinien-Sicherheitslücke
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY
.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
ORG_POLICY_CONFIDENTIAL_VM_POLICY
|
Finding description (Beschreibung der Suche): Eine Compute Engine-Ressource entspricht nicht der Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing . Weitere Informationen zu dieser Einschränkung für Organisationsrichtlinien finden Sie unter Einschränkungen für Organisationsrichtlinien in vertrauliche VM erzwingen.
Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut
|
|
ORG_POLICY_LOCATION_RESTRICTION
|
Finding description: Eine Compute Engine-Ressource verstößt gegen die Einschränkung constraints/gcp.resourceLocations . Weitere Informationen zu dieser Einschränkung für Organisationsrichtlinien finden Sie unter Einschränkungen für Organisationsrichtlinien erzwingen.
Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
|
Unterstützte Assets für ORG_POLICY_LOCATION_ jedoch ohne Grenzen
Compute Engine
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow 1 Da Cloud KMS-Assets nicht gelöscht werden können, wird das Asset nicht als "nicht Region" behandelt, wenn die Daten des Assets gelöscht wurden. 2 Da Cloud KMS-Importjobs einen kontrollierten Lebenszyklus haben und nicht vorzeitig beendet werden können, wird ein ImportJob nicht als außerhalb der Region betrachtet, wenn der Job abgelaufen ist und nicht mehr verwendet werden kann. um Schlüssel zu importieren. 3 Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, wird ein Job nicht außerhalb der Region betrachtet, nachdem er einen Terminalstatus erreicht (gestoppt oder beendet) hat. nicht mehr zur Verarbeitung von Daten verwendet. |
Ergebnisse zu SQL-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER
.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
AUTO_BACKUP_DISABLED
|
Beschreibung finden: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut
|
NIST 800-53: CP-9 ISO-27001: A.12.3.1 |
PUBLIC_SQL_INSTANCE
|
Beschreibung finden: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen. Preisstufe: Premium oder Standard
Unterstützte Assets |
Prüft, ob das Attribut
|
CIS GCP Foundation 1.0: 6.2 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: CA-3, SC-7 ISO-27001: A.8.2.3, A.13.1.3, A.14.1.3 |
SSL_NOT_ENFORCED
|
Beschreibung finden: Eine Cloud SQL-Datenbankinstanz erfordert nicht, dass alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium oder Standard
Unterstützte Assets |
Prüft, ob das Attribut
|
CIS GCP Foundation 1.0: 6.1 PCI-DSS v3.2.1: 4,1 NIST 800-53: SC-7 ISO-27001: A.8.2.3, A.13.2.1, A.14.1.3 |
SQL_CMEK_DISABLED
|
Finding description (Beschreibung der Suche): Eine SQL-Datenbankinstanz ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite unter Detektoren für Sicherheitsintegrität aktivieren. Preisstufe: Premium
Unterstützte Assets |
Prüft das Feld
|
|
SQL_CONTAINED_DATABASE_AUTHENTICATION
|
Finding description (Beschreibung der Suche): Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
|
SQL_CROSS_DB_OWNERSHIP_CHAINING
|
Finding description:
Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
|
SQL_LOCAL_INFILE
|
Finding description (Beschreibung der Suche): Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
|
SQL_LOG_CHECKPOINTS_DISABLED
|
Finding description (Beschreibung der Suche): Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
|
SQL_LOG_CONNECTIONS_DISABLED
|
Finding description (Beschreibung der Suche): Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
|
SQL_LOG_DISCONNECTIONS_DISABLED
|
Finding description (Beschreibung der Beschreibung): Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
|
SQL_LOG_LOCK_WAITS_DISABLED
|
Finding description (Beschreibung der Suche): Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
|
Finding description (Beschreibung der Suche): Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
|
SQL_LOG_MIN_ERROR_STATEMENT
|
Find description (Beschreibung der Beschreibung): Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets |
Prüft, ob der
|
|
SQL_LOG_TEMP_FILES
|
Finding description (Beschreibung der Suche): Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets |
Prüft das Attribut
|
|
SQL_NO_ROOT_PASSWORD
|
Beschreibung finden: In einer Cloud SQL-Datenbank ist für das Root-Konto kein Passwort konfiguriert. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung finden Sie weiter unten auf dieser Seite unter Sicherheitsintegritäts-Analytics-Detektoren aktivieren. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut
|
CIS GCP Foundation 1.0: 6.3 PCI-DSS v3.2.1: 2.1 NIST 800-53: AC-3 ISO-27001: A.8.2.3, A.9.4.2 |
SQL_PUBLIC_IP
|
Beschreibung finden: Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob der IP-Adresstyp einer Cloud SQL-Datenbank auf
|
|
SQL_WEAK_ROOT_PASSWORD
|
Beschreibung finden:In einer Cloud SQL-Datenbank ist für das Root-Konto ein schwaches Passwort konfiguriert. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite unter Detektoren für Sicherheitsintegrität aktivieren. Preisstufe: Premium
Unterstützte Assets |
Vergleicht das Passwort für das Root-Konto Ihrer Cloud SQL-Datenbank mit einer Liste gängiger Passwörter.
|
Ergebnisse zu Speichersicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER
.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
BUCKET_CMEK_DISABLED
|
Finding description (Beschreibung der Suche): Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite unter Sicherheitsintegritäts-Analytics-Detektoren aktivieren. Preisstufe: Premium
Unterstützte Assets |
Prüft das Feld
|
|
BUCKET_POLICY_ONLY_DISABLED
|
Finding description (Beschreibung der Beschreibung): Der einheitliche Zugriff auf Bucket-Ebene, der bisher nur "Nur Bucket-Richtlinie" genannt wurde, ist nicht konfiguriert. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut
|
|
PUBLIC_BUCKET_ACL
|
Beschreibung finden:Ein Cloud Storage-Bucket ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets |
Prüft die IAM-Richtlinie eines Buckets für öffentliche Rollen,
|
CIS GCP Foundation 1.0: 5.1 PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3, A.14.1.3 |
PUBLIC_LOG_BUCKET
|
Finding description (Beschreibung der Suche): Ein Storage-Bucket, der als Logsenke verwendet wird, ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets |
Prüft die IAM-Richtlinie eines Buckets auf öffentliche Mitglieder:
|
PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-9 ISO-27001: A.8.2.3, A.12.4.2, A.18.1.3 |
Ergebnisse zu Subnetzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER
.
Detektor | Fazit | Einstellungen für Asset-Scans | Compliance-Prinzipien |
---|---|---|---|
FLOW_LOGS_DISABLED
|
Finding description (Beschreibung der Suche): Es gibt ein VPC-Subnetzwerk mit deaktivierten Flusslogs. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut
|
CIS GCP Foundation 1.0: 3,9 PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: SI-4 ISO-27001: A.13.1.1 |
PRIVATE_GOOGLE_ACCESS_DISABLED
|
Beschreibung finden: Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs. Preisstufe: Premium
Unterstützte Assets |
Prüft, ob das Attribut
|
CIS GCP Foundation 1.0: 3,8 |
Detektoren für Sicherheitsintegritäts-Analysen aktivieren
Die folgenden Detektoren für Security Health Analytics sind nicht standardmäßig aktiviert:
BUCKET_CMEK_DISABLED
DISK_CMEK_DISABLED
NODEPOOL_BOOT_CMEK_DISABLED
SQL_CMEK_DISABLED
SQL_NO_ROOT_PASSWORD
SQL_WEAK_ROOT_PASSWORD
Führen Sie im gcloud
-Befehlszeilentool den folgenden gcloud alpha-Befehl aus, um einen Detektor (auch Modul genannt) zu aktivieren:
gcloud alpha scc settings services modules enable \
--organization=ORGANIZATION_ID \
--service=SECURITY_HEALTH_ANALYTICS \
--module=DETECTOR
Dabei gilt:
- ORGANIZATION_ID: Ihre Organisations-ID.
- DETECTOR: Name des Detektors, den Sie aktivieren möchten
Web Security Scanner-Ergebnisse
Benutzerdefinierte und verwaltete Scans von Web Security Scanner identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.
Category | Ergebnisbeschreibung | CIS GCP Foundation 1.0 | PCI DSS v3.2.1 | OWASP Top 10 | NIST 800–53 | ISO-27001 |
---|---|---|---|---|---|---|
ACCESSIBLE_GIT_REPOSITORY |
Ein Git-Repository ist öffentlich verfügbar. Entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository, um dieses Problem zu beheben. | A3 | ||||
ACCESSIBLE_SVN_REPOSITORY |
Ein SVN-Repository ist öffentlich zugänglich. Entfernen Sie den öffentlichen unbeabsichtigten Zugriff auf das SVN-Repository, um das Problem zu beheben. | A3 | ||||
CLEAR_TEXT_PASSWORD |
Passwörter werden in Klartext übertragen und können abgefangen werden. Verschlüsseln Sie das über das Netzwerk übertragene Passwort, um das Ergebnis zu ermitteln. | A3 | ||||
INVALID_CONTENT_TYPE |
Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Sie können dieses Ergebnis beheben, indem Sie den HTTP-Header "X-Content-Type-Options" mit dem richtigen Wert festlegen. | A6 | ||||
INVALID_HEADER |
Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um dieses Ergebnis zu beheben. | A6 | ||||
MISMATCHING_SECURITY_HEADER_VALUES |
Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um dieses Ergebnis zu beheben. | A6 | ||||
MISSPELLED_SECURITY_HEADER_NAME |
Ein Sicherheitsheader ist falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um dieses Ergebnis zu beheben. | A6 | ||||
MIXED_CONTENT |
Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Sorgen Sie dafür, dass alle Ressourcen über HTTPS bereitgestellt werden. | A6 | ||||
OUTDATED_LIBRARY |
Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie Bibliotheken auf eine neuere Version, um dieses Ergebnis zu beheben. | A9 | ||||
XSS |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Sie können dieses Problem beheben, indem Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten validieren und maskieren. | A7 | ||||
XSS_ANGULAR_CALLBACK |
Ein vom Nutzer bereitgestellter String wird nicht maskiert und in Angularity kann interpoliert werden. Sie können dies beheben, indem Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden, validieren und maskieren. | A7 | ||||
XSS_ERROR |
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Sie können dieses Problem beheben, indem Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten validieren und maskieren. | A7 |
CIS-Benchmarks
Das Center for Internet Security (CIS) enthält die folgenden Benchmarks, die Web Security Scanner oder Security Health Analytics-Detektoren derzeit nicht unterstützen:
Kategorie | Ergebnisbeschreibung | CIS GCP Foundation 1.0 | NIST 800–53 | ISO-27001 |
---|---|---|---|---|
BASIC_AUTHENTICATION_ENABLED |
IAM oder Clientzertifikat-Authentifizierung sollte auf Kubernetes-Clustern aktiviert sein. | 7.10 | ||
CLIENT_CERT_AUTHENTICATION_DISABLED |
Kubernetes-Cluster sollten mit aktiviertem Clientzertifikat erstellt werden. | 7.12 | ||
LABELS_NOT_USED |
Mit Labels können Zahlungsinformationen aufgeschlüsselt werden. | 7,5 | ||
PUBLIC_STORAGE_OBJECT |
Die Speicherobjekt-ACL sollte **allUsers** keinen Zugriff gewähren. | 5,2 | ||
SQL_BROAD_ROOT_LOGIN |
Der Root-Zugriff auf eine SQL-Datenbank sollte auf als zulässig gelistete, vertrauenswürdige IP-Adressen beschränkt werden. | 6.4 |
Nächste Schritte
- Informationen zur Verwendung von Security Health Analytics und zur Verwendung von Web Security Scanner
- Vorschläge zur Behebung von Security Health Analytics-Ergebnissen und zur Behebung von Web Security Scanner-Ergebnissen