Ergebnisse zu Sicherheitslücken

Detektoren für Security Health Analytics und Web Security Scanner erzeugen Sicherheitslücken, die in Security Command Center verfügbar sind.

Detektoren und Compliance

In den folgenden Tabellen werden die Detektortypen und die gefundenen Sicherheitslücken beschrieben, die von Security Health Analytics und Web Security Scanner generiert werden können. Sie können Ergebnisse nach Detektorname und Ergebnistyp auf dem Tab für Sicherheitslücken in Security Command Center in der Google Cloud Console filtern.

Diese Tabellen enthalten eine Beschreibung der Zuordnung zwischen unterstützten Detektoren und der Best-Effort-Zuordnung zu relevanten Compliance-Systemen.

Die Zuordnungen von CIS Google Cloud Foundation 1.0 wurden vom Center for Internet Security auf die Übereinstimmung mit dem CIS Google Cloud Computing Foundations Benchmark v1.0.0 geprüft und zertifiziert. Zusätzliche Compliance-Zuordnungen sind zu Referenzzwecken enthalten und werden nicht vom Payment Card Industry Data Security Standard oder der OWASP Foundation bereitgestellt oder geprüft. Weitere Informationen finden Sie unter CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0), Payment Card Industry Data Security Standard 3.2.1 (PCI-DSS v3.2.1) OWASP Top Ten, National Institute of Standards and Technology 800-53 (NIST 800-53) und International Organization for Standardization 27001 (ISO 27001) zur manuellen Prüfung auf diese Verstöße.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienstleistungen gemäß aller regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Security Health Analytics

Detektoren für Sicherheitsintegritäts-Analysen überwachen eine Teilmenge von Ressourcen aus dem Cloud Asset Inventory (CAI), um Benachrichtigungen zu Änderungen der Ressourcen- und Identitäts- und Zugriffsverwaltung (IAM) zu erhalten. Einige Detektoren rufen Daten ab, indem sie Google Cloud APIs direkt aufrufen, wie in den Tabellen später auf dieser Seite angegeben.

Security Health Analytics-Scans werden in drei Modi ausgeführt:

Batch Scan:Alle Detektoren werden für ein registriertes Konto mindestens zweimal pro Tag ausgeführt. Detektoren werden in unterschiedlichen Zeitplänen ausgeführt, um bestimmte Service Level Objectives (SLO) zu erreichen. Zur Erfüllung einer SLO von 12 und 24 Stunden führen die Detektoren Batch-Scans alle sechs Stunden oder zwölf Stunden aus. Ressourcen- und Richtlinienänderungen, die zwischen den Batch-Scans auftreten, werden nicht sofort erfasst und beim nächsten Batch-Scan angewendet. Hinweis: Batch-Scanpläne sind Leistungsziele, keine Dienstgarantien.
Echtzeit-Scan:Unterstützte Detektoren starten Scans, wenn CAI eine Änderung in der Konfiguration eines Assets meldet. Die Ergebnisse werden sofort in Security Command Center geschrieben.
Gemischter Modus:Bei einigen Detektoren, die Echtzeitscans unterstützen, werden Änderungen in allen unterstützten Assets möglicherweise nicht in Echtzeit erkannt. In diesen Fällen werden Konfigurationsänderungen für einige Assets sofort erfasst und andere in Batch-Scans erfasst. Ausnahmen sind in den Tabellen auf dieser Seite aufgeführt.

In den folgenden Tabellen werden Sicherheitsprüfer von Security Health Analytics, die unterstützten Assets und Compliance-Regimes, die Einstellungen für Scans und die gefundenen Ergebnistypen beschrieben. Anleitungen zum Beheben von Problemen und zum Schutz Ihrer Ressourcen finden Sie unter Ergebnisse von Security Health Analytics beheben.

Ergebnisse zu Sicherheitslücken beim API-Schlüssel

Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.

**Tabelle 1.** API-Schlüsselscanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`API_KEY_APIS_UNRESTRICTED`	Finding description (Beschreibung der Suche): Es gibt zu weit gefasste API-Schlüssel. Um dieses Problem zu beheben, begrenzen Sie die Nutzung der API-Schlüssel, damit nur die von der Anwendung benötigten APIs zugelassen werden. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Ruft das Attribut `restrictions` aller API-Schlüssel in einem Projekt ab und prüft, ob einer auf `cloudapis.googleapis.com` gesetzt ist. Zusätzliche IAM-Berechtigungen: `roles/serviceusage.apiKeysViewer` Zusätzliche Eingaben: Ruft API-Schlüssel für ein Projekt über den API-Schlüsseldienst ab Batch-Scans: Alle 12 Stunden Echtzeitscans: Nein	CIS GCP Foundation 1.0: 1,12
`API_KEY_APPS_UNRESTRICTED`	Beschreibung suchen:API-Schlüssel werden uneingeschränkt verwendet, um die Verwendung durch eine nicht vertrauenswürdige Anwendung zu ermöglichen. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Ruft das Attribut `restrictions` aller API-Schlüssel in einem Projekt ab und prüft, ob `browserKeyRestrictions`, `serverKeyRestrictions`, `androidKeyRestrictions` oder `iosKeyRestrictions` festgelegt ist. Zusätzliche IAM-Berechtigungen: `roles/serviceusage.apiKeysViewer` Zusätzliche Eingaben: Ruft API-Schlüssel für ein Projekt über den API-Schlüsseldienst ab Batch-Scans: Alle 12 Stunden Echtzeitscans: Nein	CIS GCP Foundation 1.0: 1.11
`API_KEY_EXISTS`	Finding description (Beschreibung der Suche): Ein Projekt verwendet API-Schlüssel anstelle der Standardauthentifizierung. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Ruft alle API-Schlüssel eines Projekts ab. Zusätzliche IAM-Berechtigungen: `roles/serviceusage.apiKeysViewer` Zusätzliche Eingaben: Ruft API-Schlüssel für ein Projekt über den API-Schlüsseldienst ab Batch-Scans: Alle 12 Stunden Echtzeitscans: Nein	CIS GCP Foundation 1.0: 1,10
`API_KEY_NOT_ROTATED`	Finding description (Beschreibung der Suche): Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Ruft den Zeitstempel im Attribut `createTime` aller API-Schlüssel ab und überprüft, ob 90 Tage vergangen sind. Zusätzliche IAM-Berechtigungen: `roles/serviceusage.apiKeysViewer` Zusätzliche Eingaben: Ruft API-Schlüssel für ein Projekt über den API-Schlüsseldienst ab Batch-Scans: Alle 12 Stunden Echtzeitscans: Nein	CIS GCP Foundation 1.0: 1,13

Ergebnisse zu Sicherheitslücken bei Compute-Images

Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.

**Tabelle 2.** Compute-Image-Scanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`PUBLIC_COMPUTE_IMAGE`	Beschreibung finden: Ein Compute Engine-Image ist öffentlich zugänglich. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Image Problem beheben	Prüft die IAM-Richtlinie in den Ressourcenmetadaten für öffentliche Mitglieder, `allUsers` oder `allAuthenticatedUsers`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja

Ergebnisse zu Sicherheitslücken bei Compute-Instanzen

Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.

COMPUTE_INSTANCE_SCANNER-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Die Namen dieser Instanzen beginnen mit "gke-", das Nutzer nicht bearbeiten können. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.

**Tabelle 2.** Compute-Instanzscanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Beschreibung suchen: Projektweite SSH-Schlüssel werden verwendet, wodurch eine Anmeldung für alle Instanzen im Projekt möglich ist. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Problem beheben	Prüft das Objekt `metadata.items[]` in den Instanzmetadaten auf das Schlüssel/Wert-Paar `"key": "block-project-ssh-keys", "value": TRUE`. Aus Scans ausgeschlossen: GKE-Instanzen, Dataflow-Job, Windows-Instanz Zusätzliche IAM-Berechtigungen: `roles/compute.Viewer` Zusätzliche Eingaben: Liest Metadaten von Compute Engine Batch-Scans: Alle 12 Stunden Echtzeitscans: Nein	CIS GCP Foundation 1.0: 4.2
`COMPUTE_SECURE_BOOT_DISABLED`	Finding description (Beschreibung der Beschreibung): Für diese Shielded VM ist Secure Boot nicht aktiviert. Secure Boot schützt VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Problem beheben	Prüft das Attribut `shieldedInstanceConfig` auf Compute Engine-Instanzen, um festzustellen, ob `enableIntegrityMonitoring`, `enableSecureBoot`, `enableVtpm` alle auf `true` festgelegt sind. Die Felder geben an, ob angehängte Laufwerke mit Secure Boot kompatibel sind und ob Shielded VM aktiviert ist. Aus Scans von Scans ausgeschlossen: GKE-Instanzen, Compute Engine-Laufwerke mit GPU-Beschleunigern und ohne Container-Optimized OS), serverlosen VPC-Zugriff Batch-Scans: alle 6 Stunden Echtzeitscans: Nein
`COMPUTE_SERIAL_PORTS_ENABLED`	Beschreibung der Beschreibung:serielle Ports sind für eine Instanz aktiviert, die Verbindungen zur seriellen Konsole der Instanz zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Problem beheben	Prüft das Objekt `metadata.items[]` in den Instanzmetadaten auf das Schlüssel/Wert-Paar `"key": "serial-port-enable", "value": TRUE`. Aus Scans ausgeschlossen: GKE-Instanzen Zusätzliche IAM-Berechtigungen: `roles/compute.Viewer` Zusätzliche Eingaben: Liest Metadaten von Compute Engine Batch-Scans: Alle 12 Stunden Echtzeitscans: Nein	CIS GCP Foundation 1.0: 4.4
`DEFAULT_SERVICE_ACCOUNT_USED`	Finding description (Beschreibung der Suche): Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto verwendet. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Problem beheben	Überprüft das Attribut `serviceAccounts` in den Instanzmetadaten nach E-Mail-Adressen von Dienstkonten mit dem Präfix `PROJECT_NUMBER-compute@developer.gserviceaccount.com`, die das von Google erstellte Standarddienstkonto angeben. Aus Scans ausgeschlossen: GKE-Instanzen, Dataflow-Jobs Batch-Scans: alle 6 Stunden Echtzeitscans: Nein
`DISK_CMEK_DISABLED`	Finding description (Beschreibung der Suche): Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite unter Detektoren für Sicherheitsintegrität aktivieren. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Disk Problem beheben	Prüft das Feld `kmsKeyName` im Objekt `diskEncryptionKey` in den Laufwerkmetadaten auf den Ressourcennamen Ihres CMEK. Batch-Scans: alle 6 Stunden Echtzeitscans: Nein
`DISK_CSEK_DISABLED`	Finding description (Beschreibung der Suche): Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer Supplied Encryption Keys, CSEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung finden Sie unter Detektor aktivieren. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Disk Problem beheben	Prüft das Feld `kmsKeyName` im Objekt `diskEncryptionKey` auf den Ressourcennamen Ihres CSEK. Aus Scans ausgeschlossene Assets: Compute Engine-Laufwerke mit dem Sicherheitszeichen *enforcement_customer_served_disk_encryption_keys* Zusätzliche IAM-Berechtigungen: `roles/compute.Viewer` Zusätzliche Eingaben: Liest Metadaten von Compute Engine Batch-Scans: alle 6 Stunden Echtzeitscans: Nein	CIS GCP Foundation 1.0: 4.6
`FULL_API_ACCESS`	Finding description (Beschreibung der Suche): Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit Vollzugriff auf alle Google Cloud APIs verwendet. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Problem beheben	Ruft das Feld `scopes` im Attribut `serviceAccounts` ab, um zu prüfen, ob ein Standarddienstkonto verwendet wird und ob ihm der Bereich `cloud-platform` zugewiesen ist. Aus Scans ausgeschlossen: GKE-Instanzen, Dataflow-Jobs Batch-Scans: alle 6 Stunden Echtzeitscans: Nein	CIS GCP Foundation 1.0: 4.1 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`HTTP_LOAD_BALANCER`	Finding description (Beschreibung der Suche): Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/TargetHttpProxy Problem beheben	Bestimmt, ob das Attribut `selfLink` der Ressource `targetHttpProxy` mit dem Attribut `target` in der Weiterleitungsregel übereinstimmt und wenn die Weiterleitungsregel ein `loadBalancingScheme` enthält. Feld auf `External` festgelegt. Zusätzliche IAM-Berechtigungen: `roles/compute.Viewer` Zusätzliche Eingaben: Liest Weiterleitungsregeln für einen HTTP-Zielproxy von Compute Engine aus und prüft auf externe Regeln Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 2.3
`IP_FORWARDING_ENABLED`	Finding description (Beschreibung der Suche): IP-Weiterleitung ist für Instanzen aktiviert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Problem beheben	Prüft, ob das Attribut `canIpForward` der Instanz auf `true` gesetzt ist. Aus Scans ausgeschlossen: GKE-Instanzen, serverloser VPC-Zugriff Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 4.5
`OS_LOGIN_DISABLED`	Finding description (Beschreibung der Suche): OS Login ist für diese Instanz deaktiviert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Project Problem beheben	Überprüft das Objekt `commonInstanceMetadata.items[]` in den Projektmetadaten für das Schlüssel/Wert-Paar `"key"`: `"enable-oslogin"`, `"value"`: `TRUE`. Der Detektor prüft auch alle Instanzen in einem Compute Engine-Projekt, um zu prüfen, ob OS Login für einzelne Instanzen deaktiviert ist. Aus Scans ausgeschlossen: GKE-Instanzen Zusätzliche IAM-Berechtigungen: `roles/compute.Viewer` Zusätzliche Eingaben: Liest Metadaten von Compute Engine. Der Detektor prüft auch Compute Engine-Instanzen im Projekt Batch-Scans: Alle 12 Stunden Echtzeitscans: Nein	CIS GCP Foundation 1.0: 4.3
`PUBLIC_IP_ADDRESS`	Beschreibung der Instanz:Eine Instanz hat eine öffentliche IP-Adresse. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Instance Problem beheben	Überprüft, ob das Attribut `networkInterfaces` ein Feld `accessConfigs` enthält, das angibt, dass es für die Verwendung einer öffentlichen IP-Adresse konfiguriert ist. Aus Scans ausgeschlossen: GKE-Instanzen Batch-Scans: alle 6 Stunden Echtzeitscans: Nein	PCI-DSS v3.2.1: 1.2.1, 1.1.3.5 NIST 800-53: CA-3, SC-7
`SHIELDED_VM_DISABLED`	Finding description: Shielded VM ist für diese Instanz deaktiviert. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Problem beheben	Überprüft das Attribut `shieldedInstanceConfig` in Compute Engine-Instanzen, ob die Felder `enableIntegrityMonitoring`, `enableSecureBoot`, `enableVtpm` auf `true` gesetzt sind. Die Felder geben an, ob angehängte Laufwerke mit Secure Boot kompatibel sind und ob Shielded VM aktiviert ist. Aus Scans von Scans ausgeschlossen: GKE-Instanzen, Compute Engine-Laufwerke mit GPU-Beschleunigern und ohne Container-Optimized OS), serverlosen VPC-Zugriff Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`WEAK_SSL_POLICY`	Beschreibung suchen:Eine Instanz hat eine schwache SSL-Richtlinie. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/TargetHttpsProxy compute.googleapis.com/TargetSslProxy Problem beheben	Überprüft, ob `sslPolicy` in den Assetmetadaten leer ist und ob für die angehängte `sslPolicies`-Ressource `profile` auf `Restricted` oder `Modern`, `minTlsVersion` festgelegt wurde. ist auf `TLS 1.2` gesetzt und `customFeatures` ist leer oder enthält nicht die folgenden Chiffren: `TLS_RSA_WITH_AES_128_GCM_SHA256`, `TLS_RSA_WITH_AES_256_GCM_SHA384`, `TLS_RSA_WITH_AES_128_CBC_SHA`, `TLS_RSA_WITH_AES_256_CBC_SHA`, `TLS_RSA_WITH_3DES_EDE_CBC_SHA`. Zusätzliche IAM-Berechtigungen: `roles/compute.Viewer` Zusätzliche Eingaben: Liest SSL-Richtlinien für Ziel-Proxy-Speicher und sucht nach schwachen Richtlinien Batch-Scans: alle 6 Stunden Echtzeitscans: Ja, aber nur, wenn der TargetHttpsProxy des TargetSslProxy aktualisiert wird, und nicht, wenn die SSL-Richtlinie aktualisiert wird.	PCI-DSS v3.2.1: 4,1 NIST 800-53: SC-7 ISO-27001: A.14.1.3

Ergebnisse zu Container-Sicherheitslücken

Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.

**Tabelle 4.** Container scanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`AUTO_REPAIR_DISABLED`	Finding description (Beschreibung der Beschreibung): Ein Feature zur automatischen Reparatur von GKE-Clustern, mit dem Knoten in einem fehlerfreien Zustand ausgeführt werden, ist deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Überprüft das`management` eines Knotenpools und für das Schlüssel/Wert-Paar`"key":` `"autoRepair"` ,`"value":` `true` auf. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7,7 PCI-DSS v3.2.1: 2.2
`AUTO_UPGRADE_DISABLED`	Finding description (Beschreibung suchen): Die Funktion für automatische Upgrades eines GKE-Clusters, die Cluster und Knotenpools auf der neuesten stabilen Version von Kubernetes deaktiviert, ist deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Überprüft das`management` eines Knotenpools und für das Schlüssel/Wert-Paar`"key":` `"autoUpgrade"` ,`"value":` `true` auf. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7,8 PCI-DSS v3.2.1: 2.2
`CLUSTER_LOGGING_DISABLED`	Finding description (Beschreibung suchen): Logging ist für GKE-Cluster nicht aktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Überprüft, ob das Attribut `loggingService` eines Clusters den Standort enthält, den Cloud Logging zum Schreiben von Logs verwenden soll. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 10.2.2.2, 10.2.7
`CLUSTER_MONITORING_DISABLED`	Finding description (Beschreibung suchen): Monitoring ist für GKE-Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Überprüft, ob das Attribut `monitoringService` eines Clusters den Standort enthält, den Cloud Monitoring zum Schreiben von Messwerten verwenden soll. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7.2 PCI-DSS v3.2.1: 10.1, 10.2
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Finding description (Beschreibung der Suche): Clustercluster sind nicht so konfiguriert, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft, ob das Attribut `privateIpGoogleAccess` eines Subnetzwerks auf `false` gesetzt ist. Zusätzliche Eingaben: Liest Subnetzwerke aus dem Speicher, sodass Ergebnisse nur für Cluster mit Subnetzwerken gesendet werden Batch-Scans: alle 6 Stunden Echtzeitscans: Ja, aber nur, wenn der Cluster aktualisiert wird, nicht für Subnetzwerkaktualisierungen	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3
`COS_NOT_USED`	Beschreibung finden: Compute Engine-VMs nutzen nicht das Container-Optimized OS, das für die sichere Ausführung von Docker-Containern in Google Cloud ausgelegt ist. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft das Attribut `config` eines Knotenpools für das Schlüssel/Wert-Paar `"imageType":` `"COS"`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7.9 PCI-DSS v3.2.1: 2.2
`IP_ALIAS_DISABLED`	Finding description (Beschreibung der Suche): Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft, ob das Feld `useIPAliases` von `ipAllocationPolicy` in einem Cluster auf `false` gesetzt ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3.4, 1.1.7
`LEGACY_AUTHORIZATION_ENABLED`	Finding description (Beschreibung der Suche): Die Legacy-Autorisierung ist für GKE-Cluster aktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft das Attribut `legacyAbac` eines Clusters auf das Schlüssel/Wert-Paar `"enabled"`: `true`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7.3 PCI-DSS v3.2.1: 4,1
`LEGACY_METADATA_ENABLED`	Finding description (Beschreibung der Suche): Legacy-Metadaten sind für GKE-Cluster aktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft das Attribut `config` eines Knotenpools für das Schlüssel/Wert-Paar `"disable-legacy-endpoints"`: `"false"`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	Finding description (Autorisierte Beschreibung): Master autorisierte Netzwerke sind auf GKE-Clustern nicht aktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft das Attribut `masterAuthorizedNetworksConfig` eines Clusters auf das Schlüssel/Wert-Paar `"enabled"`: `false`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7.4 PCI-DSS v3.2.1: 1.2.1, 1.3.2
`NETWORK_POLICY_DISABLED`	Finding description (Beschreibung der Suche): Die Netzwerkrichtlinie ist für GKE-Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft das Feld `networkPolicy` des Attributs `addonsConfig` für das Schlüssel/Wert-Paar `"disabled"`: `true`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`NODEPOOL_BOOT_CMEK_DISABLED`	Finding description (Beschreibung der Beschreibung): Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung finden Sie weiter unten auf dieser Seite unter Sicherheitsintegritäts-Analytics-Detektoren aktivieren. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft das Attribut `bootDiskKmsKey` von Knotenpools auf den Ressourcennamen Ihres CMEK. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`OVER_PRIVILEGED_ACCOUNT`	Beschreibung suchen:Ein Dienstkonto hat zu viele Projektzugriffe in einem Cluster. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Wertet das Attribut `config` eines Knotenpools, um zu prüfen, ob kein Dienstkonto angegeben ist oder ob das Standarddienstkonto verwendet wird. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 2.1, 7.1.2 NIST 800-53: AC-6, SC-7 ISO-27001: A.9.2.3
`OVER_PRIVILEGED_SCOPES`	Beschreibung finden:Ein Knotendienstkonto hat breite Zugriffsbereiche. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft, ob der im Attribut `config.oauthScopes` eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich für Dienstkonten ist: `https://www.googleapis.com/auth/devstorage.read_only`, `https://www.googleapis.com/auth/logging.write`, oder `https://www.googleapis.com/auth/monitoring`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7.1
`POD_SECURITY_POLICY_DISABLED`	Finding description (Beschreibung der Suche): PodSecurityPolicy ist auf einem GKE-Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft das Attribut `podSecurityPolicyConfig` eines Clusters auf das Schlüssel/Wert-Paar `"enabled"`: `false`. Zusätzliche IAM-Berechtigungen: `roles/container.clusterViewer` Zusätzliche Eingaben: lesen Clusterinformationen aus GKE, da Pod-Sicherheitsrichtlinien eine Betafunktion sind. Diese Funktion wird in Zukunft möglicherweise entfernt Batch-Scans: Alle 12 Stunden Echtzeitscans: Nein	CIS GCP Foundation 1.0: 7.1
`PRIVATE_CLUSTER_DISABLED`	Beschreibung finden: In einem GKE-Cluster ist ein privater Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft, ob das Feld `enablePrivateNodes` des Attributs `privateClusterConfig` auf `false` gesetzt ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3.2
`WEB_UI_ENABLED`	Finding description (Beschreibung der Suche): Die GKE-Web-UI (Dashboard) ist aktiviert. Preisstufe: Premium oder Standard Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft das Feld `kubernetesDashboard` des Attributs `addonsConfig` für das Schlüssel/Wert-Paar `"disabled": false`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 7,6 PCI-DSS v3.2.1: 6,6
`WORKLOAD_IDENTITY_DISABLED`	Finding description: Workload Identity ist auf einem GKE-Cluster deaktiviert. Preisstufe: Premium Unterstützte Assets container.googleapis.com/Cluster Problem beheben	Prüft, ob das Attribut `workloadIdentityConfig` eines Clusters festgelegt ist. Der Detektor prüft auch, ob das Attribut `workloadMetadataConfig` eines Knotenpools auf `GKE_METADATA` gesetzt ist. Zusätzliche IAM-Berechtigungen: `roles/container.clusterViewer` Batch-Scans: alle 6 Stunden Echtzeitscans: Ja

Ergebnisse zu Dataset-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.

**Tabelle 5.** Dataset-Scanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`PUBLIC_DATASET`	Finding description (Beschreibung der Suche): Ein Dataset ist so konfiguriert, dass es öffentlich zugänglich ist. Preisstufe: Premium Unterstützte Assets bigquery.googleapis.com/Dataset Problem beheben	Prüft die IAM-Richtlinie in den Ressourcenmetadaten für öffentliche Mitglieder `allUsers` oder `allAuthenticatedUsers`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3, A.14.1.3

Ergebnisse zu DNS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.

**Tabelle 6.** DNS-Scanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`DNSSEC_DISABLED`	Finding description (Beschreibung der Suche): DNSSEC ist für Cloud DNS-Zonen deaktiviert. Preisstufe: Premium Unterstützte Assets dns.googleapis.com/ManagedZone Problem beheben	Prüft, ob das Feld `state` des Attributs `dnssecConfig` auf `off` gesetzt ist. Aus Scans ausgeschlossen: Cloud DNS-Zonen, die nicht öffentlich sind Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 3.3 ISO-27001: A.8.2.3
`RSASHA1_FOR_SIGNING`	Finde description (Beschreibung der Beschreibung): RSASHA1 wird für die Schlüsselsignatur in Cloud DNS-Zonen verwendet. Preisstufe: Premium Unterstützte Assets dns.googleapis.com/ManagedZone Problem beheben	Prüft, ob das `defaultKeySpecs.algorithm`-Objekt des Attributs `dnssecConfig` auf `rsasha1` gesetzt ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 3.4, 3.5

Ergebnisse zu Firewall-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.

**Tabelle 7.** Firewall scanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`EGRESS_DENY_RULE_NOT_SET`	Finding description (Beschreibung der Beschreibung): Eine Firewallregel für ausgehenden Traffic wird nicht für eine Firewall festgelegt. Regeln für abzulehnenden ausgehenden Traffic sollten blockiert werden, um unerwünschten ausgehenden Traffic zu blockieren. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft, ob das Attribut `destinationRanges` in der Firewall auf `0.0.0.0/0` gesetzt ist und das Attribut `denied` das Schlüssel/Wert-Paar `"IPProtocol"` enthält: `"all"`. Zusätzliche Eingaben: Liest ausgehende Firewalls für ein Projekt aus dem Speicher Batch-Scans: alle 6 Stunden Echtzeitscans: Ja, aber nur für Projektänderungen, keine Änderungen an Firewallregeln	PCI-DSS v3.2.1: 7.2
`FIREWALL_RULE_LOGGING_DISABLED`	Finding description (Beschreibung der Suche): Firewallregel-Logging ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Überprüft das Attribut `logConfig` in den Firewall-Metadaten, ob es leer ist oder das Schlüssel/Wert-Paar `"enable"` enthält: `false`. Aus Scans von Scans ausgeschlossen: GKE-Instanzen, von GKE erstellte Firewallregeln, serverloser VPC-Zugriff Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: SI-4 ISO-27001: A.13.1.1
`OPEN_CASSANDRA_PORT`	Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen CASSANDRA-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewallmetadaten auf die folgenden Protokolle und Ports: `TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_CISCOSECURE_WEBSM_PORT`	Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen CISCOSECURE_WEBSM-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewall-Metadaten auf das folgende Protokoll und den Port: `TCP:9090`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_DIRECTORY_SERVICES_PORT`	Finding description: Eine Firewall ist so konfiguriert, dass sie einen offenen DIRECTORY_DIENST-Ports hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewall-Metadaten auf die folgenden Protokolle und Ports: `TCP:445` und `UDP:445`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_DNS_PORT`	Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen DNS-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewall-Metadaten auf die folgenden Protokolle und Ports: `TCP:53` und `UDP:53`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_ELASTICSEARCH_PORT`	Finding description (Beschreibung der Suche): Eine Firewall ist so konfiguriert, dass ein offener ELASTICSEARCH-Port vorhanden ist, der den allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewallmetadaten auf die folgenden Protokolle und Ports: `TCP:9200, 9300`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_FIREWALL`	Beschreibung finden: Eine Firewall ist so konfiguriert, dass sie für den öffentlichen Zugriff geöffnet ist. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft, ob der`sourceRanges` Attribut ist auf`0.0.0.0/0` und das `allowed` für das Schlüssel/Wert-Paar `"IPProtocol"`: `"all"` auf. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1
`OPEN_FTP_PORT`	Beschreibung finden:Eine Firewall ist so konfiguriert, dass sie einen offenen FTP-Port hat, der den allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewall-Metadaten auf das folgende Protokoll und den Port: `TCP:21`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_HTTP_PORT`	Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewallmetadaten auf die folgenden Protokolle und Ports: `TCP:80`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_LDAP_PORT`	Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewall-Metadaten auf die folgenden Protokolle und Ports: `TCP:389, 636` und `UDP:389`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_MEMCACHED_PORT`	Finding description (Beschreibung der Suche): Eine Firewall ist so konfiguriert, dass sie einen offenen MENCACHE-Port hat, der den allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewall-Metadaten auf die folgenden Protokolle und Ports: `TCP:11211, 11214-11215` und `UDP:11211, 11214-11215`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_MONGODB_PORT`	Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen MOGODB-Port hat, der den allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewallmetadaten auf die folgenden Protokolle und Ports: `TCP:27017-27019`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_MYSQL_PORT`	Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen MYSQL-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewall-Metadaten auf das folgende Protokoll und den Port: `TCP:3306`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_NETBIOS_PORT`	Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewall-Metadaten auf die folgenden Protokolle und Ports: `TCP:137-139` und `UDP:137-139`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_ORACLEDB_PORT`	Beschreibung finden:Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewall-Metadaten auf die folgenden Protokolle und Ports: `TCP:1521, 2483-2484` und `UDP:2483-2484`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_POP3_PORT`	Beschreibung suchen:Eine Firewall ist so konfiguriert, dass sie einen offenen POP3-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewall-Metadaten auf das folgende Protokoll und den Port: `TCP:110`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_POSTGRESQL_PORT`	Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewall-Metadaten auf die folgenden Protokolle und Ports: `TCP:5432` und `UDP:5432`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_RDP_PORT`	Beschreibung suchen:Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Prüft das Attribut `allowed` in den Firewall-Metadaten auf die folgenden Protokolle und Ports: `TCP:3389` und `UDP:3389`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 3.7 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_REDIS_PORT`	Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Überprüft, ob das Attribut `allowed` in den Firewall-Metadaten das folgende Protokoll und den folgenden Port enthält: `TCP:6379`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_SMTP_PORT`	Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Überprüft, ob das Attribut `allowed` in den Firewall-Metadaten das folgende Protokoll und den folgenden Port enthält: `TCP:25`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_SSH_PORT`	Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium oder Standard Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Überprüft, ob das Attribut `allowed` in den Firewallmetadaten die folgenden Protokolle und Ports enthält: `TCP:22` und `SCTP:22`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 3.6 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`OPEN_TELNET_PORT`	Beschreibung finden:Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, der einen allgemeinen Zugriff zulässt. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Firewall Problem beheben	Überprüft, ob das Attribut `allowed` in den Firewall-Metadaten das folgende Protokoll und den folgenden Port enthält: `TCP:23`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1

Ergebnisse zu IAM-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.

**Tabelle 8.** IAM-Scanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`ADMIN_SERVICE_ACCOUNT`	Beschreibung finden:Ein Dienstkonto hat die Berechtigungen Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht vom Nutzer erstellten Dienstkonten zugewiesen werden. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Projekt Problem beheben	Prüft die IAM-Richtlinie in den Ressourcenmetadaten für alle von Nutzern erstellten Dienstkonten. Dies wird durch das Präfix *iam.gserviceaccount.com* gekennzeichnet. werden `roles/Owner` oder `roles/Editor` oder eine Rollen-ID zugewiesen, die `admin` enthält. Aus Scans ausgeschlossen: Container Registry-Dienstkonto (*containerregistry.iam.gserviceaccount.com) und Sicherheit Command Center-Dienstkonto (security-center-api.iam.gserviceaccount.com) Batch-Scans: alle 6 Stunden Echtzeitscans*: Ja, außer die IAM-Aktualisierung für einen Ordner ist abgeschlossen.	CIS GCP Foundation 1.0: 1.4
`KMS_ROLE_SEPARATION`	Finding description (Beschreibung der Beschreibung): Die Aufgabentrennung wird nicht erzwungen und ein Nutzer hat eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) gleichzeitig: CryptoKey Encrypter/Decrypter, Encrypter oder Decrypter Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Projekt Problem beheben	Prüft IAM-Richtlinien in Ressourcenmetadaten und ruft gleichzeitig Mitglieder mit einer der folgenden Rollen ab: `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter` und `roles/cloudkms.cryptoKeyDecrypter` , `roles/cloudkms.signer`, `roles/cloudkms.signerVerifier`, `roles/cloudkms.publicKeyViewer`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 1,9 NIST 800-53: AC-5 ISO-27001: A.9.2.3, A.10.1.2
`NON_ORG_IAM_MEMBER`	Beschreibung der Suche:Es gibt einen Nutzer, der keine Organisationsdaten verwendet. Laut CIS GCP Foundations 1.0 wird dieser Detektor nur von Identitäten mit @gmail.com-E-Mail-Adressen ausgelöst. Preisstufe: Premium oder Standard Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Projekt Problem beheben	Vergleicht die E-Mail-Adressen der @gmail.com im Feld `user` der IAM-Richtlinienmetadaten mit einer Liste genehmigter Identitäten für Ihre Organisation. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 1.1 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-3 ISO-27001: A.9.2.3
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Finding description (Beschreibung zur Suche): Ein Nutzer hat auf Projektebene die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Token. . Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Projekt Problem beheben	Überprüft die IAM-Richtlinie in den Ressourcenmetadaten für alle Mitglieder mit der Kennzeichnung `roles/iam.serviceAccountUser` oder `roles/iam.serviceAccountTokenCreator` auf Projektebene. Aus Scans ausgeschlossene Assets: Cloud Build-Dienstkonten Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 1,5 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`PRIMITIVE_ROLES_USED`	Finding description (Beschreibung zur Suche): Ein Nutzer hat die einfache Rolle Owner (Inhaber), Writer (Autor) oder Reader (Leser). auf. Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Projekt Problem beheben	Prüft die IAM-Richtlinie in den Ressourcenmetadaten für alle Mitglieder, denen `roles/Owner`, `roles/Writer` oder `roles/Reader` zugewiesen ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`REDIS_ROLE_USED_ON_ORG`	Finding description (Beschreibung der Beschreibung): Auf Organisations- oder Ordnerebene wird eine Redis-IAM-Rolle zugewiesen. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization Problem beheben	Prüft die IAM-Richtlinie in den Ressourcenmetadaten für Mitglieder, denen `roles/redis.admin`, `roles/redis.editor`, `roles/redis.viewer` auf Organisations- oder Ordnerebene zugewiesen ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 7.1.2 ISO-27001: A.9.2.3
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Beschreibung finden:Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Das ist ein Prinzip des Prinzips der "Separation of Duties". Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Projekt Problem beheben	Prüft die IAM-Richtlinie in den Ressourcenmetadaten für alle Mitglieder, die sowohl `roles/iam.serviceAccountUser` als auch `roles/iam.serviceAccountAdmin` zugewiesen haben. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 1,7 NIST 800-53: AC-5 ISO-27001: A.9.2.3
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Beschreibung finden:Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium Unterstützte Assets iam.googleapis.com/ServiceAccountKey Problem beheben	Wertet den Zeitstempel der Schlüsselerstellung, der in den Metadaten der Dienstkontenschlüssel im Attribut `validAfterTime` erfasst wurde. Aus Scans ausgeschlossene Assets: Abgelaufene Dienstkontoschlüssel und -schlüssel, die nicht von Nutzern verwaltet werden Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 1.6
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	Finding description (Beschreibung der Suche): Ein Nutzer verwaltet einen Dienstkontoschlüssel. Preisstufe: Premium Unterstützte Assets iam.googleapis.com/ServiceAccountKey Problem beheben	Prüft, ob das Attribut `keyType` in den Metadaten des Dienstkontoschlüssels auf `User_Managed` gesetzt ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 1.3

Ergebnisse zu KMS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.

**Tabelle 9.** KMS-Scanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`KMS_KEY_NOT_ROTATED`	Finding description (Beschreibung der Suche): Die Rotation wird nicht für einen Cloud KMS-Verschlüsselungsschlüssel konfiguriert. Schlüssel müssen innerhalb eines Zeitraums von 90 Tagen rotiert werden. Preisstufe: Premium Unterstützte Assets cloudkms.googleapis.com/CryptoKey Problem beheben	Prüft Ressourcenmetadaten auf das Vorhandensein von `rotationPeriod`- oder `nextRotationTime`-Attributen. Aus Scans ausgeschlossene Assets: asymmetrische Schlüssel und Schlüssel mit deaktivierten oder gelöschten Primärversionen Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 1,8 PCI-DSS v3.2.1: 3,5 NIST 800-53: SC-12 ISO-27001: A.10.11.2
`KMS_PROJECT_HAS_OWNER`	Beschreibung finden:Ein Nutzer hat Berechtigungen des Typs Inhaber für ein Projekt mit kryptografischen Schlüsseln. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Prüft die IAM-Richtlinie in Projektmetadaten für Mitglieder, die `roles/Owner` zugewiesen sind. Zusätzliche Eingaben: liest kryptografische Schlüssel für ein Projekt aus dem Speicher und reicht nur für Projekte mit Kryptoschlüsseln ein Batch-Scans: alle 6 Stunden Echtzeitscans: Ja, aber nur bei Änderungen an der IAM-Richtlinie, nicht bei Änderungen an KMS-Schlüsseln	PCI-DSS v3.2.1: 3,5 NIST 800-53: AC-6, SC-12 ISO-27001: A.9.2.3, A.10.1.2
`KMS_PUBLIC_KEY`	Beschreibung finden:Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Preisstufe: Premium Unterstützte Assets cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing Problem beheben	Prüft die IAM-Richtlinie in den Ressourcenmetadaten für öffentliche Mitglieder, `allUsers` oder `allAuthenticatedUsers`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`TOO_MANY_KMS_USERS`	Finding description (Beschreibung der Suche): Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Preisstufe: Premium Unterstützte Assets cloudkms.googleapis.com/CryptoKey Problem beheben	Prüft IAM-Richtlinien auf Schlüsselbunde, Projekte und Organisationen und ruft Mitglieder mit Rollen ab, die ihnen das Verschlüsseln, Entschlüsseln oder Signieren von Daten mithilfe von Cloud KMS-Schlüsseln ermöglichen: `roles/owner`, `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter`, `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer` und `roles/cloudkms.signerVerifier`. Zusätzliche Eingaben: Liest kryptografische Versionen eines Kryptoschlüssels aus dem Speicher und liefert Ergebnisse nur für Schlüssel mit aktiven Versionen. Der Detektor liest auch IAM-Richtlinien für Schlüsselbund, Projekt und Organisation aus Speicher Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 3.5.2 ISO-27001: A.9.2.3

Ergebnisse zu Logging-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.

**Tabelle 10.** Logging-Scanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`AUDIT_LOGGING_DISABLED`	Finding description (Beschreibung der Suche): Das Audit-Logging wurde für diese Ressource deaktiviert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Projekt Problem beheben	Prüft die IAM-Richtlinie in den Ressourcenmetadaten auf das Vorhandensein eines `auditLogConfigs`-Objekts. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja, aber nur bei Änderungen an IAM-Richtlinien für Projekte, nicht bei Ordner- oder Organisationsänderungen.	CIS GCP Foundation 1.0: 2.1 PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: AC-2, AU-2 ISO-27001: A.12.4.1, A.16.1.7
`BUCKET_LOGGING_DISABLED`	Finding description (Beschreibung der Suche): Es gibt einen Storage-Bucket, für den kein Logging aktiviert ist. Preisstufe: Premium Unterstützte Assets storage.googleapis.com/Bucket Problem beheben	Überprüft, ob das Feld `logBucket` im Attribut `logging` des Buckets leer ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 5.3
`LOCKED_RETENTION_POLICY_NOT_SET`	Finding description (Beschreibung der Suche): Eine gesperrte Aufbewahrungsrichtlinie ist für Logs nicht festgelegt. Preisstufe: Premium Unterstützte Assets storage.googleapis.com/Bucket Problem beheben	Prüft, ob im Feld `isLocked` des Attributs `retentionPolicy` des Buckets der Wert `true` festgelegt ist. Zusätzliche Eingaben: Lesen der Logsenke (Logfilter und Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2, A.18.1.3
`LOG_NOT_EXPORTED`	Finding description (Beschreibung der Suche): Es gibt eine Ressource, für die keine entsprechende Logsenke konfiguriert ist. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Ruft ein `logSink`-Objekt in einem Projekt ab und überprüft dabei, ob das Feld `includeChildren` auf `true` gesetzt ist. Das Feld `destination` enthält den Standort, in den Logs geschrieben werden sollen. Das Feld `filter` ist ausgefüllt. Zusätzliche Eingaben: Lesen der Logsenke (Logfilter und Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt Batch-Scans: alle 6 Stunden Echtzeitscans: Ja, aber nur für Projektänderungen, nicht, wenn der Logexport für Ordner oder Organisationen eingerichtet ist	CIS GCP Foundation 1.0: 2.2 ISO-27001: A.18.1.3
`OBJECT_VERSIONING_DISABLED`	Finding description (Beschreibung der Suche): Die Objektversionsverwaltung ist für einen Storage-Bucket nicht aktiviert, in dem Senken konfiguriert sind. Preisstufe: Premium Unterstützte Assets storage.googleapis.com/Bucket Problem beheben	Prüft, ob im Feld `enabled` des Attributs `versioning` des Buckets der Wert `true` festgelegt ist. Aus Scans von Scans ausgeschlossen: Cloud Storage-Buckets mit gesperrter Aufbewahrungsrichtlinie Zusätzliche Eingaben: Lesen der Logsenke (Logfilter und Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt Batch-Scans: alle 6 Stunden Echtzeitscans: Ja, aber nur, wenn sich die Objektversionsverwaltung ändert, und nicht, wenn Log-Buckets erstellt werden	CIS GCP Foundation 1.0: 2.3 PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2, A.18.1.3

Ergebnisse zu Monitoring-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Monitoring-Detektoren für die Monitoring-Erkennung sind:

Den RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll.
Die QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken.
Die AlertPolicyFailureReasons gibt an, ob im Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.

**Tabelle 11.** Monitoring-Scanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`AUDIT_CONFIG_NOT_MONITORED`	Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Änderungen der Audit-Konfiguration konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `protoPayload.methodName=\"SetIamPolicy\" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource und prüft, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten Batch-Scans: Alle 12 Stunden Echtzeitscans*: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen	CIS GCP Foundation 1.0: 2,5
`BUCKET_IAM_NOT_MONITORED`	Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von IAM-Berechtigungenänderungen konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `resource.type=gcs_bucket AND protoPayload.methodName=\"storage.setIamPermissions\"` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource und prüft, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten Batch-Scans: Alle 12 Stunden Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen	CIS GCP Foundation 1.0: 2,10
`CUSTOM_ROLE_NOT_MONITORED`	Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Änderungen der benutzerdefinierten Rolle konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `resource.type=\"iam_role\" AND protoPayload.methodName=\"google.iam.admin.v1.CreateRole\" OR protoPayload.methodName=\"google.iam.admin.v1.DeleteRole\" OR protoPayload.methodName=\"google.iam.admin.v1.UpdateRole\"` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource und prüft, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten Batch-Scans: Alle 12 Stunden Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen	CIS GCP Foundation 1.0: 2,6
`FIREWALL_NOT_MONITORED`	Finding description (Beschreibung der Suche): Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Änderungen der VPC-Netzwerkfirewallregeln konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `resource.type=\"gce_firewall_rule\" AND jsonPayload.event_subtype=\"compute.firewalls.patch\" OR jsonPayload.event_subtype=\"compute.firewalls.insert\"` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource und prüft, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten Batch-Scans: Alle 12 Stunden Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen	CIS GCP Foundation 1.0: 2,7
`NETWORK_NOT_MONITORED`	Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von VPC-Netzwerkänderungen konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `resource.type=gce_network AND jsonPayload.event_subtype=\"compute.networks.insert\" OR jsonPayload.event_subtype=\"compute.networks.patch\" OR jsonPayload.event_subtype=\"compute.networks.delete\" OR jsonPayload.event_subtype=\"compute.networks.removePeering\" OR jsonPayload.event_subtype=\"compute.networks.addPeering\"` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource und prüft, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten Batch-Scans: Alle 12 Stunden Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen	CIS GCP Foundation 1.0: 2,99
`OWNER_NOT_MONITORED`	Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Zuweisungen oder Änderungen für Projekteigentümer konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `(protoPayload.serviceName=\"cloudresourcemanager.googleapis.com\") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action=\"REMOVE\" AND protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action=\"ADD\" AND protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\")` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource und prüft, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten Batch-Scans: Alle 12 Stunden Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen	CIS GCP Foundation 1.0: 2,4
`ROUTE_NOT_MONITORED`	Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Änderungen der VPC-Netzwerkroute konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `resource.type=\"gce_route\" AND jsonPayload.event_subtype=\"compute.routes.delete\" OR jsonPayload.event_subtype=\"compute.routes.insert\"` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource und prüft, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten Batch-Scans: Alle 12 Stunden Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen	CIS GCP Foundation 1.0: 2,8
`SQL_INSTANCE_NOT_MONITORED`	Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Änderungen an der Cloud SQL-Instanz konfiguriert. Preisstufe: Premium Unterstützte Assets cloudresourcemanager.googleapis.com/Project Problem beheben	Prüft, ob das Attribut `filter` der Ressource `LogsMetric` des Projekts auf `protoPayload.methodName=\"cloudsql.instances.update\"` gesetzt ist. Der Detektor sucht auch nach einer entsprechenden `alertPolicy`-Ressource und prüft, ob die Attribute `conditions` und `notificationChannels` ordnungsgemäß konfiguriert sind. Zusätzliche IAM-Berechtigungen: `roles/monitoring.alertPolicyViewer` Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten Batch-Scans: Alle 12 Stunden Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen	CIS GCP Foundation 1.0: 2,11

Ergebnisse der Multi-Faktor-Authentifizierung

Der MFA_SCANNER-Detektor identifiziert Sicherheitslücken im Zusammenhang mit der Multi-Faktor-Authentifizierung für Nutzer.

**Tabelle 12.** Multi-Faktor-Authentifizierungs-Scanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`MFA_NOT_ENFORCED`	Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. Preisstufe: Premium oder Standard Unterstützte Assets cloudresourcemanager.googleapis.com/Organization Problem beheben	Bewertung der Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity. Aus Scans von Scans ausgeschlossen: Organisationseinheiten, denen Ausnahmen für die Richtlinie gewährt wurden Zusätzliche Eingaben: liest Daten aus dem Google-Arbeitsbereich Batch-Scans: Alle 12 Stunden Echtzeitscans: Nein	CIS GCP Foundation 1.0: 1.2 PCI-DSS v3.2.1: 8.3 NIST 800-53: IA-2 ISO-27001: A.9.4.2

Ergebnisse zu Netzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.

**Tabelle 13.** Netzwerkscanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`DEFAULT_NETWORK`	Finding description (Beschreibung der Suche): Das Standardnetzwerk ist in einem Projekt vorhanden. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Network Problem beheben	Prüft, ob das Attribut `name` in den Netzwerkmetadaten auf `default` gesetzt ist. Aus Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist, und Compute Engine-Ressourcen im Status "Eingefroren" sind Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 3.1
`LEGACY_NETWORK`	Finding description (Beschreibung der Suche): In einem Projekt ist ein Legacy-Netzwerk vorhanden. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Network Problem beheben	Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs `IPv4Range`. Aus Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist, und Compute Engine-Ressourcen im Status "Eingefroren" sind Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 3.2

Ergebnisse der Organisationsrichtlinien-Sicherheitslücke

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY.

**Tabelle 14.** Organisationsrichtlinien-Scanner
Detektor	Fazit	Einstellungen für Asset-Scans
`ORG_POLICY_CONFIDENTIAL_VM_POLICY`	Finding description (Beschreibung der Suche): Eine Compute Engine-Ressource entspricht nicht der Organisationsrichtlinie `constraints/compute.restrictNonConfidentialComputing`. Weitere Informationen zu dieser Einschränkung für Organisationsrichtlinien finden Sie unter Einschränkungen für Organisationsrichtlinien in vertrauliche VM erzwingen. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Instance Problem beheben	Prüft, ob das Attribut `enableConfidentialCompute` einer Compute Engine-Instanz auf `true` gesetzt ist. Aus Scans ausgeschlossen: GKE-Instanzen Zusätzliche IAM-Berechtigungen: `permissions/orgpolicy.policy.get` Zusätzliche Eingaben: Liest die geltende Organisationsrichtlinie aus dem Organisationsrichtliniendienst Batch-Scans: Alle 12 Stunden Echtzeitscans: Nein
`ORG_POLICY_LOCATION_RESTRICTION`	Finding description: Eine Compute Engine-Ressource verstößt gegen die Einschränkung `constraints/gcp.resourceLocations`. Weitere Informationen zu dieser Einschränkung für Organisationsrichtlinien finden Sie unter Einschränkungen für Organisationsrichtlinien erzwingen. Preisstufe: Premium Unterstützte Assets Siehe unten. Problem beheben	Prüft das Attribut `listPolicy` in den Metadaten unterstützter Ressourcen auf eine Liste der zulässigen oder abgelehnten Standorte. Zusätzliche IAM-Berechtigungen: `permissions/orgpolicy.policy.get` Zusätzliche Eingaben: Liest die geltende Organisationsrichtlinie aus dem Organisationsrichtliniendienst Batch-Scans: Alle 12 Stunden Echtzeitscans: Nein
Unterstützte Assets für ORG_POLICY_LOCATION_ jedoch ohne Grenzen Compute Engine compute.googleapis.com/Autoscaler compute.googleapis.com/Address compute.googleapis.com/Disk compute.googleapis.com/ForwardingRule compute.googleapis.com/HealthCheck compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/InstanceGroup compute.googleapis.com/InstanceGroupManager compute.googleapis.com/InterconnectAttachment compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/RegionBackendService compute.googleapis.com/RegionDisk compute.googleapis.com/ResourcePolicy compute.googleapis.com/Router compute.googleapis.com/Snapshot compute.googleapis.com/SslCertificate compute.googleapis.com/Subnetwork compute.googleapis.com/TargetHttpProxy compute.google.apis.com/TargetHttpsProxy compute.googleapis.com/TargetInstance compute.googleapis.com/TargetPool compute.googleapis.com/TargetVpnGateway compute.googleapis.com/UrlMap compute.googleapis.com/VpnGateway compute.googleapis.com/VpnTunnel Cloud Storage storage.googleapis.com/Bucket Cloud KMS cloudkms.googleapis.com/CryptoKey¹ cloudkms.googleapis.com/CryptoKeyVersion¹ cloudkms.googleapis.com/ImportJob² cloudkms.googleapis.com/KeyRing¹ Dataproc dataproc.googleapis.com/Cluster BigQuery bigquery.googleapis.com/Dataset Dataflow dataflow.googleapis.com/Job³ ¹ Da Cloud KMS-Assets nicht gelöscht werden können, wird das Asset nicht als "nicht Region" behandelt, wenn die Daten des Assets gelöscht wurden. ² Da Cloud KMS-Importjobs einen kontrollierten Lebenszyklus haben und nicht vorzeitig beendet werden können, wird ein ImportJob nicht als außerhalb der Region betrachtet, wenn der Job abgelaufen ist und nicht mehr verwendet werden kann. um Schlüssel zu importieren. ³ Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, wird ein Job nicht außerhalb der Region betrachtet, nachdem er einen Terminalstatus erreicht (gestoppt oder beendet) hat. nicht mehr zur Verarbeitung von Daten verwendet.

Ergebnisse zu SQL-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.

**Tabelle 15.** SQL-Scanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`AUTO_BACKUP_DISABLED`	Beschreibung finden: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft, ob das Attribut `backupConfiguration.enabled` einer Cloud SQL-Daten auf `true` gesetzt ist. Aus Scans ausgeschlossen: Cloud SQL-Replikate Zusätzliche Eingaben: IAM-Richtlinien für Ancestors aus dem Asset-Speicher von Security Health Analytics lesen Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	NIST 800-53: CP-9 ISO-27001: A.12.3.1
`PUBLIC_SQL_INSTANCE`	Beschreibung finden: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen. Preisstufe: Premium oder Standard Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft, ob das Attribut `authorizedNetworks` von Cloud SQL-Instanzen auf eine einzelne IP-Adresse oder einen IP-Adressbereich eingestellt ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 6.2 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: CA-3, SC-7 ISO-27001: A.8.2.3, A.13.1.3, A.14.1.3
`SSL_NOT_ENFORCED`	Beschreibung finden: Eine Cloud SQL-Datenbankinstanz erfordert nicht, dass alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium oder Standard Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft, ob das Attribut `requireSsl` der Cloud SQL-Instanz auf `true` gesetzt ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 6.1 PCI-DSS v3.2.1: 4,1 NIST 800-53: SC-7 ISO-27001: A.8.2.3, A.13.2.1, A.14.1.3
`SQL_CMEK_DISABLED`	Finding description (Beschreibung der Suche): Eine SQL-Datenbankinstanz ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite unter Detektoren für Sicherheitsintegrität aktivieren. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft das Feld `kmsKeyName` im Objekt `diskEncryptionKey` in den Instanzmetadaten auf den Ressourcennamen Ihres CMEK. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Finding description (Beschreibung der Suche): Das Datenbank-Flag `contained database authentication` für eine Cloud SQL for SQL Server-Instanz ist nicht auf `off` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"contained database authentication"`, `"value"`: `"on"` oder ob es standardmäßig aktiviert ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Finding description: Das Datenbank-Flag `cross_db_ownership_chaining` für eine Cloud SQL for SQL Server-Instanz ist nicht auf `off` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"cross_db_ownership_chaining"`, `"value": "on"`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`SQL_LOCAL_INFILE`	Finding description (Beschreibung der Suche): Das Datenbank-Flag `local_infile` für eine Cloud SQL for MySQL-Instanz ist nicht auf `off` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"local_infile"`, `"value": "on"`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`SQL_LOG_CHECKPOINTS_DISABLED`	Finding description (Beschreibung der Suche): Das Datenbank-Flag `log_checkpoints` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `on` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_checkpoints"`, `"value": "on"`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`SQL_LOG_CONNECTIONS_DISABLED`	Finding description (Beschreibung der Suche): Das Datenbank-Flag `log_connections` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `on` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_connections"`, `"value": "on"`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`SQL_LOG_DISCONNECTIONS_DISABLED`	Finding description (Beschreibung der Beschreibung): Das Datenbank-Flag `log_disconnections` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `on` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_disconnections"`, `"value": "on"`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`SQL_LOG_LOCK_WAITS_DISABLED`	Finding description (Beschreibung der Suche): Das Datenbank-Flag `log_lock_waits` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf `on` gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_lock_waits"`, `"value": "on"`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Finding description (Beschreibung der Suche): Das Datenbank-Flag `log_min_duration_statement` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf "-1" gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_min_duration_statement"`, `"value": "-1"`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`SQL_LOG_MIN_ERROR_STATEMENT`	Find description (Beschreibung der Beschreibung): Das Datenbank-Flag `log_min_error_statement` für eine Cloud SQL for PostgreSQL-Instanz ist nicht ordnungsgemäß festgelegt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft, ob der`log_min_error_statement` des Felds`databaseFlags` Attribut ist auf einen der folgenden Werte festgelegt: `debug5` ,`debug4` ,`debug3` , `debug2` ,`debug1` ,`info` , `notice` ,`warning` , oder den Standardwert`error` auf. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`SQL_LOG_TEMP_FILES`	Finding description (Beschreibung der Suche): Das Datenbank-Flag `log_temp_files` für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf "0" gesetzt. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft das Attribut `databaseFlags` von Instanzmetadaten für das Schlüssel/Wert-Paar `"name"`: `"log_temp_files"`, `"value": "0"`. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`SQL_NO_ROOT_PASSWORD`	Beschreibung finden: In einer Cloud SQL-Datenbank ist für das Root-Konto kein Passwort konfiguriert. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung finden Sie weiter unten auf dieser Seite unter Sicherheitsintegritäts-Analytics-Detektoren aktivieren. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft, ob das Attribut `rootPassword` des Root-Kontos leer ist. Zusätzliche IAM-Berechtigungen: `roles/cloudsql.client` Zusätzliche Eingaben: Fragt Liveinstanzen Batch-Scans: alle 6 Stunden Echtzeitscans: Nein	CIS GCP Foundation 1.0: 6.3 PCI-DSS v3.2.1: 2.1 NIST 800-53: AC-3 ISO-27001: A.8.2.3, A.9.4.2
`SQL_PUBLIC_IP`	Beschreibung finden: Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Prüft, ob der IP-Adresstyp einer Cloud SQL-Datenbank auf `Primary` gesetzt ist, der angibt, dass sie öffentlich ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`SQL_WEAK_ROOT_PASSWORD`	Beschreibung finden:In einer Cloud SQL-Datenbank ist für das Root-Konto ein schwaches Passwort konfiguriert. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite unter Detektoren für Sicherheitsintegrität aktivieren. Preisstufe: Premium Unterstützte Assets sqladmin.googleapis.com/Instance Problem beheben	Vergleicht das Passwort für das Root-Konto Ihrer Cloud SQL-Datenbank mit einer Liste gängiger Passwörter. Zusätzliche IAM-Berechtigungen: `roles/cloudsql.client` Zusätzliche Eingaben: Fragt Liveinstanzen Batch-Scans: alle 6 Stunden Echtzeitscans: Nein

Ergebnisse zu Speichersicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.

**Tabelle 16.** Speicherscanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`BUCKET_CMEK_DISABLED`	Finding description (Beschreibung der Suche): Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite unter Sicherheitsintegritäts-Analytics-Detektoren aktivieren. Preisstufe: Premium Unterstützte Assets storage.googleapis.com/Bucket Problem beheben	Prüft das Feld `encryption` in den Bucket-Metadaten auf den Ressourcennamen Ihres CMEK. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`BUCKET_POLICY_ONLY_DISABLED`	Finding description (Beschreibung der Beschreibung): Der einheitliche Zugriff auf Bucket-Ebene, der bisher nur "Nur Bucket-Richtlinie" genannt wurde, ist nicht konfiguriert. Preisstufe: Premium Unterstützte Assets storage.googleapis.com/Bucket Problem beheben	Prüft, ob das Attribut `uniformBucketLevelAccess` für einen Bucket auf `"enabled":false` gesetzt ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja
`PUBLIC_BUCKET_ACL`	Beschreibung finden:Ein Cloud Storage-Bucket ist öffentlich zugänglich. Preisstufe: Premium oder Standard Unterstützte Assets storage.googleapis.com/Bucket Problem beheben	Prüft die IAM-Richtlinie eines Buckets für öffentliche Rollen, `allUsers` oder `allAuthenticatedUsers`, mit Administrator- oder Bearbeiterberechtigungen. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 5.1 PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3, A.14.1.3
`PUBLIC_LOG_BUCKET`	Finding description (Beschreibung der Suche): Ein Storage-Bucket, der als Logsenke verwendet wird, ist öffentlich zugänglich. Preisstufe: Premium oder Standard Unterstützte Assets storage.googleapis.com/Bucket Problem beheben	Prüft die IAM-Richtlinie eines Buckets auf öffentliche Mitglieder: `allUsers` oder `allAuthenticatedUsers`. Zusätzliche Eingaben: Lesen der Logsenke (Logfilter und Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt Batch-Scans: alle 6 Stunden Echtzeitscans: Ja, aber nur, wenn die IAM-Richtlinie für Buckets geändert wird, nicht, wenn die Logsenke geändert wird	PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-9 ISO-27001: A.8.2.3, A.12.4.2, A.18.1.3

Ergebnisse zu Subnetzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.

**Tabelle 17.** Subnetzwerk-Scanner
Detektor	Fazit	Einstellungen für Asset-Scans	Compliance-Prinzipien
`FLOW_LOGS_DISABLED`	Finding description (Beschreibung der Suche): Es gibt ein VPC-Subnetzwerk mit deaktivierten Flusslogs. Preisstufe: Premium Unterstützte Assets compute.googleapis.com/Subnetwork Problem beheben	Prüft, ob das Attribut `enableFlowLogs` von Compute Engine-Subnetzwerken fehlt oder auf `false` gesetzt ist. Aus Scans von Scans ausgeschlossen: Serverloser VPC-Zugriff, Subnetzwerke für Load-Balancer Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 3,9 PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: SI-4 ISO-27001: A.13.1.1
`PRIVATE_GOOGLE_ACCESS_DISABLED`	Beschreibung finden: Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs. Preisstufe: Premium Unterstützte Assets storage.googleapis.com/Bucket compute.googleapis.com/Subnetzwerk Problem beheben	Prüft, ob das Attribut `privateIpGoogleAccess` von Compute Engine-Subnetzwerken auf `false` gesetzt ist. Batch-Scans: alle 6 Stunden Echtzeitscans: Ja	CIS GCP Foundation 1.0: 3,8

Detektoren für Sicherheitsintegritäts-Analysen aktivieren

Die folgenden Detektoren für Security Health Analytics sind nicht standardmäßig aktiviert:

BUCKET_CMEK_DISABLED
DISK_CMEK_DISABLED
NODEPOOL_BOOT_CMEK_DISABLED
SQL_CMEK_DISABLED
SQL_NO_ROOT_PASSWORD
SQL_WEAK_ROOT_PASSWORD

Führen Sie im gcloud-Befehlszeilentool den folgenden gcloud alpha-Befehl aus, um einen Detektor (auch Modul genannt) zu aktivieren:

  gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR

Dabei gilt:

ORGANIZATION_ID: Ihre Organisations-ID.
DETECTOR: Name des Detektors, den Sie aktivieren möchten

Web Security Scanner-Ergebnisse

Benutzerdefinierte und verwaltete Scans von Web Security Scanner identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

**Tabelle 18.** Web Security Scanner-Ergebnisse
Category	Ergebnisbeschreibung	OWASP Top 10
`ACCESSIBLE_GIT_REPOSITORY`	Ein Git-Repository ist öffentlich verfügbar. Entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository, um dieses Problem zu beheben.	A3
`ACCESSIBLE_SVN_REPOSITORY`	Ein SVN-Repository ist öffentlich zugänglich. Entfernen Sie den öffentlichen unbeabsichtigten Zugriff auf das SVN-Repository, um das Problem zu beheben.	A3
`CLEAR_TEXT_PASSWORD`	Passwörter werden in Klartext übertragen und können abgefangen werden. Verschlüsseln Sie das über das Netzwerk übertragene Passwort, um das Ergebnis zu ermitteln.	A3
`INVALID_CONTENT_TYPE`	Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Sie können dieses Ergebnis beheben, indem Sie den HTTP-Header "X-Content-Type-Options" mit dem richtigen Wert festlegen.	A6
`INVALID_HEADER`	Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um dieses Ergebnis zu beheben.	A6
`MISMATCHING_SECURITY_HEADER_VALUES`	Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um dieses Ergebnis zu beheben.	A6
`MISSPELLED_SECURITY_HEADER_NAME`	Ein Sicherheitsheader ist falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um dieses Ergebnis zu beheben.	A6
`MIXED_CONTENT`	Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Sorgen Sie dafür, dass alle Ressourcen über HTTPS bereitgestellt werden.	A6
`OUTDATED_LIBRARY`	Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie Bibliotheken auf eine neuere Version, um dieses Ergebnis zu beheben.	A9
`XSS`	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Sie können dieses Problem beheben, indem Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten validieren und maskieren.	A7
`XSS_ANGULAR_CALLBACK`	Ein vom Nutzer bereitgestellter String wird nicht maskiert und in Angularity kann interpoliert werden. Sie können dies beheben, indem Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden, validieren und maskieren.	A7
`XSS_ERROR`	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Sie können dieses Problem beheben, indem Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten validieren und maskieren.	A7

CIS-Benchmarks

Das Center for Internet Security (CIS) enthält die folgenden Benchmarks, die Web Security Scanner oder Security Health Analytics-Detektoren derzeit nicht unterstützen:

**Tabelle 19.** CIS-Benchmarks
Kategorie	Ergebnisbeschreibung	CIS GCP Foundation 1.0
`BASIC_AUTHENTICATION_ENABLED`	IAM oder Clientzertifikat-Authentifizierung sollte auf Kubernetes-Clustern aktiviert sein.	7.10
`CLIENT_CERT_AUTHENTICATION_DISABLED`	Kubernetes-Cluster sollten mit aktiviertem Clientzertifikat erstellt werden.	7.12
`LABELS_NOT_USED`	Mit Labels können Zahlungsinformationen aufgeschlüsselt werden.	7,5
`PUBLIC_STORAGE_OBJECT`	Die Speicherobjekt-ACL sollte allUsers keinen Zugriff gewähren.	5,2
`SQL_BROAD_ROOT_LOGIN`	Der Root-Zugriff auf eine SQL-Datenbank sollte auf als zulässig gelistete, vertrauenswürdige IP-Adressen beschränkt werden.	6.4

Nächste Schritte

Informationen zur Verwendung von Security Health Analytics und zur Verwendung von Web Security Scanner
Vorschläge zur Behebung von Security Health Analytics-Ergebnissen und zur Behebung von Web Security Scanner-Ergebnissen