Ergebnisse zu Sicherheitslücken

>

Detektoren für Security Health Analytics und Web Security Scanner erzeugen Sicherheitslücken, die in Security Command Center verfügbar sind.

Detektoren und Compliance

In den folgenden Tabellen werden die Detektortypen und die gefundenen Sicherheitslücken beschrieben, die von Security Health Analytics und Web Security Scanner generiert werden können. Sie können Ergebnisse nach Detektorname und Ergebnistyp auf dem Tab für Sicherheitslücken in Security Command Center in der Google Cloud Console filtern.

Diese Tabellen enthalten eine Beschreibung der Zuordnung zwischen unterstützten Detektoren und der Best-Effort-Zuordnung zu relevanten Compliance-Systemen.

Die Zuordnungen von CIS Google Cloud Foundation 1.0 wurden vom Center for Internet Security auf die Übereinstimmung mit dem CIS Google Cloud Computing Foundations Benchmark v1.0.0 geprüft und zertifiziert. Zusätzliche Compliance-Zuordnungen sind zu Referenzzwecken enthalten und werden nicht vom Payment Card Industry Data Security Standard oder der OWASP Foundation bereitgestellt oder geprüft. Weitere Informationen finden Sie unter CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0), Payment Card Industry Data Security Standard 3.2.1 (PCI-DSS v3.2.1) OWASP Top Ten, National Institute of Standards and Technology 800-53 (NIST 800-53) und International Organization for Standardization 27001 (ISO 27001) zur manuellen Prüfung auf diese Verstöße.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienstleistungen gemäß aller regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Security Health Analytics

Detektoren für Sicherheitsintegritäts-Analysen überwachen eine Teilmenge von Ressourcen aus dem Cloud Asset Inventory (CAI), um Benachrichtigungen zu Änderungen der Ressourcen- und Identitäts- und Zugriffsverwaltung (IAM) zu erhalten. Einige Detektoren rufen Daten ab, indem sie Google Cloud APIs direkt aufrufen, wie in den Tabellen später auf dieser Seite angegeben.

Security Health Analytics-Scans werden in drei Modi ausgeführt:

  • Batch Scan:Alle Detektoren werden für ein registriertes Konto mindestens zweimal pro Tag ausgeführt. Detektoren werden in unterschiedlichen Zeitplänen ausgeführt, um bestimmte Service Level Objectives (SLO) zu erreichen. Zur Erfüllung einer SLO von 12 und 24 Stunden führen die Detektoren Batch-Scans alle sechs Stunden oder zwölf Stunden aus. Ressourcen- und Richtlinienänderungen, die zwischen den Batch-Scans auftreten, werden nicht sofort erfasst und beim nächsten Batch-Scan angewendet. Hinweis: Batch-Scanpläne sind Leistungsziele, keine Dienstgarantien.

  • Echtzeit-Scan:Unterstützte Detektoren starten Scans, wenn CAI eine Änderung in der Konfiguration eines Assets meldet. Die Ergebnisse werden sofort in Security Command Center geschrieben.

  • Gemischter Modus:Bei einigen Detektoren, die Echtzeitscans unterstützen, werden Änderungen in allen unterstützten Assets möglicherweise nicht in Echtzeit erkannt. In diesen Fällen werden Konfigurationsänderungen für einige Assets sofort erfasst und andere in Batch-Scans erfasst. Ausnahmen sind in den Tabellen auf dieser Seite aufgeführt.

In den folgenden Tabellen werden Sicherheitsprüfer von Security Health Analytics, die unterstützten Assets und Compliance-Regimes, die Einstellungen für Scans und die gefundenen Ergebnistypen beschrieben. Anleitungen zum Beheben von Problemen und zum Schutz Ihrer Ressourcen finden Sie unter Ergebnisse von Security Health Analytics beheben.

Ergebnisse zu Sicherheitslücken beim API-Schlüssel

Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.

Tabelle 1. API-Schlüsselscanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
API_KEY_APIS_UNRESTRICTED

Finding description (Beschreibung der Suche): Es gibt zu weit gefasste API-Schlüssel. Um dieses Problem zu beheben, begrenzen Sie die Nutzung der API-Schlüssel, damit nur die von der Anwendung benötigten APIs zugelassen werden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Ruft das Attribut restrictions aller API-Schlüssel in einem Projekt ab und prüft, ob einer auf cloudapis.googleapis.com gesetzt ist.

  • Zusätzliche IAM-Berechtigungen: roles/serviceusage.apiKeysViewer
  • Zusätzliche Eingaben: Ruft API-Schlüssel für ein Projekt über den API-Schlüsseldienst ab
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Nein
CIS GCP Foundation 1.0: 1,12
API_KEY_APPS_UNRESTRICTED

Beschreibung suchen:API-Schlüssel werden uneingeschränkt verwendet, um die Verwendung durch eine nicht vertrauenswürdige Anwendung zu ermöglichen.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Ruft das Attribut restrictions aller API-Schlüssel in einem Projekt ab und prüft, ob browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions oder iosKeyRestrictions festgelegt ist.

  • Zusätzliche IAM-Berechtigungen: roles/serviceusage.apiKeysViewer
  • Zusätzliche Eingaben: Ruft API-Schlüssel für ein Projekt über den API-Schlüsseldienst ab
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Nein
CIS GCP Foundation 1.0: 1.11
API_KEY_EXISTS

Finding description (Beschreibung der Suche): Ein Projekt verwendet API-Schlüssel anstelle der Standardauthentifizierung.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Ruft alle API-Schlüssel eines Projekts ab.

  • Zusätzliche IAM-Berechtigungen: roles/serviceusage.apiKeysViewer
  • Zusätzliche Eingaben: Ruft API-Schlüssel für ein Projekt über den API-Schlüsseldienst ab
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Nein
CIS GCP Foundation 1.0: 1,10

API_KEY_NOT_ROTATED

Finding description (Beschreibung der Suche): Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Ruft den Zeitstempel im Attribut createTime aller API-Schlüssel ab und überprüft, ob 90 Tage vergangen sind.

  • Zusätzliche IAM-Berechtigungen: roles/serviceusage.apiKeysViewer
  • Zusätzliche Eingaben: Ruft API-Schlüssel für ein Projekt über den API-Schlüsseldienst ab
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Nein
CIS GCP Foundation 1.0: 1,13

Ergebnisse zu Sicherheitslücken bei Compute-Images

Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.

Tabelle 2. Compute-Image-Scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
PUBLIC_COMPUTE_IMAGE

Beschreibung finden: Ein Compute Engine-Image ist öffentlich zugänglich.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Image

Problem beheben

Prüft die IAM-Richtlinie in den Ressourcenmetadaten für öffentliche Mitglieder, allUsers oder allAuthenticatedUsers.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

Ergebnisse zu Sicherheitslücken bei Compute-Instanzen

Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.

COMPUTE_INSTANCE_SCANNER-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Die Namen dieser Instanzen beginnen mit "gke-", das Nutzer nicht bearbeiten können. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.

Tabelle 2. Compute-Instanzscanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Beschreibung suchen: Projektweite SSH-Schlüssel werden verwendet, wodurch eine Anmeldung für alle Instanzen im Projekt möglich ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Problem beheben

Prüft das Objekt metadata.items[] in den Instanzmetadaten auf das Schlüssel/Wert-Paar "key": "block-project-ssh-keys", "value": TRUE.

  • Aus Scans ausgeschlossen: GKE-Instanzen, Dataflow-Job, Windows-Instanz
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten von Compute Engine
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Nein
CIS GCP Foundation 1.0: 4.2
COMPUTE_SECURE_BOOT_DISABLED

Finding description (Beschreibung der Beschreibung): Für diese Shielded VM ist Secure Boot nicht aktiviert. Secure Boot schützt VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Problem beheben

Prüft das Attribut shieldedInstanceConfig auf Compute Engine-Instanzen, um festzustellen, ob enableIntegrityMonitoring, enableSecureBoot, enableVtpm alle auf true festgelegt sind. Die Felder geben an, ob angehängte Laufwerke mit Secure Boot kompatibel sind und ob Shielded VM aktiviert ist.

  • Aus Scans von Scans ausgeschlossen: GKE-Instanzen, Compute Engine-Laufwerke mit GPU-Beschleunigern und ohne Container-Optimized OS), serverlosen VPC-Zugriff
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Nein
COMPUTE_SERIAL_PORTS_ENABLED

Beschreibung der Beschreibung:serielle Ports sind für eine Instanz aktiviert, die Verbindungen zur seriellen Konsole der Instanz zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Problem beheben

Prüft das Objekt metadata.items[] in den Instanzmetadaten auf das Schlüssel/Wert-Paar "key": "serial-port-enable", "value": TRUE.

  • Aus Scans ausgeschlossen: GKE-Instanzen
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten von Compute Engine
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Nein
CIS GCP Foundation 1.0: 4.4
DEFAULT_SERVICE_ACCOUNT_USED

Finding description (Beschreibung der Suche): Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto verwendet.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Problem beheben

Überprüft das Attribut serviceAccounts in den Instanzmetadaten nach E-Mail-Adressen von Dienstkonten mit dem Präfix PROJECT_NUMBER-compute@developer.gserviceaccount.com, die das von Google erstellte Standarddienstkonto angeben.

  • Aus Scans ausgeschlossen: GKE-Instanzen, Dataflow-Jobs
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Nein
DISK_CMEK_DISABLED

Finding description (Beschreibung der Suche): Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite unter Detektoren für Sicherheitsintegrität aktivieren.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Disk

Problem beheben

Prüft das Feld kmsKeyName im Objekt diskEncryptionKey in den Laufwerkmetadaten auf den Ressourcennamen Ihres CMEK.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Nein
DISK_CSEK_DISABLED

Finding description (Beschreibung der Suche): Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer Supplied Encryption Keys, CSEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung finden Sie unter Detektor aktivieren.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Disk

Problem beheben

Prüft das Feld kmsKeyName im Objekt diskEncryptionKey auf den Ressourcennamen Ihres CSEK.

  • Aus Scans ausgeschlossene Assets: Compute Engine-Laufwerke mit dem Sicherheitszeichen enforcement_customer_served_disk_encryption_keys
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten von Compute Engine
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Nein
CIS GCP Foundation 1.0: 4.6
FULL_API_ACCESS

Finding description (Beschreibung der Suche): Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit Vollzugriff auf alle Google Cloud APIs verwendet.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Problem beheben

Ruft das Feld scopes im Attribut serviceAccounts ab, um zu prüfen, ob ein Standarddienstkonto verwendet wird und ob ihm der Bereich cloud-platform zugewiesen ist.

  • Aus Scans ausgeschlossen: GKE-Instanzen, Dataflow-Jobs
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Nein

CIS GCP Foundation 1.0: 4.1

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

HTTP_LOAD_BALANCER

Finding description (Beschreibung der Suche): Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/TargetHttpProxy

Problem beheben

Bestimmt, ob das Attribut selfLink der Ressource targetHttpProxy mit dem Attribut target in der Weiterleitungsregel übereinstimmt und wenn die Weiterleitungsregel ein loadBalancingScheme enthält. Feld auf External festgelegt.

  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Weiterleitungsregeln für einen HTTP-Zielproxy von Compute Engine aus und prüft auf externe Regeln
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
PCI-DSS v3.2.1: 2.3
IP_FORWARDING_ENABLED

Finding description (Beschreibung der Suche): IP-Weiterleitung ist für Instanzen aktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Problem beheben

Prüft, ob das Attribut canIpForward der Instanz auf true gesetzt ist.

  • Aus Scans ausgeschlossen: GKE-Instanzen, serverloser VPC-Zugriff
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
CIS GCP Foundation 1.0: 4.5
OS_LOGIN_DISABLED

Finding description (Beschreibung der Suche): OS Login ist für diese Instanz deaktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Project

Problem beheben

Überprüft das Objekt commonInstanceMetadata.items[] in den Projektmetadaten für das Schlüssel/Wert-Paar "key": "enable-oslogin", "value": TRUE. Der Detektor prüft auch alle Instanzen in einem Compute Engine-Projekt, um zu prüfen, ob OS Login für einzelne Instanzen deaktiviert ist.

  • Aus Scans ausgeschlossen: GKE-Instanzen
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten von Compute Engine. Der Detektor prüft auch Compute Engine-Instanzen im Projekt
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Nein
CIS GCP Foundation 1.0: 4.3
PUBLIC_IP_ADDRESS

Beschreibung der Instanz:Eine Instanz hat eine öffentliche IP-Adresse.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Instance

Problem beheben

Überprüft, ob das Attribut networkInterfaces ein Feld accessConfigs enthält, das angibt, dass es für die Verwendung einer öffentlichen IP-Adresse konfiguriert ist.

  • Aus Scans ausgeschlossen: GKE-Instanzen
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Nein

PCI-DSS v3.2.1: 1.2.1, 1.1.3.5

NIST 800-53: CA-3, SC-7

SHIELDED_VM_DISABLED

Finding description: Shielded VM ist für diese Instanz deaktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Problem beheben

Überprüft das Attribut shieldedInstanceConfig in Compute Engine-Instanzen, ob die Felder enableIntegrityMonitoring, enableSecureBoot, enableVtpm auf true gesetzt sind. Die Felder geben an, ob angehängte Laufwerke mit Secure Boot kompatibel sind und ob Shielded VM aktiviert ist.

  • Aus Scans von Scans ausgeschlossen: GKE-Instanzen, Compute Engine-Laufwerke mit GPU-Beschleunigern und ohne Container-Optimized OS), serverlosen VPC-Zugriff
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
WEAK_SSL_POLICY

Beschreibung suchen:Eine Instanz hat eine schwache SSL-Richtlinie.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Problem beheben

Überprüft, ob sslPolicy in den Assetmetadaten leer ist und ob für die angehängte sslPolicies-Ressource profile auf Restricted oder Modern, minTlsVersion festgelegt wurde. ist auf TLS 1.2 gesetzt und customFeatures ist leer oder enthält nicht die folgenden Chiffren: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest SSL-Richtlinien für Ziel-Proxy-Speicher und sucht nach schwachen Richtlinien
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja, aber nur, wenn der TargetHttpsProxy des TargetSslProxy aktualisiert wird, und nicht, wenn die SSL-Richtlinie aktualisiert wird.

PCI-DSS v3.2.1: 4,1

NIST 800-53: SC-7

ISO-27001: A.14.1.3

Ergebnisse zu Container-Sicherheitslücken

Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.

Tabelle 4. Container scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
AUTO_REPAIR_DISABLED

Finding description (Beschreibung der Beschreibung): Ein Feature zur automatischen Reparatur von GKE-Clustern, mit dem Knoten in einem fehlerfreien Zustand ausgeführt werden, ist deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Überprüft dasmanagement eines Knotenpools und für das Schlüssel/Wert-Paar"key": "autoRepair" ,"value": true auf.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 7,7

PCI-DSS v3.2.1: 2.2

AUTO_UPGRADE_DISABLED

Finding description (Beschreibung suchen): Die Funktion für automatische Upgrades eines GKE-Clusters, die Cluster und Knotenpools auf der neuesten stabilen Version von Kubernetes deaktiviert, ist deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Überprüft dasmanagement eines Knotenpools und für das Schlüssel/Wert-Paar"key": "autoUpgrade" ,"value": true auf.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 7,8

PCI-DSS v3.2.1: 2.2

CLUSTER_LOGGING_DISABLED

Finding description (Beschreibung suchen): Logging ist für GKE-Cluster nicht aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Überprüft, ob das Attribut loggingService eines Clusters den Standort enthält, den Cloud Logging zum Schreiben von Logs verwenden soll.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 10.2.2.2, 10.2.7

CLUSTER_MONITORING_DISABLED

Finding description (Beschreibung suchen): Monitoring ist für GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Überprüft, ob das Attribut monitoringService eines Clusters den Standort enthält, den Cloud Monitoring zum Schreiben von Messwerten verwenden soll.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 7.2

PCI-DSS v3.2.1: 10.1, 10.2

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Finding description (Beschreibung der Suche): Clustercluster sind nicht so konfiguriert, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft, ob das Attribut privateIpGoogleAccess eines Subnetzwerks auf false gesetzt ist.

  • Zusätzliche Eingaben: Liest Subnetzwerke aus dem Speicher, sodass Ergebnisse nur für Cluster mit Subnetzwerken gesendet werden
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja, aber nur, wenn der Cluster aktualisiert wird, nicht für Subnetzwerkaktualisierungen

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3

COS_NOT_USED

Beschreibung finden: Compute Engine-VMs nutzen nicht das Container-Optimized OS, das für die sichere Ausführung von Docker-Containern in Google Cloud ausgelegt ist.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft das Attribut config eines Knotenpools für das Schlüssel/Wert-Paar "imageType": "COS".

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 7.9

PCI-DSS v3.2.1: 2.2

IP_ALIAS_DISABLED

Finding description (Beschreibung der Suche): Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft, ob das Feld useIPAliases von ipAllocationPolicy in einem Cluster auf false gesetzt ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3.4, 1.1.7

LEGACY_AUTHORIZATION_ENABLED

Finding description (Beschreibung der Suche): Die Legacy-Autorisierung ist für GKE-Cluster aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft das Attribut legacyAbac eines Clusters auf das Schlüssel/Wert-Paar "enabled": true.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 7.3

PCI-DSS v3.2.1: 4,1

LEGACY_METADATA_ENABLED

Finding description (Beschreibung der Suche): Legacy-Metadaten sind für GKE-Cluster aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft das Attribut config eines Knotenpools für das Schlüssel/Wert-Paar "disable-legacy-endpoints": "false".

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
MASTER_AUTHORIZED_NETWORKS_DISABLED

Finding description (Autorisierte Beschreibung): Master autorisierte Netzwerke sind auf GKE-Clustern nicht aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft das Attribut masterAuthorizedNetworksConfig eines Clusters auf das Schlüssel/Wert-Paar "enabled": false.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 7.4

PCI-DSS v3.2.1: 1.2.1, 1.3.2

NETWORK_POLICY_DISABLED

Finding description (Beschreibung der Suche): Die Netzwerkrichtlinie ist für GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft das Feld networkPolicy des Attributs addonsConfig für das Schlüssel/Wert-Paar "disabled": true.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3

NIST 800-53: SC-7

ISO-27001: A.13.1.1

NODEPOOL_BOOT_CMEK_DISABLED

Finding description (Beschreibung der Beschreibung): Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung finden Sie weiter unten auf dieser Seite unter Sicherheitsintegritäts-Analytics-Detektoren aktivieren.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft das Attribut bootDiskKmsKey von Knotenpools auf den Ressourcennamen Ihres CMEK.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
OVER_PRIVILEGED_ACCOUNT

Beschreibung suchen:Ein Dienstkonto hat zu viele Projektzugriffe in einem Cluster.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Wertet das Attribut config eines Knotenpools, um zu prüfen, ob kein Dienstkonto angegeben ist oder ob das Standarddienstkonto verwendet wird.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 2.1, 7.1.2

NIST 800-53: AC-6, SC-7

ISO-27001: A.9.2.3

OVER_PRIVILEGED_SCOPES

Beschreibung finden:Ein Knotendienstkonto hat breite Zugriffsbereiche.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft, ob der im Attribut config.oauthScopes eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich für Dienstkonten ist: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, oder https://www.googleapis.com/auth/monitoring.
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
CIS GCP Foundation 1.0: 7.1
POD_SECURITY_POLICY_DISABLED

Finding description (Beschreibung der Suche): PodSecurityPolicy ist auf einem GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft das Attribut podSecurityPolicyConfig eines Clusters auf das Schlüssel/Wert-Paar "enabled": false.

  • Zusätzliche IAM-Berechtigungen: roles/container.clusterViewer
  • Zusätzliche Eingaben: lesen Clusterinformationen aus GKE, da Pod-Sicherheitsrichtlinien eine Betafunktion sind. Diese Funktion wird in Zukunft möglicherweise entfernt
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Nein
CIS GCP Foundation 1.0: 7.1
PRIVATE_CLUSTER_DISABLED

Beschreibung finden: In einem GKE-Cluster ist ein privater Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft, ob das Feld enablePrivateNodes des Attributs privateClusterConfig auf false gesetzt ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3.2

WEB_UI_ENABLED

Finding description (Beschreibung der Suche): Die GKE-Web-UI (Dashboard) ist aktiviert.

Preisstufe: Premium oder Standard

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft das Feld kubernetesDashboard des Attributs addonsConfig für das Schlüssel/Wert-Paar "disabled": false.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 7,6

PCI-DSS v3.2.1: 6,6

WORKLOAD_IDENTITY_DISABLED

Finding description: Workload Identity ist auf einem GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Problem beheben

Prüft, ob das Attribut workloadIdentityConfig eines Clusters festgelegt ist. Der Detektor prüft auch, ob das Attribut workloadMetadataConfig eines Knotenpools auf GKE_METADATA gesetzt ist.

  • Zusätzliche IAM-Berechtigungen: roles/container.clusterViewer
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

Ergebnisse zu Dataset-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.

Tabelle 5. Dataset-Scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
PUBLIC_DATASET

Finding description (Beschreibung der Suche): Ein Dataset ist so konfiguriert, dass es öffentlich zugänglich ist.

Preisstufe: Premium

Unterstützte Assets
bigquery.googleapis.com/Dataset

Problem beheben

Prüft die IAM-Richtlinie in den Ressourcenmetadaten für öffentliche Mitglieder allUsers oder allAuthenticatedUsers.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 7.1

NIST 800-53: AC-2

ISO-27001: A.8.2.3, A.14.1.3

Ergebnisse zu DNS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.

Tabelle 6. DNS-Scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
DNSSEC_DISABLED

Finding description (Beschreibung der Suche): DNSSEC ist für Cloud DNS-Zonen deaktiviert.

Preisstufe: Premium

Unterstützte Assets
dns.googleapis.com/ManagedZone

Problem beheben

Prüft, ob das Feld state des Attributs dnssecConfig auf off gesetzt ist.

  • Aus Scans ausgeschlossen: Cloud DNS-Zonen, die nicht öffentlich sind
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 3.3

ISO-27001: A.8.2.3

RSASHA1_FOR_SIGNING

Finde description (Beschreibung der Beschreibung): RSASHA1 wird für die Schlüsselsignatur in Cloud DNS-Zonen verwendet.

Preisstufe: Premium

Unterstützte Assets
dns.googleapis.com/ManagedZone

Problem beheben

Prüft, ob das defaultKeySpecs.algorithm-Objekt des Attributs dnssecConfig auf rsasha1 gesetzt ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
CIS GCP Foundation 1.0: 3.4, 3.5

Ergebnisse zu Firewall-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.

Tabelle 7. Firewall scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
EGRESS_DENY_RULE_NOT_SET

Finding description (Beschreibung der Beschreibung): Eine Firewallregel für ausgehenden Traffic wird nicht für eine Firewall festgelegt. Regeln für abzulehnenden ausgehenden Traffic sollten blockiert werden, um unerwünschten ausgehenden Traffic zu blockieren.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft, ob das Attribut destinationRanges in der Firewall auf 0.0.0.0/0 gesetzt ist und das Attribut denied das Schlüssel/Wert-Paar "IPProtocol" enthält: "all".

  • Zusätzliche Eingaben: Liest ausgehende Firewalls für ein Projekt aus dem Speicher
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja, aber nur für Projektänderungen, keine Änderungen an Firewallregeln
PCI-DSS v3.2.1: 7.2
FIREWALL_RULE_LOGGING_DISABLED

Finding description (Beschreibung der Suche): Firewallregel-Logging ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Überprüft das Attribut logConfig in den Firewall-Metadaten, ob es leer ist oder das Schlüssel/Wert-Paar "enable" enthält: false.

  • Aus Scans von Scans ausgeschlossen: GKE-Instanzen, von GKE erstellte Firewallregeln, serverloser VPC-Zugriff
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: SI-4

ISO-27001: A.13.1.1

OPEN_CASSANDRA_PORT

Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen CASSANDRA-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewallmetadaten auf die folgenden Protokolle und Ports: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_CISCOSECURE_WEBSM_PORT

Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen CISCOSECURE_WEBSM-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewall-Metadaten auf das folgende Protokoll und den Port: TCP:9090.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_DIRECTORY_SERVICES_PORT

Finding description: Eine Firewall ist so konfiguriert, dass sie einen offenen DIRECTORY_DIENST-Ports hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewall-Metadaten auf die folgenden Protokolle und Ports: TCP:445 und UDP:445.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_DNS_PORT

Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen DNS-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewall-Metadaten auf die folgenden Protokolle und Ports: TCP:53 und UDP:53.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_ELASTICSEARCH_PORT

Finding description (Beschreibung der Suche): Eine Firewall ist so konfiguriert, dass ein offener ELASTICSEARCH-Port vorhanden ist, der den allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewallmetadaten auf die folgenden Protokolle und Ports: TCP:9200, 9300.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_FIREWALL

Beschreibung finden: Eine Firewall ist so konfiguriert, dass sie für den öffentlichen Zugriff geöffnet ist.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft, ob dersourceRanges Attribut ist auf0.0.0.0/0 und das allowed für das Schlüssel/Wert-Paar "IPProtocol": "all" auf.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
PCI-DSS v3.2.1: 1.2.1
OPEN_FTP_PORT

Beschreibung finden:Eine Firewall ist so konfiguriert, dass sie einen offenen FTP-Port hat, der den allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewall-Metadaten auf das folgende Protokoll und den Port: TCP:21.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_HTTP_PORT

Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewallmetadaten auf die folgenden Protokolle und Ports: TCP:80.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_LDAP_PORT

Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewall-Metadaten auf die folgenden Protokolle und Ports: TCP:389, 636 und UDP:389.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_MEMCACHED_PORT

Finding description (Beschreibung der Suche): Eine Firewall ist so konfiguriert, dass sie einen offenen MENCACHE-Port hat, der den allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewall-Metadaten auf die folgenden Protokolle und Ports: TCP:11211, 11214-11215 und UDP:11211, 11214-11215.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_MONGODB_PORT

Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen MOGODB-Port hat, der den allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewallmetadaten auf die folgenden Protokolle und Ports: TCP:27017-27019.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_MYSQL_PORT

Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen MYSQL-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewall-Metadaten auf das folgende Protokoll und den Port: TCP:3306.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_NETBIOS_PORT

Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewall-Metadaten auf die folgenden Protokolle und Ports: TCP:137-139 und UDP:137-139.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_ORACLEDB_PORT

Beschreibung finden:Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewall-Metadaten auf die folgenden Protokolle und Ports: TCP:1521, 2483-2484 und UDP:2483-2484.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_POP3_PORT

Beschreibung suchen:Eine Firewall ist so konfiguriert, dass sie einen offenen POP3-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewall-Metadaten auf das folgende Protokoll und den Port: TCP:110.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_POSTGRESQL_PORT

Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewall-Metadaten auf die folgenden Protokolle und Ports: TCP:5432 und UDP:5432.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_RDP_PORT

Beschreibung suchen:Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Prüft das Attribut allowed in den Firewall-Metadaten auf die folgenden Protokolle und Ports: TCP:3389 und UDP:3389.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 3.7

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_REDIS_PORT

Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Überprüft, ob das Attribut allowed in den Firewall-Metadaten das folgende Protokoll und den folgenden Port enthält: TCP:6379.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_SMTP_PORT

Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Überprüft, ob das Attribut allowed in den Firewall-Metadaten das folgende Protokoll und den folgenden Port enthält: TCP:25.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_SSH_PORT

Ergebnisbeschreibung:Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Überprüft, ob das Attribut allowed in den Firewallmetadaten die folgenden Protokolle und Ports enthält: TCP:22 und SCTP:22.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 3.6

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_TELNET_PORT

Beschreibung finden:Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, der einen allgemeinen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Problem beheben

Überprüft, ob das Attribut allowed in den Firewall-Metadaten das folgende Protokoll und den folgenden Port enthält: TCP:23.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Ergebnisse zu IAM-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.

Tabelle 8. IAM-Scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
ADMIN_SERVICE_ACCOUNT

Beschreibung finden:Ein Dienstkonto hat die Berechtigungen Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht vom Nutzer erstellten Dienstkonten zugewiesen werden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Projekt

Problem beheben

Prüft die IAM-Richtlinie in den Ressourcenmetadaten für alle von Nutzern erstellten Dienstkonten. Dies wird durch das Präfix iam.gserviceaccount.com gekennzeichnet. werden roles/Owner oder roles/Editor oder eine Rollen-ID zugewiesen, die admin enthält.

  • Aus Scans ausgeschlossen: Container Registry-Dienstkonto (containerregistry.iam.gserviceaccount.com) und Sicherheit Command Center-Dienstkonto (security-center-api.iam.gserviceaccount.com)
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja, außer die IAM-Aktualisierung für einen Ordner ist abgeschlossen.
CIS GCP Foundation 1.0: 1.4
KMS_ROLE_SEPARATION

Finding description (Beschreibung der Beschreibung): Die Aufgabentrennung wird nicht erzwungen und ein Nutzer hat eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) gleichzeitig: CryptoKey Encrypter/Decrypter, Encrypter oder Decrypter

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Projekt

Problem beheben

Prüft IAM-Richtlinien in Ressourcenmetadaten und ruft gleichzeitig Mitglieder mit einer der folgenden Rollen ab: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter und roles/cloudkms.cryptoKeyDecrypter , roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 1,9

NIST 800-53: AC-5

ISO-27001: A.9.2.3, A.10.1.2

NON_ORG_IAM_MEMBER

Beschreibung der Suche:Es gibt einen Nutzer, der keine Organisationsdaten verwendet. Laut CIS GCP Foundations 1.0 wird dieser Detektor nur von Identitäten mit @gmail.com-E-Mail-Adressen ausgelöst.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Projekt

Problem beheben

Vergleicht die E-Mail-Adressen der @gmail.com im Feld user der IAM-Richtlinienmetadaten mit einer Liste genehmigter Identitäten für Ihre Organisation.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 1.1

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-3

ISO-27001: A.9.2.3

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Finding description (Beschreibung zur Suche): Ein Nutzer hat auf Projektebene die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Token. .

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Projekt

Problem beheben

Überprüft die IAM-Richtlinie in den Ressourcenmetadaten für alle Mitglieder mit der Kennzeichnung roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator auf Projektebene.
  • Aus Scans ausgeschlossene Assets: Cloud Build-Dienstkonten
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 1,5

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

PRIMITIVE_ROLES_USED

Finding description (Beschreibung zur Suche): Ein Nutzer hat die einfache Rolle Owner (Inhaber), Writer (Autor) oder Reader (Leser). auf. Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Projekt

Problem beheben

Prüft die IAM-Richtlinie in den Ressourcenmetadaten für alle Mitglieder, denen roles/Owner, roles/Writer oder roles/Reader zugewiesen ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

REDIS_ROLE_USED_ON_ORG

Finding description (Beschreibung der Beschreibung): Auf Organisations- oder Ordnerebene wird eine Redis-IAM-Rolle zugewiesen.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Problem beheben

Prüft die IAM-Richtlinie in den Ressourcenmetadaten für Mitglieder, denen roles/redis.admin, roles/redis.editor, roles/redis.viewer auf Organisations- oder Ordnerebene zugewiesen ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 7.1.2

ISO-27001: A.9.2.3

SERVICE_ACCOUNT_ROLE_SEPARATION

Beschreibung finden:Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Das ist ein Prinzip des Prinzips der "Separation of Duties".

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Projekt

Problem beheben

Prüft die IAM-Richtlinie in den Ressourcenmetadaten für alle Mitglieder, die sowohl roles/iam.serviceAccountUser als auch roles/iam.serviceAccountAdmin zugewiesen haben.
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 1,7

NIST 800-53: AC-5

ISO-27001: A.9.2.3

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Beschreibung finden:Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert.

Preisstufe: Premium

Unterstützte Assets
iam.googleapis.com/ServiceAccountKey

Problem beheben

Wertet den Zeitstempel der Schlüsselerstellung, der in den Metadaten der Dienstkontenschlüssel im Attribut validAfterTime erfasst wurde.

  • Aus Scans ausgeschlossene Assets: Abgelaufene Dienstkontoschlüssel und -schlüssel, die nicht von Nutzern verwaltet werden
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
CIS GCP Foundation 1.0: 1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY

Finding description (Beschreibung der Suche): Ein Nutzer verwaltet einen Dienstkontoschlüssel.

Preisstufe: Premium

Unterstützte Assets
iam.googleapis.com/ServiceAccountKey

Problem beheben

Prüft, ob das Attribut keyType in den Metadaten des Dienstkontoschlüssels auf User_Managed gesetzt ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
CIS GCP Foundation 1.0: 1.3

Ergebnisse zu KMS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.

Tabelle 9. KMS-Scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
KMS_KEY_NOT_ROTATED

Finding description (Beschreibung der Suche): Die Rotation wird nicht für einen Cloud KMS-Verschlüsselungsschlüssel konfiguriert. Schlüssel müssen innerhalb eines Zeitraums von 90 Tagen rotiert werden.

Preisstufe: Premium

Unterstützte Assets
cloudkms.googleapis.com/CryptoKey

Problem beheben

Prüft Ressourcenmetadaten auf das Vorhandensein von rotationPeriod- oder nextRotationTime-Attributen.

  • Aus Scans ausgeschlossene Assets: asymmetrische Schlüssel und Schlüssel mit deaktivierten oder gelöschten Primärversionen
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 1,8

PCI-DSS v3.2.1: 3,5

NIST 800-53: SC-12

ISO-27001: A.10.11.2

KMS_PROJECT_HAS_OWNER

Beschreibung finden:Ein Nutzer hat Berechtigungen des Typs Inhaber für ein Projekt mit kryptografischen Schlüsseln.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Prüft die IAM-Richtlinie in Projektmetadaten für Mitglieder, die roles/Owner zugewiesen sind.

  • Zusätzliche Eingaben: liest kryptografische Schlüssel für ein Projekt aus dem Speicher und reicht nur für Projekte mit Kryptoschlüsseln ein
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja, aber nur bei Änderungen an der IAM-Richtlinie, nicht bei Änderungen an KMS-Schlüsseln

PCI-DSS v3.2.1: 3,5

NIST 800-53: AC-6, SC-12

ISO-27001: A.9.2.3, A.10.1.2

KMS_PUBLIC_KEY

Beschreibung finden:Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich.

Preisstufe: Premium

Unterstützte Assets
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Problem beheben

Prüft die IAM-Richtlinie in den Ressourcenmetadaten für öffentliche Mitglieder, allUsers oder allAuthenticatedUsers.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
TOO_MANY_KMS_USERS

Finding description (Beschreibung der Suche): Es gibt mehr als drei Nutzer kryptografischer Schlüssel.

Preisstufe: Premium

Unterstützte Assets
cloudkms.googleapis.com/CryptoKey

Problem beheben

Prüft IAM-Richtlinien auf Schlüsselbunde, Projekte und Organisationen und ruft Mitglieder mit Rollen ab, die ihnen das Verschlüsseln, Entschlüsseln oder Signieren von Daten mithilfe von Cloud KMS-Schlüsseln ermöglichen: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer und roles/cloudkms.signerVerifier.
  • Zusätzliche Eingaben: Liest kryptografische Versionen eines Kryptoschlüssels aus dem Speicher und liefert Ergebnisse nur für Schlüssel mit aktiven Versionen. Der Detektor liest auch IAM-Richtlinien für Schlüsselbund, Projekt und Organisation aus Speicher
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 3.5.2

ISO-27001: A.9.2.3

Ergebnisse zu Logging-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.

Tabelle 10. Logging-Scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
AUDIT_LOGGING_DISABLED

Finding description (Beschreibung der Suche): Das Audit-Logging wurde für diese Ressource deaktiviert.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Projekt

Problem beheben

Prüft die IAM-Richtlinie in den Ressourcenmetadaten auf das Vorhandensein eines auditLogConfigs-Objekts.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja, aber nur bei Änderungen an IAM-Richtlinien für Projekte, nicht bei Ordner- oder Organisationsänderungen.

CIS GCP Foundation 1.0: 2.1

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: AC-2, AU-2

ISO-27001: A.12.4.1, A.16.1.7

BUCKET_LOGGING_DISABLED

Finding description (Beschreibung der Suche): Es gibt einen Storage-Bucket, für den kein Logging aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Problem beheben

Überprüft, ob das Feld logBucket im Attribut logging des Buckets leer ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
CIS GCP Foundation 1.0: 5.3
LOCKED_RETENTION_POLICY_NOT_SET

Finding description (Beschreibung der Suche): Eine gesperrte Aufbewahrungsrichtlinie ist für Logs nicht festgelegt.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Problem beheben

Prüft, ob im Feld isLocked des Attributs retentionPolicy des Buckets der Wert true festgelegt ist.

  • Zusätzliche Eingaben: Lesen der Logsenke (Logfilter und Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-11

ISO-27001: A.12.4.2, A.18.1.3

LOG_NOT_EXPORTED

Finding description (Beschreibung der Suche): Es gibt eine Ressource, für die keine entsprechende Logsenke konfiguriert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Ruft ein logSink-Objekt in einem Projekt ab und überprüft dabei, ob das Feld includeChildren auf true gesetzt ist. Das Feld destination enthält den Standort, in den Logs geschrieben werden sollen. Das Feld filter ist ausgefüllt.

  • Zusätzliche Eingaben: Lesen der Logsenke (Logfilter und Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja, aber nur für Projektänderungen, nicht, wenn der Logexport für Ordner oder Organisationen eingerichtet ist

CIS GCP Foundation 1.0: 2.2

ISO-27001: A.18.1.3

OBJECT_VERSIONING_DISABLED

Finding description (Beschreibung der Suche): Die Objektversionsverwaltung ist für einen Storage-Bucket nicht aktiviert, in dem Senken konfiguriert sind.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Problem beheben

Prüft, ob im Feld enabled des Attributs versioning des Buckets der Wert true festgelegt ist.

  • Aus Scans von Scans ausgeschlossen: Cloud Storage-Buckets mit gesperrter Aufbewahrungsrichtlinie
  • Zusätzliche Eingaben: Lesen der Logsenke (Logfilter und Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja, aber nur, wenn sich die Objektversionsverwaltung ändert, und nicht, wenn Log-Buckets erstellt werden

CIS GCP Foundation 1.0: 2.3

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-11

ISO-27001: A.12.4.2, A.18.1.3

Ergebnisse zu Monitoring-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Monitoring-Detektoren für die Monitoring-Erkennung sind:

  • Den RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll.
  • Die QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken.
  • Die AlertPolicyFailureReasons gibt an, ob im Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
Tabelle 11. Monitoring-Scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
AUDIT_CONFIG_NOT_MONITORED

Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Änderungen der Audit-Konfiguration konfiguriert.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName=\"SetIamPolicy\" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen
CIS GCP Foundation 1.0: 2,5
BUCKET_IAM_NOT_MONITORED

Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von IAM-Berechtigungenänderungen konfiguriert.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gcs_bucket AND protoPayload.methodName=\"storage.setIamPermissions\" gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen
CIS GCP Foundation 1.0: 2,10
CUSTOM_ROLE_NOT_MONITORED

Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Änderungen der benutzerdefinierten Rolle konfiguriert.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=\"iam_role\" AND protoPayload.methodName=\"google.iam.admin.v1.CreateRole\" OR protoPayload.methodName=\"google.iam.admin.v1.DeleteRole\" OR protoPayload.methodName=\"google.iam.admin.v1.UpdateRole\" gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen
CIS GCP Foundation 1.0: 2,6
FIREWALL_NOT_MONITORED

Finding description (Beschreibung der Suche): Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Änderungen der VPC-Netzwerkfirewallregeln konfiguriert.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=\"gce_firewall_rule\" AND jsonPayload.event_subtype=\"compute.firewalls.patch\" OR jsonPayload.event_subtype=\"compute.firewalls.insert\" gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen
CIS GCP Foundation 1.0: 2,7
NETWORK_NOT_MONITORED

Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von VPC-Netzwerkänderungen konfiguriert.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gce_network AND jsonPayload.event_subtype=\"compute.networks.insert\" OR jsonPayload.event_subtype=\"compute.networks.patch\" OR jsonPayload.event_subtype=\"compute.networks.delete\" OR jsonPayload.event_subtype=\"compute.networks.removePeering\" OR jsonPayload.event_subtype=\"compute.networks.addPeering\" gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen
CIS GCP Foundation 1.0: 2,99
OWNER_NOT_MONITORED

Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Zuweisungen oder Änderungen für Projekteigentümer konfiguriert.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf (protoPayload.serviceName=\"cloudresourcemanager.googleapis.com\") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action=\"REMOVE\" AND protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action=\"ADD\" AND protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\") gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen
CIS GCP Foundation 1.0: 2,4
ROUTE_NOT_MONITORED

Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Änderungen der VPC-Netzwerkroute konfiguriert.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=\"gce_route\" AND jsonPayload.event_subtype=\"compute.routes.delete\" OR jsonPayload.event_subtype=\"compute.routes.insert\" gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen
CIS GCP Foundation 1.0: 2,8
SQL_INSTANCE_NOT_MONITORED

Finding description (Beschreibung der Suche): Logmesswerte und Benachrichtigungen sind nicht zum Überwachen von Änderungen an der Cloud SQL-Instanz konfiguriert.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Problem beheben

Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName=\"cloudsql.instances.update\" gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource und prüft, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Hiermit werden Logmesswerte für das Projekt aus dem Speicher gelesen. Liest die Kontoinformationen der Operations-Suite von Google Cloud aus der Operations Suite von Google Cloud und sendet nur Ergebnisse für Projekte mit aktiven Konten
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Ja, aber nur für Projektänderungen, nicht für Logmesswerte und Benachrichtigungen
CIS GCP Foundation 1.0: 2,11

Ergebnisse der Multi-Faktor-Authentifizierung

Der MFA_SCANNER-Detektor identifiziert Sicherheitslücken im Zusammenhang mit der Multi-Faktor-Authentifizierung für Nutzer.

Tabelle 12. Multi-Faktor-Authentifizierungs-Scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
MFA_NOT_ENFORCED

Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Problem beheben

Bewertung der Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity.

  • Aus Scans von Scans ausgeschlossen: Organisationseinheiten, denen Ausnahmen für die Richtlinie gewährt wurden
  • Zusätzliche Eingaben: liest Daten aus dem Google-Arbeitsbereich
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Nein

CIS GCP Foundation 1.0: 1.2

PCI-DSS v3.2.1: 8.3

NIST 800-53: IA-2

ISO-27001: A.9.4.2

Ergebnisse zu Netzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.

Tabelle 13. Netzwerkscanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
DEFAULT_NETWORK

Finding description (Beschreibung der Suche): Das Standardnetzwerk ist in einem Projekt vorhanden.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Network

Problem beheben

Prüft, ob das Attribut name in den Netzwerkmetadaten auf default gesetzt ist.

  • Aus Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist, und Compute Engine-Ressourcen im Status "Eingefroren" sind
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
CIS GCP Foundation 1.0: 3.1
LEGACY_NETWORK

Finding description (Beschreibung der Suche): In einem Projekt ist ein Legacy-Netzwerk vorhanden.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Network

Problem beheben

Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs IPv4Range.

  • Aus Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist, und Compute Engine-Ressourcen im Status "Eingefroren" sind
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
CIS GCP Foundation 1.0: 3.2

Ergebnisse der Organisationsrichtlinien-Sicherheitslücke

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY.

Tabelle 14. Organisationsrichtlinien-Scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
ORG_POLICY_CONFIDENTIAL_VM_POLICY Finding description (Beschreibung der Suche): Eine Compute Engine-Ressource entspricht nicht der Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Einschränkung für Organisationsrichtlinien finden Sie unter Einschränkungen für Organisationsrichtlinien in vertrauliche VM erzwingen.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Problem beheben

Prüft, ob das Attribut enableConfidentialCompute einer Compute Engine-Instanz auf true gesetzt ist.

  • Aus Scans ausgeschlossen: GKE-Instanzen
  • Zusätzliche IAM-Berechtigungen: permissions/orgpolicy.policy.get
  • Zusätzliche Eingaben: Liest die geltende Organisationsrichtlinie aus dem Organisationsrichtliniendienst
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Nein
ORG_POLICY_LOCATION_RESTRICTION Finding description: Eine Compute Engine-Ressource verstößt gegen die Einschränkung constraints/gcp.resourceLocations. Weitere Informationen zu dieser Einschränkung für Organisationsrichtlinien finden Sie unter Einschränkungen für Organisationsrichtlinien erzwingen.

Preisstufe: Premium

Unterstützte Assets
Siehe unten.

Problem beheben

Prüft das Attribut listPolicy in den Metadaten unterstützter Ressourcen auf eine Liste der zulässigen oder abgelehnten Standorte.

  • Zusätzliche IAM-Berechtigungen: permissions/orgpolicy.policy.get
  • Zusätzliche Eingaben: Liest die geltende Organisationsrichtlinie aus dem Organisationsrichtliniendienst
  • Batch-Scans: Alle 12 Stunden
  • Echtzeitscans: Nein

Unterstützte Assets für ORG_POLICY_LOCATION_ jedoch ohne Grenzen

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

1 Da Cloud KMS-Assets nicht gelöscht werden können, wird das Asset nicht als "nicht Region" behandelt, wenn die Daten des Assets gelöscht wurden.

2 Da Cloud KMS-Importjobs einen kontrollierten Lebenszyklus haben und nicht vorzeitig beendet werden können, wird ein ImportJob nicht als außerhalb der Region betrachtet, wenn der Job abgelaufen ist und nicht mehr verwendet werden kann. um Schlüssel zu importieren.

3 Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, wird ein Job nicht außerhalb der Region betrachtet, nachdem er einen Terminalstatus erreicht (gestoppt oder beendet) hat. nicht mehr zur Verarbeitung von Daten verwendet.

Ergebnisse zu SQL-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.

Tabelle 15. SQL-Scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
AUTO_BACKUP_DISABLED

Beschreibung finden: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft, ob das Attribut backupConfiguration.enabled einer Cloud SQL-Daten auf true gesetzt ist.

  • Aus Scans ausgeschlossen: Cloud SQL-Replikate
  • Zusätzliche Eingaben: IAM-Richtlinien für Ancestors aus dem Asset-Speicher von Security Health Analytics lesen
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

NIST 800-53: CP-9

ISO-27001: A.12.3.1

PUBLIC_SQL_INSTANCE

Beschreibung finden: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen.

Preisstufe: Premium oder Standard

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft, ob das Attribut authorizedNetworks von Cloud SQL-Instanzen auf eine einzelne IP-Adresse oder einen IP-Adressbereich eingestellt ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 6.2

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: CA-3, SC-7

ISO-27001: A.8.2.3, A.13.1.3, A.14.1.3

SSL_NOT_ENFORCED

Beschreibung finden: Eine Cloud SQL-Datenbankinstanz erfordert nicht, dass alle eingehenden Verbindungen SSL verwenden.

Preisstufe: Premium oder Standard

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft, ob das Attribut requireSsl der Cloud SQL-Instanz auf true gesetzt ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 6.1

PCI-DSS v3.2.1: 4,1

NIST 800-53: SC-7

ISO-27001: A.8.2.3, A.13.2.1, A.14.1.3

SQL_CMEK_DISABLED

Finding description (Beschreibung der Suche): Eine SQL-Datenbankinstanz ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite unter Detektoren für Sicherheitsintegrität aktivieren.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft das Feld kmsKeyName im Objekt diskEncryptionKey in den Instanzmetadaten auf den Ressourcennamen Ihres CMEK.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
SQL_CONTAINED_DATABASE_AUTHENTICATION

Finding description (Beschreibung der Suche): Das Datenbank-Flag contained database authentication für eine Cloud SQL for SQL Server-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "contained database authentication", "value": "on" oder ob es standardmäßig aktiviert ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
SQL_CROSS_DB_OWNERSHIP_CHAINING

Finding description: Das Datenbank-Flag cross_db_ownership_chaining für eine Cloud SQL for SQL Server-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "cross_db_ownership_chaining", "value": "on".

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
SQL_LOCAL_INFILE

Finding description (Beschreibung der Suche): Das Datenbank-Flag local_infile für eine Cloud SQL for MySQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "local_infile", "value": "on".

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
SQL_LOG_CHECKPOINTS_DISABLED

Finding description (Beschreibung der Suche): Das Datenbank-Flag log_checkpoints für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_checkpoints", "value": "on".

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
SQL_LOG_CONNECTIONS_DISABLED

Finding description (Beschreibung der Suche): Das Datenbank-Flag log_connections für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_connections", "value": "on".

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
SQL_LOG_DISCONNECTIONS_DISABLED

Finding description (Beschreibung der Beschreibung): Das Datenbank-Flag log_disconnections für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_disconnections", "value": "on".

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
SQL_LOG_LOCK_WAITS_DISABLED

Finding description (Beschreibung der Suche): Das Datenbank-Flag log_lock_waits für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_lock_waits", "value": "on".

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Finding description (Beschreibung der Suche): Das Datenbank-Flag log_min_duration_statement für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf "-1" gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_min_duration_statement", "value": "-1".

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
SQL_LOG_MIN_ERROR_STATEMENT

Find description (Beschreibung der Beschreibung): Das Datenbank-Flag log_min_error_statement für eine Cloud SQL for PostgreSQL-Instanz ist nicht ordnungsgemäß festgelegt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft, ob derlog_min_error_statement des FeldsdatabaseFlags Attribut ist auf einen der folgenden Werte festgelegt: debug5 ,debug4 ,debug3 , debug2 ,debug1 ,info , notice ,warning , oder den Standardwerterror auf.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
SQL_LOG_TEMP_FILES

Finding description (Beschreibung der Suche): Das Datenbank-Flag log_temp_files für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf "0" gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_temp_files", "value": "0".

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
SQL_NO_ROOT_PASSWORD

Beschreibung finden: In einer Cloud SQL-Datenbank ist für das Root-Konto kein Passwort konfiguriert. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung finden Sie weiter unten auf dieser Seite unter Sicherheitsintegritäts-Analytics-Detektoren aktivieren.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft, ob das Attribut rootPassword des Root-Kontos leer ist.

  • Zusätzliche IAM-Berechtigungen: roles/cloudsql.client
  • Zusätzliche Eingaben: Fragt Liveinstanzen
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Nein

CIS GCP Foundation 1.0: 6.3

PCI-DSS v3.2.1: 2.1

NIST 800-53: AC-3

ISO-27001: A.8.2.3, A.9.4.2

SQL_PUBLIC_IP

Beschreibung finden: Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Prüft, ob der IP-Adresstyp einer Cloud SQL-Datenbank auf Primary gesetzt ist, der angibt, dass sie öffentlich ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
SQL_WEAK_ROOT_PASSWORD

Beschreibung finden:In einer Cloud SQL-Datenbank ist für das Root-Konto ein schwaches Passwort konfiguriert. Dieser Detektor erfordert eine zusätzliche Konfiguration, um zu aktivieren. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite unter Detektoren für Sicherheitsintegrität aktivieren.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Problem beheben

Vergleicht das Passwort für das Root-Konto Ihrer Cloud SQL-Datenbank mit einer Liste gängiger Passwörter.

  • Zusätzliche IAM-Berechtigungen: roles/cloudsql.client
  • Zusätzliche Eingaben: Fragt Liveinstanzen
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Nein

Ergebnisse zu Speichersicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.

Tabelle 16. Speicherscanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
BUCKET_CMEK_DISABLED

Finding description (Beschreibung der Suche): Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Dieser Detektor erfordert eine zusätzliche Konfiguration. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite unter Sicherheitsintegritäts-Analytics-Detektoren aktivieren.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Problem beheben

Prüft das Feld encryption in den Bucket-Metadaten auf den Ressourcennamen Ihres CMEK.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
BUCKET_POLICY_ONLY_DISABLED

Finding description (Beschreibung der Beschreibung): Der einheitliche Zugriff auf Bucket-Ebene, der bisher nur "Nur Bucket-Richtlinie" genannt wurde, ist nicht konfiguriert.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Problem beheben

Prüft, ob das Attribut uniformBucketLevelAccess für einen Bucket auf "enabled":false gesetzt ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
PUBLIC_BUCKET_ACL

Beschreibung finden:Ein Cloud Storage-Bucket ist öffentlich zugänglich.

Preisstufe: Premium oder Standard

Unterstützte Assets
storage.googleapis.com/Bucket

Problem beheben

Prüft die IAM-Richtlinie eines Buckets für öffentliche Rollen, allUsers oder allAuthenticatedUsers, mit Administrator- oder Bearbeiterberechtigungen.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 5.1

PCI-DSS v3.2.1: 7.1

NIST 800-53: AC-2

ISO-27001: A.8.2.3, A.14.1.3

PUBLIC_LOG_BUCKET

Finding description (Beschreibung der Suche): Ein Storage-Bucket, der als Logsenke verwendet wird, ist öffentlich zugänglich.

Preisstufe: Premium oder Standard

Unterstützte Assets
storage.googleapis.com/Bucket

Problem beheben

Prüft die IAM-Richtlinie eines Buckets auf öffentliche Mitglieder: allUsers oder allAuthenticatedUsers.

  • Zusätzliche Eingaben: Lesen der Logsenke (Logfilter und Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja, aber nur, wenn die IAM-Richtlinie für Buckets geändert wird, nicht, wenn die Logsenke geändert wird

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-9

ISO-27001: A.8.2.3, A.12.4.2, A.18.1.3

Ergebnisse zu Subnetzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.

Tabelle 17. Subnetzwerk-Scanner
Detektor Fazit Einstellungen für Asset-Scans Compliance-Prinzipien
FLOW_LOGS_DISABLED

Finding description (Beschreibung der Suche): Es gibt ein VPC-Subnetzwerk mit deaktivierten Flusslogs.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Subnetwork

Problem beheben

Prüft, ob das Attribut enableFlowLogs von Compute Engine-Subnetzwerken fehlt oder auf false gesetzt ist.

  • Aus Scans von Scans ausgeschlossen: Serverloser VPC-Zugriff, Subnetzwerke für Load-Balancer
  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja

CIS GCP Foundation 1.0: 3,9

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: SI-4

ISO-27001: A.13.1.1

PRIVATE_GOOGLE_ACCESS_DISABLED

Beschreibung finden: Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetzwerk

Problem beheben

Prüft, ob das Attribut privateIpGoogleAccess von Compute Engine-Subnetzwerken auf false gesetzt ist.

  • Batch-Scans: alle 6 Stunden
  • Echtzeitscans: Ja
CIS GCP Foundation 1.0: 3,8

Detektoren für Sicherheitsintegritäts-Analysen aktivieren

Die folgenden Detektoren für Security Health Analytics sind nicht standardmäßig aktiviert:

  • BUCKET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD

Führen Sie im gcloud-Befehlszeilentool den folgenden gcloud alpha-Befehl aus, um einen Detektor (auch Modul genannt) zu aktivieren:

  gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR

Dabei gilt:

  • ORGANIZATION_ID: Ihre Organisations-ID.
  • DETECTOR: Name des Detektors, den Sie aktivieren möchten

Web Security Scanner-Ergebnisse

Benutzerdefinierte und verwaltete Scans von Web Security Scanner identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Tabelle 18. Web Security Scanner-Ergebnisse
Category Ergebnisbeschreibung CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Ein Git-Repository ist öffentlich verfügbar. Entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository, um dieses Problem zu beheben. A3
ACCESSIBLE_SVN_REPOSITORY Ein SVN-Repository ist öffentlich zugänglich. Entfernen Sie den öffentlichen unbeabsichtigten Zugriff auf das SVN-Repository, um das Problem zu beheben. A3
CLEAR_TEXT_PASSWORD Passwörter werden in Klartext übertragen und können abgefangen werden. Verschlüsseln Sie das über das Netzwerk übertragene Passwort, um das Ergebnis zu ermitteln. A3
INVALID_CONTENT_TYPE Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Sie können dieses Ergebnis beheben, indem Sie den HTTP-Header "X-Content-Type-Options" mit dem richtigen Wert festlegen. A6
INVALID_HEADER Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um dieses Ergebnis zu beheben. A6
MISMATCHING_SECURITY_HEADER_VALUES Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um dieses Ergebnis zu beheben. A6
MISSPELLED_SECURITY_HEADER_NAME Ein Sicherheitsheader ist falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um dieses Ergebnis zu beheben. A6
MIXED_CONTENT Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Sorgen Sie dafür, dass alle Ressourcen über HTTPS bereitgestellt werden. A6
OUTDATED_LIBRARY Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie Bibliotheken auf eine neuere Version, um dieses Ergebnis zu beheben. A9
XSS Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Sie können dieses Problem beheben, indem Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten validieren und maskieren. A7
XSS_ANGULAR_CALLBACK Ein vom Nutzer bereitgestellter String wird nicht maskiert und in Angularity kann interpoliert werden. Sie können dies beheben, indem Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden, validieren und maskieren. A7
XSS_ERROR Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Sie können dieses Problem beheben, indem Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten validieren und maskieren. A7

CIS-Benchmarks

Das Center for Internet Security (CIS) enthält die folgenden Benchmarks, die Web Security Scanner oder Security Health Analytics-Detektoren derzeit nicht unterstützen:

Tabelle 19. CIS-Benchmarks
Kategorie Ergebnisbeschreibung CIS GCP Foundation 1.0 NIST 800–53 ISO-27001
BASIC_AUTHENTICATION_ENABLED IAM oder Clientzertifikat-Authentifizierung sollte auf Kubernetes-Clustern aktiviert sein. 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED Kubernetes-Cluster sollten mit aktiviertem Clientzertifikat erstellt werden. 7.12
LABELS_NOT_USED Mit Labels können Zahlungsinformationen aufgeschlüsselt werden. 7,5
PUBLIC_STORAGE_OBJECT Die Speicherobjekt-ACL sollte **allUsers** keinen Zugriff gewähren. 5,2
SQL_BROAD_ROOT_LOGIN Der Root-Zugriff auf eine SQL-Datenbank sollte auf als zulässig gelistete, vertrauenswürdige IP-Adressen beschränkt werden. 6.4

Nächste Schritte