Hallazgos de vulnerabilidades

Los detectores Web Security Scanner y de estadísticas del estado de seguridad de la Web generan resultados de vulnerabilidades que están disponibles en Security Command Center. Tu capacidad para ver y editar resultados se determina mediante las funciones y los permisos de administración de identidades y accesos (IAM). Para obtener más información sobre las funciones de IAM en Security Command Center, consulta Control de acceso.

Detectores y cumplimiento

En esta sección, se describe la asignación entre los detectores admitidos y la mejor asignación a los estándares de cumplimiento relevantes.

CIS Benchmarks

Security Command Center admite dos versiones de las comparativas de CIS para Google Cloud Platform Foundation:

  • Comparativas de CIS para Google Cloud Computing Foundations v1.1.0 (CIS Google Cloud Foundation 1.1)
  • Comparativas de CIS para Google Cloud Computing Foundations versión 1.0.0 (CIS para Google Cloud Foundation 1.0)

Los mapeos del CIS para la Google Cloud Foundation 1.1 y 1.0 han sido revisadas y certificadas por el Centro para la Seguridad de Internet para alinearlas con las comparativas de CIS para Google Cloud Computing Foundations v1.1.0 y v1.0.0, respectivamente.

Si bien CIS 1.1 y CIS 1.0 son compatibles, te recomendamos que uses CIS 1.1 o transiciones a esta opción, si es posible. CIS 1.1 expande la cobertura a servicios adicionales de Google Cloud y define mejor las instrucciones y orientación para comparativas complejas.

Algunos detectores se asignan a la versión 1.0.0 de la comparativa de CIS para Google Kubernetes Engine (GKE) (CIS GKE 1.0). La compatibilidad con esta comparativa es limitada y no debe usarse como base para el cumplimiento de informes o auditorías.

Estándares adicionales

Las asignaciones de cumplimiento adicionales se incluyen como referencia y no se proporcionan ni revisan mediante el Estándar de Seguridad de Datos de la Industria de Tarjeta de Pago o OWASP Foundation. Debes consultarEstándar de seguridad de datos para la industria de tarjetas de pago 3.2.1 (PCI-DSS v3.2.1), los 10 mejores de OWASP, Instituto Nacional de Normas y Tecnología 800-53 (NIST 800-53) yOrganización Internacional de Normalización 27001 (ISO 27001) sobre cómo verificar estos incumplimientos de forma manual.

Esta funcionalidad solo está diseñada para que supervises las infracciones de los controles de cumplimiento. Las asignaciones no se proporcionan a fin de usarlas como base, o como sustituto de la auditoría, certificación o informe de cumplimiento de los productos o servicios con cualquier estándar o normativa o comparativa industrial.

Para obtener instrucciones sobre cómo ver y exportar informes de cumplimiento, consulta la sección Cumplimiento en Usa el panel de Security Command Center.

Estadísticas del estado de la seguridad

Los detectores de estadísticas del estado de la seguridad supervisan un subconjunto de recursos de Cloud Asset Inventory (CAI) y reciben notificaciones de los cambios en las políticas de la administración de identidades y accesos (IAM). Algunos detectores recuperan datos mediante una llamada directa a las API de Google Cloud, como se indica en las tablas que aparecen más adelante en esta página.

Los análisis de las estadísticas de estado de seguridad se ejecutan en tres modos:

  • Análisis por lotes: Todos los detectores están programados para ejecutarse en todas las organizaciones inscritas dos o más veces al día. Los detectores se ejecutan con diferentes programas para cumplir con objetivos de nivel de servicio (SLO) específicos. Para cumplir con los SLO de 12 y 24 horas, los detectores ejecutan análisis por lotes cada seis horas o 12 horas, respectivamente. Los cambios en los recursos y las políticas que ocurren entre los análisis por lotes no se capturan de inmediato y se aplican en el siguiente análisis por lotes. Nota: Los programas de análisis por lotes son objetivos de rendimiento, no garantías de servicio.

  • Análisis en tiempo real: Los detectores compatibles inician análisis cada vez que CAI informa un cambio en la configuración de un elemento. Los resultados se escriben de inmediato en Security Command Center.

  • Modo mixto: Es posible que algunos detectores que admiten análisis en tiempo real no detecten cambios en tiempo real en todos los elementos compatibles. En esos casos, los cambios de configuración para algunos elementos se capturan de inmediato y otros se capturan en los análisis por lotes. Las excepciones se indican en las tablas de esta página.

En las siguientes tablas, se describen los detectores de estadísticas del estado de la seguridad, los elementos y los estándares de cumplimiento que admiten, la configuración que usan para los análisis y los tipos de hallazgos que generan. Puedes filtrar los resultados por nombre de detector y tipo de resultado mediante la pestaña Vulnerabilidades de Security Command Center en Google Cloud Console.

A fin de obtener instrucciones para solucionar problemas y proteger tus recursos, consulta Soluciona los problemas de las estadísticas del estado de seguridad.

Resultados de las vulnerabilidades de la clave de API

El detector API_KEY_SCANNER identifica vulnerabilidades relacionadas con las claves de API que se usan en tu implementación en la nube.

Tabla 1. Analizador de clave de API
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
API_KEY_APIS_UNRESTRICTED

Hallazgos de la descripción: Hay claves de API que se usan demasiado. Para resolver esto, limita el uso de la clave de API a fin de permitir solo las API que necesita la aplicación.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Recupera la propiedad restrictions de todas las claves de API en un proyecto. Para ello, verifica si alguna está configurada en cloudapis.googleapis.com.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.0: 1.12

CIS para GCP Foundation 1.1: 1.14

API_KEY_APPS_UNRESTRICTED

Descripción del resultado: Hay claves de API que se usan sin restricciones y que permiten cualquier app que no sea de confianza.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Recupera la propiedad restrictions de todas las claves de API de un proyecto, lo que verifica si browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions o iosKeyRestrictions están configurados.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.0: 1.11

CIS para GCP Foundation 1.1: 1.13

API_KEY_EXISTS

Descripción del resultado: Un proyecto usa claves de API en lugar de la autenticación estándar.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo

Recupera todas las claves de API que son propiedad de un proyecto.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.0: 1.10

CIS para GCP Foundation 1.1: 1.12

API_KEY_NOT_ROTATED

Descripción del resultado: La clave de API no se rotó durante más de 90 días.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Recupera la marca de tiempo incluida en la propiedad createTime de todas las claves de API y verifica si transcurrieron 90 días.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.0: 1.13

CIS para GCP Foundation 1.1: 1.15

Resultados de las vulnerabilidades de imágenes de Compute

El detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de imágenes de Google Cloud.

Tabla 2. Analizador de imágenes de Compute
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
PUBLIC_COMPUTE_IMAGE

Descripción del resultado: Una imagen de Compute Engine es de acceso público.

Nivel de precios: Premium o Estándar

Elementos compatibles
compute.googleapis.com/Image

Corregir este hallazgo

Verifica la política de IAM en metadatos de recursos para las principales allUsers o allAuthenticatedUsers, que otorgan acceso público.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de las instancias de Compute

El detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de instancias de Compute Engine.

Los detectores COMPUTE_INSTANCE_SCANNER no informan los resultados en las instancias de Compute Engine que crea GKE. Estas instancias tienen nombres que comienzan con “gke-”, que los usuarios no pueden editar. Para proteger estas instancias, consulta la sección de resultados de vulnerabilidades de contenedores.

Tabla 3. Analizador de instancias de procesamiento
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Descripción del resultado: Se usan claves SSH de todo el proyecto, lo que permite el acceso a todas las instancias del proyecto.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Instance

Corrige este hallazgo

Comprueba el objeto metadata.items[] en los metadatos de la instancia para el par clave-valor "key": "block-project-ssh-keys", "value": TRUE.

  • Elementos excluidos de los análisis: instancias de GKE, trabajo de Dataflow, instancia de Windows
  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee los metadatos de Compute Engine
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.0: 4.2

CIS para GCP Foundation 1.1: 4.3

COMPUTE_SECURE_BOOT_DISABLED

Descripción del resultado: Esta VM protegida no tiene habilitado Inicio seguro. El uso de Inicio seguro ayuda a proteger las instancias de máquinas virtuales de las amenazas avanzadas, como rootkits y bootkits.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Instance

Corregir este hallazgo

Comprueba la propiedad shieldedInstanceConfig en instancias de Compute Engine para determinar si enableIntegrityMonitoring, enableSecureBoot, enableVtpm están configurados en true. Los campos indican si los discos adjuntos son compatibles con Inicio seguro y si la VM protegida está activada.

  • Elementos excluidos de los análisis: Instancias de GKE, discos de Compute Engine que tienen aceleradores de GPU y no usan Container-Optimized OS, Acceso a VPC sin servidores
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No
COMPUTE_SERIAL_PORTS_ENABLED

Descripción del resultado: Los puertos en serie están habilitados para una instancia, lo que permite conexiones a la consola en serie de la instancia.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Instance

Corregir este hallazgo

Comprueba el objeto metadata.items[] en los metadatos de la instancia para el par clave-valor "key": "serial-port-enable", "value": TRUE.

  • Elementos excluidos de los análisis: Instancias de GKE
  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee los metadatos de Compute Engine
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.0: 4.4

CIS para GCP Foundation 1.1: 4.5

DEFAULT_SERVICE_ACCOUNT_USED

Descripción del resultado: Una instancia está configurada para usar la cuenta de servicio predeterminada.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Instance

Corregir este hallazgo

Comprueba la propiedad serviceAccounts en los metadatos de la instancia para cualquier dirección de correo electrónico de cuenta de servicio con el prefijo PROJECT_NUMBER-compute@developer.gserviceaccount.com, que indica la cuenta de servicio predeterminada creada por Google.

  • Elementos excluidos de los análisis: Instancias de GKE, trabajos de Dataflow
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.1: 4.1

DISK_CMEK_DISABLED

Descripción del resultado: Los discos de esta VM no se encriptan con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Disk

Corregir este hallazgo

Comprueba el campo kmsKeyName del objeto diskEncryptionKey, en los metadatos del disco, para el nombre del recurso de tu CMEK.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No
DISK_CSEK_DISABLED

Descripción del resultado: Los discos de esta VM no se encriptan con claves de encriptación proporcionadas por el cliente (CSEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Detector de casos especiales.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Disk

Corregir este hallazgo

Verifica el campo kmsKeyName en el objeto diskEncryptionKey para el nombre del recurso de tu CSEK.

  • Elementos excluidos de los análisis:
    Discos de Compute Engine sin la marca de seguridad enforce_customer_provided_disk_encryption_keys configurada como true
  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee los metadatos de Compute Engine
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.0: 4.6

CIS para GCP Foundation 1.1: 4.7

FULL_API_ACCESS

Descripción del resultado: Una instancia está configurada para usar la cuenta de servicio predeterminada con acceso completo a todas las API de Google Cloud.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Instance

Corregir este hallazgo

Recupera el campo scopes en la propiedad serviceAccounts para verificar si se usa una cuenta de servicio predeterminada y si se le asigna el permiso cloud-platform.

  • Elementos excluidos de los análisis: Instancias de GKE, trabajos de Dataflow
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.0: 4.1

CIS para GCP Foundation 1.1: 4.2

PCI DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

HTTP_LOAD_BALANCER

Descripción del resultado: Una instancia usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/TargetHttpProxy

Corregir este hallazgo

Determina si la propiedad selfLink del recurso targetHttpProxy coincide con el atributo target en la regla de reenvío y si la regla de reenvío contiene un loadBalancingScheme, establecer en External.

  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee las reglas de reenvío de un proxy HTTP de destino desde Compute Engine y verifica las reglas externas
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
PCI-DSS v3.2.1: 2.3
IP_FORWARDING_ENABLED

Descripción del resultado: El reenvío de IP está habilitado en las instancias.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Instance

Corregir este hallazgo

Comprueba si la propiedad canIpForward de la instancia está configurada en true.

  • Elementos excluidos de los análisis: Instancias de GKE, acceso a VPC sin servidores
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 4.5

CIS para GCP Foundation 1.1: 4.6

OS_LOGIN_DISABLED

Descripción del resultado: El Acceso al SO está inhabilitado en esta instancia.

Nivel de precios: Premium

Recursos compatibles
compute.googleapis.com/Project

Corregir este hallazgo

Comprueba el objeto commonInstanceMetadata.items[] en los metadatos del proyecto para el par clave-valor "key": "enable-oslogin", "value": TRUE. El detector también verifica todas las instancias en un proyecto de Compute Engine a fin de determinar si el Acceso al SO está inhabilitado para instancias individuales.

  • Elementos excluidos de los análisis: Instancias de GKE
  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee los metadatos de Compute Engine. El detector también examina las instancias de Compute Engine en el proyecto.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.0: 4.3

CIS para GCP Foundation 1.1: 4.4

PUBLIC_IP_ADDRESS

Descripción del resultado: Una instancia tiene una dirección IP pública.

Nivel de precios: Premium o Estándar

Elementos admitidos
compute.googleapis.com/Instance

Corregir este hallazgo

Comprueba si la propiedad networkInterfaces contiene un campo accessConfigs, lo que indica que está configurada para usar una dirección IP pública.

  • Elementos excluidos de los análisis: Instancias de GKE
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.1: 4.9

PCI-DSS v3.2.1: 1.2.1, 1.3.5

NIST 800-53: CA-3, SC-7

SHIELDED_VM_DISABLED

Descripción del resultado: La VM protegida está inhabilitada en esta instancia.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Instance

Corregir este hallazgo

Comprueba la propiedad shieldedInstanceConfig en las instancias de Compute Engine para determinar si los campos enableIntegrityMonitoring, enableSecureBoot y enableVtpm están configurados en true. Los campos indican si los discos adjuntos son compatibles con Inicio seguro y si la VM protegida está activada.

  • Elementos excluidos de los análisis: Instancias de GKE, discos de Compute Engine que tienen aceleradores de GPU y no usan Container-Optimized OS, Acceso a VPC sin servidores
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 4.8

WEAK_SSL_POLICY

Descripción del resultado: Una instancia tiene una política de SSL débil.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Corregir este hallazgo

Comprueba si sslPolicy en los metadatos del elemento está vacío y, para el recurso sslPolicies adjunto, si profile se establece en Restricted o Modern, si minTlsVersion se establece en TLS 1.2 y customFeatures está vacío o no contiene los siguientes algoritmos de cifrado: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Permisos de IAM adicionales: roles/compute.Viewer
  • Entradas adicionales: Lee las políticas de SSL para el almacenamiento de proxies de destino y verifica las políticas débiles.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo cuando se actualiza el TargetHttpsProxy del TargetSslProxy, no cuando se actualiza la política de SSL.

PCI-DSS v3.2.1: 4.1

NIST 800-53: SC-7

ISO-27001: A.14.1.3

Resultados de las vulnerabilidades de contenedores

Estos tipos de resultados se relacionan con los parámetros de configuración del contenedor de GKE y pertenecen al tipo de detector CONTAINER_SCANNER.

Tabla 4. Analizador de contenedores
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
ALPHA_CLUSTER_ENABLED

Descripción de los resultados: Las funciones del clúster Alfa están habilitadas para un clúster de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba si la propiedad enableKubernetesAlpha de un clúster está configurada en true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GKE 1.0: 6.10.2
AUTO_REPAIR_DISABLED

Descripción del resultado: La función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado, está inhabilitada.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba la propiedad management de un grupo de nodos para el par clave-valor, "key": "autoRepair", "value": true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.7

CIS GKE 1.0: 6.5.2

PCI-DSS v3.2.1: 2.2

AUTO_UPGRADE_DISABLED

Descripción del resultado: La función de actualización automática de un clúster de GKE, que conserva los clústeres y grupos de nodos en la versión estable más reciente de Kubernetes, está inhabilitada.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba la propiedad management de un grupo de nodos para el par clave-valor, "key": "autoUpgrade", "value": true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.8

CIS GKE 1.0: 6.5.3

PCI-DSS v3.2.1: 2.2

BINARY_AUTHORIZATION_DISABLED

Descripción de los resultados: La autorización binaria está inhabilitada en un clúster de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba si la propiedad binaryAuthorization contiene el par clave-valor, "enabled": true, y defaultAdmissionRule contiene el par clave-valor evaluationMode: ALWAYS_ALLOW.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GKE 1.0: 6.10.5
CLUSTER_LOGGING_DISABLED

Descripción del resultado: Logging no está habilitado para un clúster de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba si la propiedad loggingService de un clúster contiene la ubicación que Cloud Logging debe usar para escribir registros.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.7.1

PCI-DSS v3.2.1: 10.2.2, 10.2.7

CLUSTER_MONITORING_DISABLED

Descripción del resultado: Monitoring está inhabilitado en los clústeres de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba si la propiedad monitoringService de un clúster contiene la ubicación que Cloud Monitoring debe usar para escribir métricas.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.2

CIS GKE 1.0: 6.7.1

PCI-DSS v3.2.1: 10.1, 10.2

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Descripción de los hallazgos: Los hosts de clústeres no están configurados con el fin de usar solo direcciones IP internas privadas para acceder a las API de Google.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba si la propiedad privateIpGoogleAccess de una subred se configura como false.

  • Entradas adicionales: Lee las subredes del almacenamiento y archiva los resultados solo para clústeres con subredes.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo si se actualiza el clúster, no para las actualizaciones de la subred

CIS para GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3

CLUSTER_SECRETS_ENCRYPTION_DISABLED

Descripción del resultado: La encriptación de los Secrets de la capa de la aplicación está inhabilitada en un clúster de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Verifica la propiedad keyName del objeto databaseEncryption para el par clave-valor "state": ENCRYPTED.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GKE 1.0: 6.3.1
CLUSTER_SHIELDED_NODES_DISABLED

Descripción de los resultados: Los nodos de GKE protegidos no están habilitados para un clúster.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Verifica la propiedad shieldedNodes para el par clave-valor "enabled": true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GKE 1.0: 6.5.5
COS_NOT_USED

Resultado de la descripción: Las VM de Compute Engine no usan Container Optimized OS diseñado para ejecutar contenedores de Docker en Google Cloud de forma segura.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba la propiedad config de un grupo de nodos para el par clave-valor, "imageType": "COS".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.9

CIS GKE 1.0: 6.5.1

PCI-DSS v3.2.1: 2.2

INTEGRITY_MONITORING_DISABLED

Descripción de los resultados: La supervisión de integridad está inhabilitada para un clúster de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Verifica la propiedad shieldedInstanceConfig del objeto nodeConfig para el par clave-valor "enableIntegrityMonitoring": true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GKE 1.0: 6.5.6
INTRANODE_VISIBILITY_DISABLED

Descripción de los resultados: La visibilidad dentro de los nodos está inhabilitada para un clúster de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Verifica la propiedad networkConfig para el par clave-valor "enableIntraNodeVisibility": true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GKE 1.0: 6.6.1
IP_ALIAS_DISABLED

Descripción del resultado: Se creó un clúster de GKE con los rangos de alias de IP inhabilitados.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba si el campo useIPAliases de ipAllocationPolicy en un clúster está configurado como false.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.6.2

PCI-DSS v3.2.1: 1.3.4, 1.3.7

LEGACY_AUTHORIZATION_ENABLED

Descripción del resultado: La autorización heredada está habilitada en los clústeres de GKE.

Nivel de precios: Premium o Estándar

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba la propiedad legacyAbac de un clúster para el par clave-valor, "enabled": true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.3

CIS GKE 1.0: 6.8.3

PCI-DSS v3.2.1: 4.1

LEGACY_METADATA_ENABLED

Descripción del resultado: Los metadatos heredados están habilitados en los clústeres de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba la propiedad config de un grupo de nodos para el par clave-valor, "disable-legacy-endpoints": "false".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GKE 1.0: 6.4.1
MASTER_AUTHORIZED_NETWORKS_DISABLED

Descripción del resultado: Las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba la propiedad masterAuthorizedNetworksConfig de un clúster para el par clave-valor, "enabled": false.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.4

CIS GKE 1.0: 6.6.3

PCI-DSS v3.2.1: 1.2.1, 1.3.2

NETWORK_POLICY_DISABLED

Descripción del resultado: La política de red está inhabilitada en los clústeres de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba el campo networkPolicy de la propiedad addonsConfig para el par clave-valor, "disabled": true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.6.7

PCI-DSS v3.2.1: 1.3

NIST 800-53: SC-7

ISO-27001: A.13.1.1

NODEPOOL_BOOT_CMEK_DISABLED

Descripción del resultado: Los discos de arranque de este grupo de nodos no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba la propiedad bootDiskKmsKey de los grupos de nodos para el nombre del recurso de tu CMEK.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
NODEPOOL_SECURE_BOOT_DISABLED

Descripción del resultado: El inicio seguro está inhabilitado para un clúster de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Verifica la propiedad shieldedInstanceConfig del objeto nodeConfig para el par clave-valor "enableSecureBoot": true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GKE 1.0: 6.5.7

OVER_PRIVILEGED_ACCOUNT

Descripción del resultado: Una cuenta de servicio tiene acceso a proyectos demasiado amplio en un clúster.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Evalúa la propiedad config de un grupo de nodos para verificar si no se especificó ninguna cuenta de servicio o si se usa la cuenta de servicio predeterminada.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.2.1

PCI-DSS v3.2.1: 2.1, 7.1.2

NIST 800-53: AC-6, SC-7

ISO-27001: A.9.2.3

OVER_PRIVILEGED_SCOPES

Descripción del resultado: Una cuenta de servicio de nodo tiene permisos de acceso amplios.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba si el permiso de acceso que aparece en la propiedad config.oauthScopes de un grupo de nodos es un permiso limitado de acceso a la cuenta de servicio: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write. o https://www.googleapis.com/auth/monitoring.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.2.1

POD_SECURITY_POLICY_DISABLED

Descripción del resultado: PodSecurityPolicy está inhabilitado en un clúster de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba la propiedad podSecurityPolicyConfig de un clúster para el par clave-valor, "enabled": false.

  • Permisos de IAM adicionales: roles/container.clusterViewer
  • Entradas adicionales: Lee la información del clúster de GKE, ya que las políticas de seguridad de pods son una función Beta. Es posible que esta función se quite en el futuro
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.10.3

PRIVATE_CLUSTER_DISABLED

Descripción del resultado: Un clúster de GKE tiene un clúster privado inhabilitado.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba si el campo enablePrivateNodes de la propiedad privateClusterConfig está configurado como false.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.6.5

PCI-DSS v3.2.1: 1.3.2

RELEASE_CHANNEL_DISABLED

Descripción del resultado: Un clúster de GKE no está suscrito a un canal de versiones.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Verifica la propiedad releaseChannel para el par clave-valor "channel": UNSPECIFIED.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GKE 1.0: 6.5.4
WEB_UI_ENABLED

Descripción del resultado: La IU web de GKE (panel) está habilitada.

Nivel de precios: Premium o Estándar

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba el campo kubernetesDashboard de la propiedad addonsConfig para el par clave-valor, "disabled": false.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 7.6

CIS GKE 1.0: 6.10.1

PCI-DSS v3.2.1: 6.6

WORKLOAD_IDENTITY_DISABLED

Descripción del resultado: Workload Identity está inhabilitado en un clúster de GKE.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Corregir este hallazgo

Comprueba si la propiedad workloadIdentityConfig de un clúster está configurada. El detector también verifica si la propiedad workloadMetadataConfig de un grupo de nodos se configuró como GKE_METADATA.

  • Permisos de IAM adicionales: roles/container.clusterViewer
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GKE 1.0: 6.2.2

Resultados de las vulnerabilidades de los conjuntos de datos

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de conjuntos de datos de BigQuery y pertenecen al tipo de detector DATASET_SCANNER.

Tabla 5. Analizador del conjunto de datos
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
DATASET_CMEK_DISABLED

Descripción del resultado: Un conjunto de datos de BigQuery no está configurado para usar una clave de encriptación predeterminada administrada por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Elementos admitidos
bigquery.googleapis.com/Dataset

Corregir este hallazgo

Comprueba si el campo kmsKeyName en la propiedad defaultEncryptionConfiguration está vacío.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No
PUBLIC_DATASET

Descripción del resultado: Un conjunto de datos está configurado para estar abierto al acceso público.

Nivel de precios: Premium

Elementos admitidos
bigquery.googleapis.com/Dataset

Corregir este hallazgo

Verifica la política de IAM en metadatos de recursos para las principales allUsers o allAuthenticatedUsers, que otorgan acceso público.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 7.1

NIST 800-53: AC-2

ISO-27001: A.8.2.3, A.14.1.3

Resultados de las vulnerabilidades de DNS

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Cloud DNS y pertenecen al tipo de detector DNS_SCANNER.

Tabla 6. Analizador de DNS
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
DNSSEC_DISABLED

Descripción del resultado: DNSSEC está inhabilitada para las zonas de Cloud DNS.

Nivel de precios: Premium

Elementos admitidos
dns.googleapis.com/ManagedZone

Corregir este hallazgo

Comprueba si el campo state de la propiedad dnssecConfig está configurado como off.

  • Elementos excluidos de los análisis: Zonas de Cloud DNS que no son públicas
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 3.3

CIS para GCP Foundation 1.1: 3.3

ISO-27001: A.8.2.3

RSASHA1_FOR_SIGNING

Descripción del resultado: RSASHA1 se usa para firmar claves en zonas de Cloud DNS.

Nivel de precios: Premium

Elementos admitidos
dns.googleapis.com/ManagedZone

Corregir este hallazgo

Comprueba si el objeto defaultKeySpecs.algorithm de la propiedad dnssecConfig está configurado como rsasha1.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 3.4, 3.5

CIS para GCP Foundation 1.1: 3.4, 3.5

Resultados de las vulnerabilidades de firewall

Las vulnerabilidades de este tipo de detector se relacionan con la configuración del firewall y pertenecen al tipo de detector FIREWALL_SCANNER.

Tabla 7. Analizador de firewall
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
EGRESS_DENY_RULE_NOT_SET

Descripción de resultados: Una regla de denegación de salida no se establece en un firewall. Las reglas de denegación de salida deben configurarse para bloquear el tráfico saliente no deseado.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corregir este hallazgo

Comprueba si la propiedad destinationRanges en el firewall está configurada como 0.0.0.0/0 y si la propiedad denied contiene el par clave-valor, "IPProtocol": "all".

  • Entradas adicionales: Lee los firewalls de salida de un proyecto desde el almacenamiento.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo en los cambios del proyecto, no en los cambios de las reglas de firewall
PCI-DSS v3.2.1: 7.2
FIREWALL_RULE_LOGGING_DISABLED

Descripción del resultado: El registro de reglas de firewall está inhabilitado. El registro de las reglas de firewall debe estar habilitado para que puedas auditar el acceso a la red.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corregir este hallazgo

Comprueba la propiedad logConfig en los metadatos de firewall para ver si está vacía o contiene el par clave-valor "enable": false.

  • Elementos excluidos de los análisis: Instancias de GKE, reglas de firewall creadas por GKE, Acceso a VPC sin servidores
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: SI-4

ISO-27001: A.13.1.1

OPEN_CASSANDRA_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto CASSANDRA abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corregir este hallazgo

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_CISCOSECURE_WEBSM_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto abierto CISCOSECURE_WEBSM que permite el acceso genérico.

Nivel de precios: Premium o Estándar

Elementos admitidos
compute.googleapis.com/Firewall

Corregir este hallazgo

Comprueba la propiedad allowed en los metadatos del firewall para el siguiente protocolo y puerto: TCP:9090.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_DIRECTORY_SERVICES_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto DIRECTORY_SERVICES abierto que permita el acceso genérico.

Nivel de precios: Premium o Estándar

Elementos admitidos
compute.googleapis.com/Firewall

Corregir este hallazgo

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:445 y UDP:445.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_DNS_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto DNS abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corregir este hallazgo

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:53 y UDP:53.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_ELASTICSEARCH_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto ELASTICSEARCH abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:9200, 9300.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_FIREWALL

Descripción del resultado: Un firewall está configurado para estar abierto al acceso público.

Nivel de precios: Premium o Estándar

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Verifica las propiedades sourceRanges y allowed para una de las dos opciones de configuración:

  • La propiedad sourceRanges contiene 0.0.0.0/0, y la propiedad allowed contiene una combinación de reglas que incluyen protocol o protocol:port, excepto las siguientes:
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • La propiedad sourceRanges contiene una combinación de rangos de IP que incluye cualquier dirección IP no privada, y la propiedad allowed contiene una combinación de reglas que permiten todos los puertos TCP o udp.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
PCI-DSS v3.2.1: 1.2.1
OPEN_FTP_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto FTP abierto que permite el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba la propiedad allowed en los metadatos del firewall para el siguiente protocolo y puerto: TCP:21.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_HTTP_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto HTTP abierto que permite el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:80.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_LDAP_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto LDAP abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:389, 636 y UDP:389.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_MEMCACHED_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto MEMCACHED abierto que permite el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:11211, 11214-11215 y UDP:11211, 11214-11215.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_MONGODB_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto MONGODB abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:27017-27019.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_MYSQL_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto MYSQL abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba la propiedad allowed en los metadatos del firewall para el siguiente protocolo y puerto: TCP:3306.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_NETBIOS_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:137-139 y UDP:137-139.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_ORACLEDB_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto ORACLEDB abierto que permite el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:1521, 2483-2484 y UDP:2483-2484.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_POP3_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto POP3 abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba la propiedad allowed en los metadatos del firewall para el siguiente protocolo y puerto: TCP:110.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_POSTGRESQL_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto PostgreSQL abierto que permite el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:5432 y UDP:5432.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_RDP_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto RDP abierto que permita el acceso genérico.

Nivel de precios: Premium o Estándar

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba la propiedad allowed en los metadatos de firewall en busca de los siguientes protocolos y puertos: TCP:3389 y UDP:3389.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 3.7

CIS para GCP Foundation 1.1: 3.7

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_REDIS_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto REDIS abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba si la propiedad allowed en los metadatos de firewall contiene el siguiente protocolo y puerto: TCP:6379.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_SMTP_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto SMTP abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba si la propiedad allowed en los metadatos de firewall contiene el siguiente protocolo y puerto: TCP:25.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_SSH_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto SSH abierto que permite el acceso genérico.

Nivel de precios: Premium o Estándar

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba si la propiedad allowed en los metadatos de firewall contiene los siguientes protocolos y puertos: TCP:22 y SCTP:22.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 3.6

CIS para GCP Foundation 1.1: 3.6

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_TELNET_PORT

Descripción del resultado: Un firewall está configurado para tener un puerto TELNET abierto que permita el acceso genérico.

Nivel de precios: Premium o Estándar

Elementos admitidos
compute.googleapis.com/Firewall

Corrige este hallazgo

Comprueba si la propiedad allowed en los metadatos de firewall contiene el siguiente protocolo y puerto: TCP:23.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Resultados de las vulnerabilidades de IAM

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de la administración de identidades y accesos (IAM) y pertenecen al tipo de detector IAM_SCANNER.

Tabla 8. Analizador de IAM
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
ADMIN_SERVICE_ACCOUNT

Descripción de hallazgos: Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estas funciones no se deben asignar a las cuentas de servicio creadas por el usuario.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Verifica la política de IAM en los metadatos de recursos para cualquier cuenta de servicio creada por el usuario (indicada por el prefijo iam.gserviceaccount.com), que se les asigna roles/Owner o roles/Editor, o un ID de función que contiene admin.

  • Elementos excluidos de los análisis: cuenta de servicio de Container Registry (containerregistry.iam.gserviceaccount.com) y Cuenta de servicio de Security Command Center (security-center-api.iam.gserviceaccount.com)
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, a menos que la actualización de IAM se realice en una carpeta

CIS para GCP Foundation 1.0: 1.4

CIS para GCP Foundation 1.1: 1.5

KMS_ROLE_SEPARATION

Descripción del resultado: No se aplica la separación de obligaciones, y existe un usuario que tiene cualquiera de las siguientes funciones de Cloud Key Management Service (Cloud KMS) al mismo tiempo: Encriptador/desencriptador de CryptoKey, Encriptador o Desencriptador.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Verifica las políticas de IAM en metadatos de recursos y recupera los miembros a los que se les asignó alguna de las siguientes funciones al mismo tiempo: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter y roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer
    .
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 1.9

CIS para GCP Foundation 1.1: 1.11

NIST 800-53: AC-5

ISO-27001: A.9.2.3, A.10.1.2

NON_ORG_IAM_MEMBER

Descripción del resultado: Hay un usuario que no usa credenciales de organización. Según CIS para GCP Foundations 1.0, por el momento, solo las identidades con direcciones de correo electrónico @gmail.com activan este detector.

Nivel de precios: Premium o Estándar

Elementos admitidos
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Compara las direcciones de correo electrónico @gmail.com del campo user en los metadatos de la política de IAM con una lista de identidades aprobadas para tu organización.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 1.1

PCI DSS v3.2.1: 7.1.2

NIST 800-53: AC-3

ISO-27001: A.9.2.3

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Descripción del resultado: Un usuario tiene la función Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel de proyecto, en lugar de una cuenta de servicio específica.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Verifica la política de IAM en los metadatos de recursos para cualquier miembro asignado roles/iam.serviceAccountUser o roles/iam.serviceAccountTokenCreator a nivel de proyecto.
  • Elementos excluidos de los análisis: Cuentas de servicio de Cloud Build
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 1.5

PCI DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

PRIMITIVE_ROLES_USED

Descripción del resultado: Un usuario tiene la función básica, Propietario, Escritor o Lector. Estas funciones son demasiado permisivas y no deben usarse.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Verifica la política de IAM en los metadatos de recursos para cualquier miembro asignado roles/Owner, roles/Writer o roles/Reader.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

REDIS_ROLE_USED_ON_ORG

Descripción de los hallazgos: Una función de IAM de Redis se asigna a nivel de organización o carpeta.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Organization

Corregir este hallazgo

Verifica la política de IAM en metadatos de recursos para miembros asignados roles/redis.admin, roles/redis.editor, roles/redis.viewer a nivel de organización o carpeta.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI DSS v3.2.1: 7.1.2

ISO-27001: A.9.2.3

SERVICE_ACCOUNT_ROLE_SEPARATION

Descripción del resultado: Se asignaron a un usuario las funciones de administrador de cuentas de servicio y usuario de cuentas de servicio. Esto infringe el principio de “Separación de obligaciones”.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Comprueba la política de IAM en los metadatos de recursos para cualquier miembro asignado tanto roles/iam.serviceAccountUser como roles/iam.serviceAccountAdmin.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 1.7

NIST 800-53: AC-5

ISO-27001: A.9.2.3

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Descripción de los hallazgos: La clave de una cuenta de servicio no se rotó por más de 90 días.

Nivel de precios: Premium

Elementos admitidos
iam.googleapis.com/ServiceAccountKey

Corregir este hallazgo

Evalúa la marca de tiempo de creación de claves capturada en la propiedad validAfterTime en los metadatos de las claves de las cuentas de servicio.

  • Elementos excluidos de los análisis: claves de cuentas de servicio vencidas y claves no administradas por los usuarios
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS para GCP Foundation 1.0: 1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY

Descripción del resultado: Un usuario administra una clave de cuenta de servicio.

Nivel de precios: Premium

Elementos admitidos
iam.googleapis.com/ServiceAccountKey

Corregir este hallazgo

Comprueba si la propiedad keyType en los metadatos de la clave de la cuenta de servicio está configurada en User_Managed.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS para GCP Foundation 1.0: 1.3

Resultados de las vulnerabilidades de KMS

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud KMS y pertenecen al tipo de detector KMS_SCANNER.

Tabla 9. Analizador de KMS
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
KMS_KEY_NOT_ROTATED

Descripción de los hallazgos: La rotación no se configura en una clave de encriptación de Cloud KMS. La encriptación de claves se debe rotar en un período de 90 días

Nivel de precios: Premium

Elementos admitidos
cloudkms.googleapis.com/CryptoKey

Corregir este hallazgo

Verifica los metadatos de los recursos para la existencia de propiedades rotationPeriod o nextRotationTime.

  • Elementos excluidos de los análisis: Claves y claves asimétricas con versiones principales inhabilitadas o destruidas
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 1.8

PCI-DSS v3.2.1: 3.5

NIST 800-53: SC-12

ISO-27001: A.10.1.2

KMS_PROJECT_HAS_OWNER

Descripción de los hallazgos: Un usuario tiene permisos de Propietario en un proyecto que tiene claves criptográficas.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Verifica la política de IAM en los metadatos del proyecto para los miembros asignados roles/Owner.

  • Entradas adicionales: Lee las claves criptográficas de un proyecto desde el almacenamiento y archiva los resultados solo para proyectos con claves criptográficas.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo en los cambios de la política de IAM, no en los cambios en las claves de KMS

PCI-DSS v3.2.1: 3.5

NIST 800-53: AC-6, SC-12

ISO-27001: A.9.2.3, A.10.1.2

KMS_PUBLIC_KEY

Descripción de los hallazgos: Una clave criptográfica de Cloud KMS es de acceso público.

Nivel de precios: Premium

Elementos admitidos
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Corregir este hallazgo

Verifica la política de IAM en metadatos de recursos para las principales allUsers o allAuthenticatedUsers, que otorgan acceso público.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 1.9

TOO_MANY_KMS_USERS

Descripción del resultado: Hay más de tres usuarios de claves criptográficas.

Nivel de precios: Premium

Elementos admitidos
cloudkms.googleapis.com/CryptoKey

Corregir este hallazgo

Comprueba las políticas de IAM para llaveros de claves, proyectos y organizaciones, y recupera miembros con funciones que les permiten encriptar, desencriptar o firmar datos con claves de Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer y roles/cloudkms.signerVerifier
    .
  • Entradas adicionales: Lee las versiones de claves criptográficas de una clave criptográfica desde el almacenamiento, lo que presenta resultados solo para claves con versiones activas. El detector también lee las políticas de IAM de llavero de claves, proyecto y organización desde el almacenamiento.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 3.5.2

ISO-27001: A.9.2.3

Resultados de las vulnerabilidades de registros

Las vulnerabilidades de este tipo de detector se relacionan con la configuración del registro y pertenecen al tipo de detector LOGGING_SCANNER.

Tabla 10. Analizador de registros
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
AUDIT_LOGGING_DISABLED

Descripción de los hallazgos: Se inhabilitó el registro de auditoría para este recurso.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Verifica la política de IAM en los metadatos de recursos para la existencia de un objeto auditLogConfigs.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo en el cambio de política de IAM del proyecto, no en los cambios de organización o carpeta

CIS para GCP Foundation 1.0: 2.1

CIS para GCP Foundation 1.1: 2.1

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: AC-2, AU-2

ISO-27001: A.12.4.1, A.16.1.7

BUCKET_LOGGING_DISABLED

Descripción del resultado: Hay un bucket de almacenamiento sin el registro habilitado.

Nivel de precios: Premium

Elementos admitidos
storage.googleapis.com/Bucket

Corregir este hallazgo

Comprueba si el campo logBucket en la propiedad logging del bucket está vacío.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS para GCP Foundation 1.0: 5.3
LOCKED_RETENTION_POLICY_NOT_SET

Descripción del resultado: Una política de retención bloqueada no se establece para los registros.

Nivel de precios: Premium

Elementos admitidos
storage.googleapis.com/Bucket

Corregir este hallazgo

Comprueba si el campo isLocked en la propiedad retentionPolicy del bucket está configurado como true.

  • Entradas adicionales: Lee el receptor de registros (el filtro y el destino del registro) para un bucket a fin de determinar si es un bucket de registro.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 2.3

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-11

ISO-27001: A.12.4.2, A.18.1.3

LOG_NOT_EXPORTED

Descripción de los hallazgos: Hay un recurso que no tiene configurado un receptor de registros adecuado.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Recupera un objeto logSink de un proyecto y verifica que el campo includeChildren esté configurado como true, el campo destination incluye la ubicación en la que se deben escribir los registros y se propaga el campo filter.

  • Entradas adicionales: Lee el receptor de registros (el filtro y el destino del registro) para un bucket a fin de determinar si es un bucket de registro.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo en cambios de proyecto, no si la exportación de registros se configura en una organización o carpeta

CIS para GCP Foundation 1.0: 2.2

CIS para GCP Foundation 1.1: 2.2

ISO-27001: A.18.1.3

OBJECT_VERSIONING_DISABLED

Descripción del resultado: El control de versiones de objetos no está habilitado en un bucket de almacenamiento en el que están configurados los receptores.

Nivel de precios: Premium

Elementos admitidos
storage.googleapis.com/Bucket

Corregir este hallazgo

Comprueba si el campo enabled en la propiedad versioning del bucket está configurado como true.

  • Elementos excluidos del análisis: buckets de Cloud Storage con una política de retención bloqueada
  • Entradas adicionales: Lee el receptor de registros (el filtro y el destino del registro) para un bucket a fin de determinar si es un bucket de registro.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo si cambia el control de versiones de los objetos, no si se crean buckets de registros

CIS para GCP Foundation 1.0: 2.3

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-11

ISO-27001: A.12.4.2, A.18.1.3

Resultados de las vulnerabilidades de Monitoring

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de supervisión y pertenecen al tipo MONITORING_SCANNER. Todas las propiedades del hallazgo del detector de Monitoring incluyen lo siguiente:

  • El RecommendedLogFilter que se usará para crear las métricas de registro.
  • El QualifiedLogMetricNames que cubre las condiciones que se enumeran en el filtro de registro recomendado.
  • El AlertPolicyFailureReasons que indica si el proyecto no tiene políticas de alerta creadas para cualquiera de las métricas de registro calificadas o si las políticas de alertas existentes no tienen la configuración recomendada.
Tabla 11. Analizador de Monitoring
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
AUDIT_CONFIG_NOT_MONITORED

Descripción del resultado: Las métricas y alertas de registro no están configuradas para supervisar los cambios de la configuración de auditoría.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Comprueba si la propiedad filter del recurso LogsMetric del proyecto se establece en protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* y, si se especifica resource.type, el valor es global. El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud's operations suite de Google Cloud's operations suite y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en los cambios de proyecto, no en las métricas del registro y los cambios de alerta

CIS para GCP Foundation 1.0: 2.5

CIS para GCP Foundation 1.1: 2.5

BUCKET_IAM_NOT_MONITORED

Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions". El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud's operations suite de Google Cloud's operations suite y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en los cambios de proyecto, no en las métricas del registro y los cambios de alerta

CIS para GCP Foundation 1.0: 2.10

CIS para GCP Foundation 1.1: 2.10

CUSTOM_ROLE_NOT_MONITORED

Descripción de los hallazgos: Las métricas y alertas de registro no están configuradas para supervisar los cambios de funciones personalizadas.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type="iam_role" AND protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole". El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud's operations suite de Google Cloud's operations suite y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en los cambios de proyecto, no en las métricas del registro y los cambios de alerta

CIS para GCP Foundation 1.0: 2.6

CIS para GCP Foundation 1.1: 2.6

FIREWALL_NOT_MONITORED

Descripción de los hallazgos: Las métricas y alertas de registro no están configuradas para supervisar los cambios en la regla de firewall de la red de VPC.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete"). El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud's operations suite de Google Cloud's operations suite y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en los cambios de proyecto, no en las métricas del registro y los cambios de alerta

CIS para GCP Foundation 1.0: 2.7

CIS para GCP Foundation 1.1: 2.7

NETWORK_NOT_MONITORED

Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios de la red de VPC

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering"). El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud's operations suite de Google Cloud's operations suite y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en los cambios de proyecto, no en las métricas del registro y los cambios de alerta

CIS para GCP Foundation 1.0: 2.9

CIS para GCP Foundation 1.1: 2.9

OWNER_NOT_MONITORED

Descripción del resultado: Las métricas y alertas de registros no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Comprueba si la propiedad filter del recurso LogsMetric del proyecto se establece en (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") y, si se especifica resource.type, el valor es global. El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud's operations suite de Google Cloud's operations suite y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en los cambios de proyecto, no en las métricas del registro y los cambios de alerta

CIS para GCP Foundation 1.0: 2.4

CIS para GCP Foundation 1.1: 2.4

ROUTE_NOT_MONITORED

Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert"). El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud's operations suite de Google Cloud's operations suite y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en los cambios de proyecto, no en las métricas del registro y los cambios de alerta

CIS para GCP Foundation 1.0: 2.8

CIS para GCP Foundation 1.1: 2.8

SQL_INSTANCE_NOT_MONITORED

Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios en la configuración de la instancia de Cloud SQL.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Corregir este hallazgo

Comprueba si la propiedad filter del recurso LogsMetric del proyecto se establece en protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete" y, si se especifica resource.type, el valor es global. El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos de IAM adicionales: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: Lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta de Google Cloud's operations suite de Google Cloud's operations suite y registra los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en los cambios de proyecto, no en las métricas del registro y los cambios de alerta

CIS para GCP Foundation 1.0: 2.11

CIS para GCP Foundation 1.1: 2.11

Resultados de autenticación de varios factores

El detector MFA_SCANNER identifica vulnerabilidades relacionadas con la autenticación de varios factores para los usuarios.

Tabla 12. Escáner de autenticación de varios factores
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
MFA_NOT_ENFORCED

Hay usuarios que no usan la verificación en 2 pasos.

Nivel de precios: Premium o Estándar

Elementos admitidos
cloudresourcemanager.googleapis.com/Organization

Corregir este hallazgo

Evalúa las políticas de administración de identidades en las organizaciones y la configuración de usuarios para cuentas administradas en Cloud Identity.

  • Elementos excluidos de los análisis: Las unidades de la organización otorgadas excepciones a la política
  • Entradas adicionales: Lee datos de Google Workspace.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.0: 1.2

CIS para GCP Foundation 1.1: 1.2

PCI-DSS v3.2.1: 8.3

NIST 800-53: IA-2

ISO-27001: A.9.4.2

Resultados de las vulnerabilidades de la red

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de red de una organización y pertenecen al tipo NETWORK_SCANNER.

Tabla 13. Analizador de red
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
DEFAULT_NETWORK

Descripción del resultado: La red predeterminada existe en un proyecto.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Network

Corregir este hallazgo

Comprueba si la propiedad name en los metadatos de red está configurada en default.

  • Elementos excluidos de los análisis: Proyectos en los que la API de Compute Engine está inhabilitada y los recursos de Compute Engine están inmovilizados
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 3.1

CIS para GCP Foundation 1.1: 3.1

LEGACY_NETWORK

Descripción del resultado: Existe una red heredada en un proyecto.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Network

Corregir este hallazgo

Comprueba la existencia de metadatos de red para la existencia de la propiedad IPv4Range.

  • Elementos excluidos de los análisis: Proyectos en los que la API de Compute Engine está inhabilitada y los recursos de Compute Engine están inmovilizados
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 3.2

CIS para GCP Foundation 1.1: 3.2

Resultados de las vulnerabilidades de las políticas de la organización

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de las restricciones de Política de la organización y pertenecen al tipo ORG_POLICY.

Tabla 14. Análisis de políticas de organización
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
ORG_POLICY_CONFIDENTIAL_VM_POLICY Descripción del resultado: Un recurso de Compute Engine no cumple con la política de la organización constraints/compute.restrictNonConfidentialComputing. Para obtener más información sobre esta restricción de la política de la organización, consulta Aplica restricciones de políticas de la organización en Confidential VM.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Instance

Corregir este hallazgo

Comprueba si la propiedad enableConfidentialCompute de una instancia de Compute Engine está configurada como true.

  • Elementos excluidos de los análisis: Instancias de GKE
  • Permisos de IAM adicionales: permissions/orgpolicy.policy.get
  • Entradas adicionales: Lee la política vigente de la organización del servicio de políticas de la organización.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No
ORG_POLICY_LOCATION_RESTRICTION Descripción de los resultados: Un recurso de Compute Engine no cumple con la restricción constraints/gcp.resourceLocations. Para obtener más información sobre esta restricción de políticas de la organización, consulta Aplica restricciones de políticas de la organización.

Nivel de precios: Premium

Elementos admitidos
Consulta a continuación

Corregir este hallazgo

Comprueba la propiedad listPolicy en los metadatos de recursos admitidos para obtener una lista de las ubicaciones permitidas o denegadas.

  • Permisos de IAM adicionales: permissions/orgpolicy.policy.get
  • Entradas adicionales: Lee la política vigente de la organización del servicio de políticas de la organización.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

Elementos admitidos para ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Logging
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/DataLabelingJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifact_artifact.googleapis.com/Repository

1 Debido a que los elementos de Cloud KMS no se pueden borrar, el elemento no se considera fuera de la región si se destruyen los datos del elemento.

2 Debido a que los trabajos de importación de Cloud KMS tienen un ciclo de vida controlado y no se pueden finalizar de forma anticipada, un ImportJob no se considera fuera de la región si el trabajo venció y ya no se puede usar para importar claves.

3 Debido a que no se puede administrar el ciclo de vida de los trabajos de Dataflow, un trabajo no se considera fuera de la región una vez que alcanza un estado terminal (detenido o desviado), en el que ya no se pueden usar para procesar datos.

Resultados de vulnerabilidades de Pub/Sub

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Pub/Sub y pertenecen al tipo PUBSUB_SCANNER.

Tabla 15. Escáner de Pub/Sub
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
PUBSUB_CMEK_DISABLED

Descripción del resultado: Un tema de Pub/Sub no se encripta con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Elementos admitidos
pubsub.googleapis.com/Topic

Corregir este hallazgo

Comprueba el campo kmsKeyName para el nombre del recurso de tu CMEK.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

Resultados de las vulnerabilidades de SQL

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud SQL y pertenecen al tipo SQL_SCANNER.

Tabla 16. Analizador de SQL
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
AUTO_BACKUP_DISABLED

Descripción del resultado: Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Comprueba si la propiedad backupConfiguration.enabled de un dato de Cloud SQL está configurado como true.

  • Elementos excluidos de los análisis: Réplicas de Cloud SQL
  • Entradas adicionales: Lee las políticas de IAM para los principales del almacenamiento de recursos de Security Health Analytics.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 6.7

NIST 800-53: CP-9

ISO-27001: A.12.3.1

PUBLIC_SQL_INSTANCE

Descripción de los hallazgos: Una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP.

Nivel de precios: Premium o Estándar

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Comprueba si la propiedad authorizedNetworks de instancias de Cloud SQL está configurada en una dirección IP única o en un rango de direcciones IP.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 6.2

CIS para GCP Foundation 1.1: 6.5

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: CA-3, SC-7

ISO-27001: A.8.2.3, A.13.1.3, A.14.1.3

SSL_NOT_ENFORCED

Descripción del resultado: Una instancia de base de datos de Cloud SQL no necesita que todas las conexiones entrantes usen SSL.

Nivel de precios: Premium o Estándar

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Comprueba si la propiedad requireSsl de la instancia de Cloud SQL está configurada en true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 6.1

CIS para GCP Foundation 1.1: 6.4

PCI-DSS v3.2.1: 4.1

NIST 800-53: SC-7

ISO-27001: A.8.2.3, A.13.2.1, A.14.1.3

SQL_CMEK_DISABLED

Descripción del resultado: Una instancia de base de datos SQL no está encriptada con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Comprueba el campo kmsKeyName del objeto diskEncryptionKey, en los metadatos de la instancia, para el nombre del recurso de tu CMEK.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
SQL_CONTAINED_DATABASE_AUTHENTICATION

Descripción de los hallazgos: La marca de la base de datos contained database authentication de una instancia de Cloud SQL para SQL Server no está configurada como off.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Comprueba la propiedad databaseFlags de los metadatos de la instancia para el par clave-valor, "name": "contained database authentication", "value": "on" o si está habilitado de forma predeterminada.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 6.3.2

SQL_CROSS_DB_OWNERSHIP_CHAINING

Descripción de los hallazgos: La marca de la base de datos cross_db_ownership_chaining de una instancia de Cloud SQL para SQL Server no está configurada como off.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "cross_db_ownership_chaining", "value": "on".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 6.3.1

SQL_LOCAL_INFILE

Descripción de los hallazgos: La marca de la base de datos local_infile de una instancia de Cloud SQL para MySQL no se configuró como off.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "local_infile", "value": "on".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 6.1.2

SQL_LOG_CHECKPOINTS_DISABLED

Descripción de los hallazgos: La marca de la base de datos log_checkpoints para una instancia de Cloud SQL para PostgreSQL no está configurada como on.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_checkpoints", "value": "on".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 6.2.1

SQL_LOG_CONNECTIONS_DISABLED

Descripción de los hallazgos: La marca de la base de datos log_connections para una instancia de Cloud SQL para PostgreSQL no está configurada como on.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_connections", "value": "on".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 6.2.2

SQL_LOG_DISCONNECTIONS_DISABLED

Descripción de los hallazgos: La marca de la base de datos log_disconnections de una instancia de Cloud SQL para PostgreSQL no está configurada como on.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_disconnections", "value": "on".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 6.2.3

SQL_LOG_LOCK_WAITS_DISABLED

Descripción de los hallazgos: La marca de la base de datos log_lock_waits para una instancia de Cloud SQL para PostgreSQL no está configurada como on.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_lock_waits", "value": "on".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 6.2.4

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Descripción de los hallazgos: La marca de la base de datos log_min_duration_statement de una instancia de Cloud SQL para PostgreSQL no está configurada como “-1”.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_min_duration_statement", "value": "-1".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 6.2.7

SQL_LOG_MIN_ERROR_STATEMENT

Descripción de los hallazgos: La marca de la base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no se configuró de forma adecuada.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Comprueba si el campo log_min_error_statement de la propiedad databaseFlags se configura como uno de los siguientes valores: debug5, debug4, debug3, debug2, debug1, info, notice, warning o el valor predeterminado error.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 6.2.5

SQL_LOG_TEMP_FILES

Descripción de los hallazgos: La marca de la base de datos log_temp_files de una instancia de Cloud SQL para PostgreSQL no está configurada en “0”.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Verifica la propiedad databaseFlags de los metadatos de la instancia del par clave-valor "name": "log_temp_files", "value": "0".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 6.2.6

SQL_NO_ROOT_PASSWORD

Descripción del resultado: Una base de datos de Cloud SQL no tiene una contraseña configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Comprueba si la propiedad rootPassword de la cuenta raíz está vacía.

  • Permisos de IAM adicionales: roles/cloudsql.client
  • Entradas adicionales: Consultas instancias activas
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS para GCP Foundation 1.0: 6.3

CIS para GCP Foundation 1.1: 6.1.1

PCI-DSS v3.2.1: 2.1

NIST 800-53: AC-3

ISO-27001: A.8.2.3, A.9.4.2

SQL_PUBLIC_IP

Descripción de los hallazgos: Una base de datos de Cloud SQL tiene una dirección IP pública.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Comprueba si el tipo de dirección IP de una base de datos de Cloud SQL está configurada como Primary, lo que indica que es pública.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.1: 6.6

SQL_WEAK_ROOT_PASSWORD

Descripción de los hallazgos: Una base de datos de Cloud SQL tiene una contraseña poco segura configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores.

Nivel de precios: Premium

Elementos admitidos
sqladmin.googleapis.com/Instance

Corregir este hallazgo

Compara la contraseña de la cuenta raíz de tu base de datos de Cloud SQL con una lista de contraseñas comunes.

  • Permisos de IAM adicionales: roles/cloudsql.client
  • Entradas adicionales: Consultas instancias activas
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

Resultados de las vulnerabilidades de Storage

Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de depósitos de Cloud Storage y pertenecen al tipo STORAGE_SCANNER.

Tabla 17. Analizador de Storage
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
BUCKET_CMEK_DISABLED

Descripción de los hallazgos: Un bucket no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita detectores.

Nivel de precios: Premium

Elementos admitidos
storage.googleapis.com/Bucket

Corregir este hallazgo

Comprueba el campo encryption en los metadatos del bucket para el nombre de recurso de tu CMEK.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
BUCKET_POLICY_ONLY_DISABLED

Descripción del resultado: No se configuró el acceso uniforme a nivel de bucket, que antes se denominaba Solo política del bucket.

Nivel de precios: Premium

Elementos admitidos
storage.googleapis.com/Bucket

Corregir este hallazgo

Comprueba si la propiedad uniformBucketLevelAccess de un bucket está configurada en "enabled":false .

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
PUBLIC_BUCKET_ACL

Descripción del resultado:Un bucket de Cloud Storage es de acceso público.

Nivel de precios: Premium o Estándar

Elementos admitidos
storage.googleapis.com/Bucket

Corregir este hallazgo

Comprueba la política de IAM de un bucket para las funciones públicas, allUsers o allAuthenticatedUsers, con privilegios de administrador o editor.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 5.1

CIS para GCP Foundation 1.1: 5.1

PCI-DSS v3.2.1: 7.1

NIST 800-53: AC-2

ISO-27001: A.8.2.3, A.14.1.3

PUBLIC_LOG_BUCKET

Descripción del resultado:: Un bucket de almacenamiento que se usa como receptor de registros es de acceso público.

Nivel de precios: Premium o Estándar

Elementos admitidos
storage.googleapis.com/Bucket

Corregir este hallazgo

Verifica la política de IAM de un bucket para las principales allUsers o allAuthenticatedUsers, que otorgan acceso público.

  • Entradas adicionales: Lee el receptor de registros (el filtro y el destino del registro) para un bucket a fin de determinar si es un bucket de registro.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo si cambia la política de IAM en el bucket, no si se cambia el receptor de registros

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-9

ISO-27001: A.8.2.3, A.12.4.2, A.18.1.3

Resultados de las vulnerabilidades de subred

Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de la subred de una organización y pertenecen al tipo SUBNETWORK_SCANNER.

Tabla 18. Analizador de subred
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
FLOW_LOGS_DISABLED

Descripción del resultado: Hay una subred de VPC que tiene los registros de flujo inhabilitados.

Nivel de precios: Premium

Recursos admitidos
compute.googleapis.com/Subnetwork

Corregir este hallazgo

Comprueba si falta la propiedad enableFlowLogs de las subredes de Compute Engine, o si se configura como false.

  • Elementos excluidos de los análisis: Acceso al VPC sin servidores y subredes del balanceador de cargas
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS para GCP Foundation 1.0: 3.9

CIS para GCP Foundation 1.1: 3.8

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: SI-4

ISO-27001: A.13.1.1

PRIVATE_GOOGLE_ACCESS_DISABLED

Descripción del resultado: Existen subredes privadas sin acceso a las API públicas de Google.

Nivel de precios: Premium

Recursos admitidos
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Corregir este hallazgo

Comprueba si la propiedad privateIpGoogleAccess de las subredes de Compute Engine está configurada en false.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS para GCP Foundation 1.0: 3.8

VM Manager

VM Manager es un conjunto de herramientas que se pueden usar en la administración de sistemas operativos para flotas de máquinas virtuales (VM) grandes que ejecutan Windows y Linux en Compute Engine.

Si habilitas VM Manager y estás suscrito a la versión Premium de Security Command Center, VM Manager escribe los resultados de sus informes de vulnerabilidad, que se encuentran en vista previa, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos instalados en las VM, incluidas las vulnerabilidades y riesgos comunes (CVE).

Los informes de vulnerabilidad no están disponibles para la versión estándar de Security Command Center.

Los resultados simplifican el proceso de usar la función de cumplimiento de parches de VM Manager, que está en vista previa. Esta función te permite realizar la administración de parches a nivel de organización en todos los proyectos. Actualmente, VM Manager admite la administración de parches a nivel de proyecto único.

Resultados de VM Manager

Las vulnerabilidades de este tipo se relacionan con paquetes instalados de sistema operativo en las VM de Compute Engine compatibles.

Tabla 19. Informes de vulnerabilidad de VM Manager
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
OS_VULNERABILITY

Resultado de la descripción: VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado de una VM de Compute Engine.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Instance

Corregir este hallazgo

Los informes de vulnerabilidad de VM Manager detallan vulnerabilidades en los paquetes del sistema operativo instalados para las VM de Compute Engine, incluidos Vulnerabilidades y exposiciones comunes (CVE).

  • Elementos excluidos de los análisis: SUSE Linux Enterprise Server (SLES), sistemas operativos Windows
  • Los hallazgos aparecen en Security Command Center poco después de que se detectan vulnerabilidades. Los informes de vulnerabilidad en VM Manager se generan de la siguiente manera:

    • Para la mayoría de las vulnerabilidades en el paquete de sistema operativo instalado, la API de configuración del SO genera un informe de vulnerabilidades en pocos minutos.
    • En el caso de las CVE, la API de configuración del SO genera el informe de vulnerabilidad en un plazo de tres a cuatro horas después de que se publica la CVE en el SO.

Solución de los resultados de VM Manager

Un hallazgo de OS_VULNERABILITY indica que VM Manager encontró una vulnerabilidad en los paquetes del sistema operativo instalados en una VM de Compute Engine.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Configuración en Security Command Center.

    Ir a hallazgos

  2. Junto a Ver por, selecciona Tipo de origen.

  3. En la lista Tipo de origen, selecciona VM Manager.

    Una tabla se propaga con los resultados para el tipo de fuente que seleccionaste.

  4. En categoría, haz clic en el nombre de un resultado.

  5. En el panel Detalles de los resultados, selecciona Propiedades de origen.

  6. Para obtener más información sobre la vulnerabilidad, consulta los siguientes campos:

    1. properties: Contiene una descripción de las opciones de vulnerabilidad y mitigación.
    2. severity: El nivel de riesgo asignado al resultado
    3. vulnerability: contiene un vínculo a un repositorio público de CVE con más detalles sobre la vulnerabilidad.
    4. references: Contiene vínculos de información adicional, incluso a fuentes de la industria
    5. id: El ID de CVE, por ejemplo, CVE-2021-33200; puedes usar el ID para filtrar los resultados y encontrar otras VM afectadas por esta CVE
  7. Si quieres crear un trabajo de aplicación de parches para el SO en Cloud Console, haz clic en el vínculo en external_uri.

    Para obtener instrucciones sobre la implementación de parches, consulta Administración de parches de SO.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

Inhabilita los informes de vulnerabilidad de VM Manager

Para evitar que se escriban informes de vulnerabilidad en Security Command Center, puedes inhabilitar la API del servicio de configuración del SO en tus proyectos.

  1. Ve a la página API de configuración del SO en Cloud Console.

    Ir a API de configuración del SO

  2. Si es necesario, selecciona tu proyecto.

  3. Haz clic en Inhabilitar API y, luego, en el cuadro de diálogo, haz clic en Inhabilitar.

Resultados de Web Security Scanner

Los análisis personalizados y administrados de Web Security Scanner identifican los siguientes tipos de resultados. En el nivel Estándar, Web Security Scanner admite los análisis personalizados de aplicaciones implementadas con URL e IP públicas que no están detrás de un firewall.

Tabla 20. Hallazgos de Web Security Scanner
Categoría Descripción del resultado Los 10 mejores de OWASP de 2017 Los 10 mejores de OWASP de 2021
ACCESSIBLE_GIT_REPOSITORY Un repositorio de Git se expone públicamente. Para resolver este problema, quita el acceso público no intencional al repositorio de GIT. A5 A01
ACCESSIBLE_SVN_REPOSITORY Un repositorio de SVN se expone públicamente. Para solucionar este problema, quita el acceso no intencional al público en el repositorio de SVN. A5 A01
CLEAR_TEXT_PASSWORD Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver esto, encripta la contraseña que se transmite a través de la red. A3 A02
INVALID_CONTENT_TYPE Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta. Para resolver esto, configura el encabezado HTTP "X-Content-Type-Options" con el valor correcto. A6 A05
INVALID_HEADER Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6 A05
MISMATCHING_SECURITY_HEADER_VALUES Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6 A05
MISSPELLED_SECURITY_HEADER_NAME Un encabezado de seguridad está mal escrito y se ignora. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6 A05
MIXED_CONTENT Los recursos se envían a través de HTTP en una página HTTPS. Para resolver esto, asegúrate de que todos los recursos se entreguen a través de HTTPS. A6 A05
OUTDATED_LIBRARY Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver esto, actualiza las bibliotecas a una versión más reciente. A9 A06
SERVER_SIDE_REQUEST_FORGERY Se detectó una vulnerabilidad de falsificación de solicitudes del servidor (SSRF). Para resolver este resultado, usa una lista de entidades permitidas a fin de limitar los dominios y las direcciones IP a las que la aplicación web puede realizar solicitudes. No aplicable A10
XSS Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y omite los datos no confiables del usuario. A7 A03
XSS_ANGULAR_CALLBACK La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para resolver resultado, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla. A7 A03
XSS_ERROR Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver esto, valida y omite los datos no confiables del usuario. A7 A03

Comparativas de CIS

El Centro para la seguridad en Internet (CIS) incluye las siguientes comparativas que actualmente no admiten Web Security Scanner o los detectores de estadísticas de estado de seguridad:

Tabla 21. Comparativas de CIS
Categoría Descripción del resultado CIS para GCP Foundation 1.0 NIST 800-53 ISO-27001
BASIC_AUTHENTICATION_ENABLED Se debe habilitar IAM o la autenticación de certificado de cliente en los clústeres de Kubernetes 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED Los clústeres de Kubernetes se deben crear con la opción Certificado de cliente habilitada. 7.12
LABELS_NOT_USED Las etiquetas se pueden usar para desglosar los datos de facturación. 7.5
PUBLIC_STORAGE_OBJECT La LCA del objeto de almacenamiento no debe otorgar acceso a **AllUsers**. 5.2
SQL_BROAD_ROOT_LOGIN El acceso raíz a la base de datos de SQL debe limitarse a las direcciones IP incluidas en la lista de direcciones confiables. 6.4

¿Qué sigue?