Hallazgos de vulnerabilidades

>

Los detectores de estado de seguridad y los análisis de seguridad web generan hallazgos de vulnerabilidades que están disponibles en Security Command Center. La capacidad de ver y editar los resultados se determina mediante las funciones y permisos de administración de identidades y accesos (IAM). Para obtener más información sobre las funciones de IAM en Security Command Center, consulta Control de acceso.

Detectores y cumplimiento

En esta sección, se describe la asignación entre detectores compatibles y la mejor asignación de esfuerzo a los estándares de cumplimiento relevantes.

CIS Benchmarks

Security Command Center admite dos versiones de las Comparativas de CIS para Google Cloud Platform Foundation:

  • Comparativa de Google Cloud Computing Foundation v1.1.0 (ICS de Google Cloud Foundation 1.1)
  • CIS para Google Cloud Computing Foundations v1.0.0 (CIS Google Cloud Foundation 1.0)

El Centro de Seguridad de Internet de Google Cloud ha revisado y certificado las asignaciones de CIS de Google Cloud Foundation 1.1 y 1.0 para su alineación con la comparativa CIS de Google Cloud Computing Foundation v1.1.0 y v1.0.0, respectivamente.

Aunque se admiten ICS 1.1 y CIS 1.0, te recomendamos que uses o transición a CIS 1.1, si es posible. CIS 1.1 amplía la cobertura a servicios adicionales de Google Cloud y define mejor las instrucciones y orientación para realizar comparativas complejas.

Estándares adicionales

Las asignaciones de cumplimiento adicionales se incluyen como referencia y no se proporcionan ni revisan mediante el Estándar de Seguridad de Datos de la Industria de Tarjeta de Pago o OWASP Foundation. Debes consultar Pago Estándar de seguridad de datos de la industria de tarjetas de pago 3.2.1 (PCI-DSS v3.2.1),Top 10 OWASP ,Instituto Nacional de Normas y Tecnología 800-53 (NIST 800-53) y Organización Internacional de Normalización 27001 (ISO 27001) para ver cómo se cometen estos incumplimientos de forma manual.

Esta funcionalidad solo está diseñada para que supervises las infracciones de los controles de cumplimiento. Las asignaciones no se proporcionan como base ni como reemplazo de la auditoría, la certificación o el informe de cumplimiento de tus productos o servicios con comparativas o estándares regulatorios o de la industria.

Para obtener instrucciones sobre cómo visualizar y exportar informes de cumplimiento, consulta la sección Cumplimiento en el panel de Security Command Center.

Estadísticas del estado de la seguridad

Los detectores de estado de seguridad supervisan un subconjunto de recursos de Cloud Asset Inventory (CAI), reciben notificaciones de cambios de políticas y identidades y accesos (IAM). Algunos detectores recuperan datos mediante llamadas directas a las API de Google Cloud, como se indica en las tablas más adelante en esta página.

Los análisis de estado de seguridad se ejecutan en tres modos:

  • Análisis por lotes: todos los detectores están programados para ejecutarse para todas las organizaciones inscritas dos o más veces al día. Los detectores se ejecutan en diferentes programaciones para cumplir con objetivos de nivel de servicio (SLO) específicos. Para cumplir con los SLO de 12 y 24 horas, los detectores ejecutan análisis por lotes cada seis horas o 12 horas, respectivamente. Los cambios de recursos y políticas que ocurren entre análisis por lotes no se capturan de inmediato y se aplican en el siguiente análisis por lotes. Nota: Los programas de análisis por lotes son objetivos de rendimiento, no garantías de servicio.

  • Análisis en tiempo real: Los detectores compatibles comienzan a analizar cada vez que el CAI informa un cambio en la configuración de un elemento. Los resultados se escriben de inmediato en Security Command Center.

  • Modo mixto: Es posible que algunos detectores que admiten análisis en tiempo real no detecten cambios en tiempo real en todos los elementos compatibles. En esos casos, los cambios de configuración de algunos elementos se capturan de inmediato y otros se capturan en análisis por lotes. Las excepciones se indican en las tablas de esta página.

En las siguientes tablas, se describen los detectores de estadísticas de estado de seguridad, los elementos y estándares de cumplimiento que admiten, la configuración que usan para los análisis y los tipos de resultados que generan. Puedes filtrar los resultados por el nombre del detector y la búsqueda del tipo en la pestaña Vulnerabilidades del Security Command Center en Google Cloud Console.

Para obtener instrucciones sobre cómo solucionar problemas y proteger tus recursos, consulta Soluciona los problemas de las estadísticas de estado de seguridad.

Resultados de las vulnerabilidades de la clave de API

El detector API_KEY_SCANNER identifica vulnerabilidades relacionadas con las claves de API que se usan en tu implementación en la nube.

Tabla 1. Escáner de claves de API
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
API_KEY_APIS_UNRESTRICTED

Encontrar descripción: Hay claves de API que se usan con demasiada frecuencia. Para solucionar este problema, limita el uso de claves de API a fin de permitir solo las API necesarias para la aplicación.

Nivel de precios: Premium

Activos compatibles
cloud cloud.googleapis.com/Project

Corrige este hallazgo de

Recupera la propiedad restrictions de todas las claves de API de un proyecto y comprueba si alguna está configurada como cloudapis.googleapis.com.

  • Permisos adicionales de IAM: roles/serviceusage.apiKeysViewer
  • Entradas adicionales: recupera claves de API para un proyecto del servicio de claves de API.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.0: 1.12

CIS GCP Foundation 1.1: 1.14

API_KEY_APPS_UNRESTRICTED

Buscar descripción: Hay claves de API que se usan de forma no restringida, lo que permite el uso de cualquier app no confiable.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Recupera la propiedad restrictions de todas las claves de API en un proyecto y verifica si browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions o iosKeyRestrictions establecido.

  • Permisos adicionales de IAM: roles/serviceusage.apiKeysViewer
  • Entradas adicionales: recupera claves de API para un proyecto del servicio de claves de API.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.0: 1.11

CIS GCP Foundation 1.1: 1.13

API_KEY_EXISTS

Buscar descripción: un proyecto utiliza claves de API en lugar de autenticación estándar.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Recupera todas las claves de API que pertenecen a un proyecto.

  • Permisos adicionales de IAM: roles/serviceusage.apiKeysViewer
  • Entradas adicionales: recupera claves de API para un proyecto del servicio de claves de API.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.0: 1.10

CIS GCP Foundation 1.1: 1.12

API_KEY_NOT_ROTATED

Buscar descripción:La clave de API no se rotó durante más de 90 días.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Recupera la marca de tiempo que contiene la propiedad createTime de todas las claves de API y verifica si pasaron 90 días.

  • Permisos adicionales de IAM: roles/serviceusage.apiKeysViewer
  • Entradas adicionales: recupera claves de API para un proyecto del servicio de claves de API.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.0: 1.13

CIS GCP Foundation 1.1: 1.15

Resultados de las vulnerabilidades de imágenes de Compute

El detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de imágenes de Google Cloud.

Tabla 2. Escáner de imágenes de Compute
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
PUBLIC_COMPUTE_IMAGE

Encuentra la descripción: Una imagen de Compute Engine es de acceso público.

Nivel de precios:Premium o Estándar

Elementos compatibles
compute.googleapis.com/Image

Corrige este hallazgo de

Verifica la política de IAM en los metadatos de recursos para miembros públicos, allUsers o allAuthenticatedUsers.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de las instancias de Compute

El detector COMPUTE_INSTANCE_SCANNER identifica las vulnerabilidades relacionadas con las opciones de configuración de la instancia de Compute Engine.

Los detectores COMPUTE_INSTANCE_SCANNER no informan los resultados en las instancias de Compute Engine que creó GKE. Esas instancias tienen nombres que comienzan con “gke-”, que los usuarios no pueden editar. Para proteger estas instancias, consulta la sección de resultados de vulnerabilidades de contenedores.

Tabla 3. Analizador de instancias de Compute
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Buscar descripción: se usan las Llaves SSH de nivel de proyecto, lo que permite el acceso a todas las instancias del proyecto.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo de

Comprueba el objeto metadata.items[] en los metadatos de instancia para el par clave-valor "key": "block-project-ssh-keys", "value": TRUE.

  • Elementos excluidos de los análisis: instancias de GKE, trabajo de Dataflow, instancia de Windows
  • Permisos adicionales de IAM: roles/compute.Viewer
  • Entradas adicionales: lee los metadatos de Compute Engine.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.0: 4.2

CIS GCP Foundation 1.1: 4.3

COMPUTE_SECURE_BOOT_DISABLED

Encontrar descripción: Esta VM protegida no tiene habilitado el inicio seguro. El uso del Inicio seguro ayuda a proteger las instancias de máquinas virtuales contra amenazas avanzadas, como los rootkits y bootkits.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo de

Comprueba la propiedad shieldedInstanceConfig en las instancias de Compute Engine para determinar si enableIntegrityMonitoring, enableSecureBoot, enableVtpm están configurados en true. Los campos indican si los discos adjuntos son compatibles con el inicio seguro y si la VM protegida está activada.

  • Elementos excluidos de los análisis: instancias de GKE, discos de Compute Engine que tienen aceleradores de GPU y no usan Container-Optimized OS), Acceso a VPC sin servidores
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No
COMPUTE_SERIAL_PORTS_ENABLED

Buscar descripción: los puertos en serie están habilitados para una instancia, lo que permite conexiones a la consola en serie de la instancia.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo de

Comprueba el objeto metadata.items[] en los metadatos de instancia para el par clave-valor "key": "serial-port-enable", "value": TRUE.

  • Elementos excluidos de los análisis: instancias de GKE
  • Permisos adicionales de IAM: roles/compute.Viewer
  • Entradas adicionales: lee los metadatos de Compute Engine.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.0: 4.4

CIS GCP Foundation 1.1: 4.5

DEFAULT_SERVICE_ACCOUNT_USED

Encontrar descripción: una instancia está configurada para usar la cuenta de servicio predeterminada.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo de

Verifica la propiedad serviceAccounts en los metadatos de la instancia para cualquier dirección de correo electrónico de la cuenta de servicio con el prefijo PROJECT_NUMBER-compute@developer.gserviceaccount.com, que indica la cuenta de servicio predeterminada creada por Google.

  • Elementos excluidos de los análisis: instancias de GKE, trabajos de Dataflow
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.1: 4.1

DISK_CMEK_DISABLED

Buscar descripción:los discos de esta VM no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere una configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita los detectores de estadísticas de estado de seguridad más adelante en esta página.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Disk

Corrige este hallazgo de

Comprueba el campo kmsKeyName en el objeto diskEncryptionKey, en metadatos de disco, para el nombre del recurso de tu CMEK.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No
DISK_CSEK_DISABLED

Encontrar descripción: Los discos en esta VM no están encriptados con claves de encriptación proporcionadas por el cliente (CSEK). Este detector requiere una configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita el detector.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Disk

Corrige este hallazgo de

Comprueba el campo kmsKeyName en el objeto diskEncryptionKey para obtener el nombre del recurso de tu CSEK.

  • Elementos excluidos de los análisis: discos de Compute Engine con la marca de seguridad enforce_customer_provided_disk_encryption_keys
  • Permisos adicionales de IAM: roles/compute.Viewer
  • Entradas adicionales: lee los metadatos de Compute Engine.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.0: 4.6

CIS GCP Foundation 1.1: 4.7

FULL_API_ACCESS

Encuentra una descripción: Una instancia está configurada para usar la cuenta de servicio predeterminada con acceso completo a todas las API de Google Cloud.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo de

Recupera el campo scopes en la propiedad serviceAccounts para comprobar si se usa una cuenta de servicio predeterminada y si se le asigna el alcance cloud-platform.

  • Elementos excluidos de los análisis: instancias de GKE, trabajos de Dataflow
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.0: 4.1

CIS GCP Foundation 1.1: 4.2

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO 27001: A.9.2.3

HTTP_LOAD_BALANCER

Encuentra una descripción:una instancia usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/TargetHttpProxy

Corrige este hallazgo de

Determina si la propiedad selfLink del recurso targetHttpProxy coincide con el atributo target en la regla de reenvío y si la regla de reenvío contiene un loadBalancingScheme campo configurado como External.

  • Permisos adicionales de IAM: roles/compute.Viewer
  • Entradas adicionales: lee las reglas de reenvío para un proxy HTTP de destino desde Compute Engine y comprueba si hay reglas externas.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
PCI-DSS v3.2.1: 2.3
IP_FORWARDING_ENABLED

Encontrar descripción: El reenvío de IP está habilitado en las instancias.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo de

Comprueba si la propiedad canIpForward de la instancia está configurada como true.

  • Elementos excluidos de los análisis: instancias de GKE, acceso a VPC sin servidores
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 4.5

CIS GCP Foundation 1.1: 4.6

OS_LOGIN_DISABLED

Buscar descripción:OS Login está inhabilitado en esta instancia.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Project

Corrige este hallazgo de

Comprueba el objeto commonInstanceMetadata.items[] en los metadatos del proyecto para el par clave-valor, "key": "enable-oslogin", "value": TRUE. El detector también verifica todas las instancias en un proyecto de Compute Engine a fin de determinar si OS Login se inhabilita para instancias individuales.

  • Elementos excluidos de los análisis: instancias de GKE
  • Permisos adicionales de IAM: roles/compute.Viewer
  • Entradas adicionales: lee los metadatos de Compute Engine. El detector también examina las instancias de Compute Engine en el proyecto.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.0: 4.3

CIS GCP Foundation 1.1: 4.4

PUBLIC_IP_ADDRESS

Buscar descripción: una instancia tiene una dirección IP pública.

Nivel de precios:Premium o Estándar

Elementos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo de

Comprueba si la propiedad networkInterfaces contiene un campo accessConfigs, lo que indica que está configurado para usar una dirección IP pública.

  • Elementos excluidos de los análisis: instancias de GKE
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.1: 4.9

PCI-DSS v3.2.1: 1.2.1, 1.3.5

NIST 800-53: CA-3, SC-7

SHIELDED_VM_DISABLED

Buscar descripción:la VM protegida está inhabilitada en esta instancia.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo de

Comprueba la propiedad shieldedInstanceConfig en las instancias de Compute Engine para determinar si los campos enableIntegrityMonitoring, enableSecureBoot y enableVtpm están configurados en true. Los campos indican si los discos adjuntos son compatibles con el inicio seguro y si la VM protegida está activada.

  • Elementos excluidos de los análisis: instancias de GKE, discos de Compute Engine que tienen aceleradores de GPU y no usan Container-Optimized OS), Acceso a VPC sin servidores
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 4.8

WEAK_SSL_POLICY

Buscar descripción: Una instancia tiene una política de SSL débil.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/TargetHttpsProxy
compute.googleapis. com/TargetSslProxy.

Corrige este hallazgo de

Comprueba si sslPolicy en los metadatos del activo está vacío y, para el recurso sslPolicies adjunto, si profile se establece en Restricted o Modern, minTlsVersion se establece en TLS 1.2 y customFeatures está vacío o no contiene los siguientes cifrados: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Permisos adicionales de IAM: roles/compute.Viewer
  • Entradas adicionales: lee las políticas de SSL para el almacenamiento de proxies de destino, en busca de políticas poco seguras
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo cuando se actualiza TargetHttpsProxy de TargetSslProxy, no cuando se actualiza la política de SSL

PCI-DSS v3.2.1: 4.1

NIST 800-53: SC-7

ISO 27001: A.14.1.3

Resultados de las vulnerabilidades de contenedores

Estos tipos de resultados se relacionan con los parámetros de configuración del contenedor de GKE y pertenecen al tipo de detector CONTAINER_SCANNER.

Tabla 4. Escáner de contenedores
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
AUTO_REPAIR_DISABLED

Encontrar descripción: una característica de reparación automática de un clúster de GKE que mantiene los nodos en buen estado y en ejecución, se inhabilita.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba la propiedad management de un grupo de nodos para el par clave-valor, "key": "autoRepair", "value": true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 7.7

PCI-DSS v3.2.1: 2.2

AUTO_UPGRADE_DISABLED

Buscar descripción:una característica de actualización automática del clúster de GKE que mantiene los clústeres y grupos de nodos de la última versión estable de Kubernetes, está inhabilitado.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba la propiedad management de un grupo de nodos para el par clave-valor, "key": "autoUpgrade", "value": true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 7.8

PCI-DSS v3.2.1: 2.2

CLUSTER_LOGGING_DISABLED

Encontrar descripción: Logging no está habilitado para un clúster de GKE.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba si la propiedad loggingService de un clúster contiene la ubicación que Cloud Logging debería usar para escribir registros.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 10.2.2, 10.2.7

CLUSTER_MONITORING_DISABLED

Buscar descripción: Monitoring está inhabilitado en los clústeres de GKE.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba si la propiedad monitoringService de un clúster contiene la ubicación que Cloud Monitoring debería usar para escribir métricas.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 7.2

PCI-DSS v3.2.1: 10.1, 10.2

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Finding description: Los hosts del clúster no están configurados para usar solo direcciones IP internas privadas para acceder a las API de Google.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba si la propiedad privateIpGoogleAccess de una subred se establece en false.

  • Entradas adicionales: lee subredes del almacenamiento, presentan resultados solo para clústeres con subredes
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo si se actualiza el clúster, no para las actualizaciones de subred

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3

COS_NOT_USED

Buscar descripción: las VM de Compute Engine no usan el Container-Optimized OS, diseñado para ejecutar contenedores de Docker en Google Cloud de forma segura.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba la propiedad config de un grupo de nodos para el par clave-valor, "imageType": "COS".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 7.9

PCI-DSS v3.2.1: 2.2

IP_ALIAS_DISABLED

Encuentra la descripción:se creó un clúster de GKE con rangos de IP de alias inhabilitados.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba si el campo useIPAliases del ipAllocationPolicy en un clúster está configurado como false.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3.4, 1.3.7

LEGACY_AUTHORIZATION_ENABLED

Encontrar descripción: La autorización heredada está habilitada en clústeres de GKE.

Nivel de precios:Premium o Estándar

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba la propiedad legacyAbac de un clúster para el par clave-valor, "enabled": true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 7.3

PCI-DSS v3.2.1: 4.1

LEGACY_METADATA_ENABLED

Encontrar la descripción: los metadatos heredados están habilitados en los clústeres de GKE.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba la propiedad config de un grupo de nodos para el par clave-valor, "disable-legacy-endpoints": "false".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
MASTER_AUTHORIZED_NETWORKS_DISABLED

Buscar descripción:las redes autorizadas de instancia principal no están habilitadas en los clústeres de GKE.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba la propiedad masterAuthorizedNetworksConfig de un clúster para el par clave-valor, "enabled": false.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 7.4

PCI-DSS v3.2.1: 1.2.1, 1.3.2

NETWORK_POLICY_DISABLED

Encontrar descripción: La política de red está inhabilitada en los clústeres de GKE.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba el campo networkPolicy de la propiedad addonsConfig para el par clave-valor, "disabled": true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3

NIST 800-53: SC-7

ISO 27001: A.13.1.1

NODEPOOL_BOOT_CMEK_DISABLED

Buscar descripción:los discos de arranque en este grupo de nodos no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere una configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita los detectores de estado de seguridad más adelante en esta página.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba la propiedad bootDiskKmsKey de los grupos de nodos para el nombre del recurso de tu CMEK.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
OVER_PRIVILEGED_ACCOUNT

Encontrar la descripción:Una cuenta de servicio tiene un acceso demasiado amplio al proyecto en un clúster.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Evalúa la propiedad config de un grupo de nodos para comprobar si no se especifica una cuenta de servicio o si se usa la cuenta de servicio predeterminada.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 2.1, 7.1.2

NIST 800-53: AC-6, SC-7

ISO 27001: A.9.2.3

OVER_PRIVILEGED_SCOPES

Encontrar descripción: una cuenta de servicio de nodo tiene alcances de acceso amplios.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba si el nivel de acceso que se indica en la propiedad config.oauthScopes de un grupo de nodos es un permiso de acceso limitado para cuentas de servicio: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, o https://www.googleapis.com/auth/monitoring.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GCP Foundation 1.0: 7.1
POD_SECURITY_POLICY_DISABLED

Encontrar descripción: PodSecurityPolicy está inhabilitada en un clúster de GKE.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba la propiedad podSecurityPolicyConfig de un clúster para el par clave-valor, "enabled": false.

  • Permisos adicionales de IAM: roles/container.clusterViewer
  • Entradas adicionales: lee la información del clúster de GKE, porque las políticas de seguridad de pods son una función Beta. Es posible que esta función se quite en el futuro
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No
CIS GCP Foundation 1.0: 7.1
PRIVATE_CLUSTER_DISABLED

Encontrar la descripción:un clúster de GKE tiene un clúster privado inhabilitado.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba si el campo enablePrivateNodes de la propiedad privateClusterConfig está configurado como false.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3.2

WEB_UI_ENABLED

Buscar descripción: la IU web de GKE (panel) está habilitada.

Nivel de precios:Premium o Estándar

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba el campo kubernetesDashboard de la propiedad addonsConfig para el par clave-valor, "disabled": false.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 7.6

PCI-DSS v3.2.1: 6.6

WORKLOAD_IDENTITY_DISABLED

Buscar descripción: Workload Identity está inhabilitada en un clúster de GKE.

Nivel de precios: Premium

Elementos compatibles
container container.googleapis.com/Cluster

Corrige este hallazgo de

Comprueba si la propiedad workloadIdentityConfig de un clúster está configurada. El detector también verifica si la propiedad workloadMetadataConfig de un grupo de nodos se establece en GKE_METADATA.

  • Permisos adicionales de IAM: roles/container.clusterViewer
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de los conjuntos de datos

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de conjuntos de datos de BigQuery y pertenecen al tipo de detector DATASET_SCANNER.

Tabla 5. Escáner de conjuntos de datos
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
PUBLIC_DATASET

Encontrar descripción: un conjunto de datos está configurado para ser de acceso público.

Nivel de precios: Premium

Elementos compatibles
bigquery.googleapis.com/Dataset

Corrige este hallazgo de

Verifica la política de IAM en los metadatos de recursos para miembros públicos, allUsers o allAuthenticatedUsers.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 7.1

NIST 800-53: AC-2

ISO-27001: A.8.2.3, A.14.1.3

Resultados de las vulnerabilidades de DNS

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Cloud DNS y pertenecen al tipo de detector DNS_SCANNER.

CIS GCP Foundation 1.0: 3.4, 3.5

CIS GCP Foundation 1.1: 3.4, 3.5

Tabla 6. Escáner de DNS
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
DNSSEC_DISABLED

Búsqueda de descripción: DNSSEC está inhabilitada para las zonas de Cloud DNS.

Nivel de precios: Premium

Elementos compatibles
dns.googleapis.com/ManagedZone

Corrige este hallazgo de

Comprueba si el campo state de la propiedad dnssecConfig está configurado como off.

  • Elementos excluidos de los análisis: zonas de Cloud DNS que no son públicas
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 3.3

CIS GCP Foundation 1.1: 3.3

ISO-27001: A.8.2.3

RSASHA1_FOR_SIGNING

Encontrar descripción: RSASHA1 se usa para la firma de claves en zonas de Cloud DNS.

Nivel de precios: Premium

Elementos compatibles
dns.googleapis.com/ManagedZone

Corrige este hallazgo de

Comprueba si el objeto defaultKeySpecs.algorithm de la propiedad dnssecConfig está configurado como rsasha1.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

Resultados de las vulnerabilidades de firewall

Las vulnerabilidades de este tipo de detector se relacionan con la configuración del firewall y pertenecen al tipo de detector FIREWALL_SCANNER.

Tabla 7. Escáner de firewall
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
EGRESS_DENY_RULE_NOT_SET

Encontrar descripción: una regla de denegación de salida no se establece en un firewall. Las reglas de rechazo de salida deben configurarse para bloquear el tráfico saliente no deseado.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba si la propiedad destinationRanges en el firewall está configurada como 0.0.0.0/0 y la propiedad denied contiene el par clave-valor, "IPProtocol": "all".

  • Entradas adicionales: lee los firewalls de salida para un proyecto del almacenamiento.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo en cambios de proyectos, no en cambios de reglas de firewall
PCI-DSS v3.2.1: 7.2
FIREWALL_RULE_LOGGING_DISABLED

Buscar descripción: el registro de reglas de firewall está inhabilitado. El registro de las reglas de firewall debe estar habilitado para que puedas auditar el acceso a la red.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad logConfig en los metadatos del firewall para ver si está vacía o contiene el par clave-valor "enable": false.

  • Elementos excluidos de los análisis: instancias de GKE, reglas de firewall creadas por GKE, acceso a VPC sin servidores
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: SI-4

ISO 27001: A.13.1.1

OPEN_CASSANDRA_PORT

Encontrar descripción: un firewall está configurado para tener un puerto CASSANDRA abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para los siguientes protocolos y puertos: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_CISCOSECURE_WEBSM_PORT

Encuentra una descripción:Un firewall está configurado para tener un puerto CISCOSECURE_WEBSM abierto que permita el acceso genérico.

Nivel de precios:Premium o Estándar

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para el siguiente protocolo y puerto: TCP:9090.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_DIRECTORY_SERVICES_PORT

Buscar descripción: Un firewall está configurado para tener un puerto DIRECTORY_SERVICES abierto que permite el acceso genérico.

Nivel de precios:Premium o Estándar

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para los siguientes protocolos y puertos: TCP:445 y UDP:445.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_DNS_PORT

Encontrar descripción: un firewall está configurado para tener un puerto DNS abierto que permite el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para los siguientes protocolos y puertos: TCP:53 y UDP:53.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_ELASTICSEARCH_PORT

Buscar descripción: un firewall está configurado para tener un puerto abierto ELASTICSEARCH que permita el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para los siguientes protocolos y puertos: TCP:9200, 9300.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_FIREWALL

Encuentra una descripción: un firewall está configurado para ser de acceso público.

Nivel de precios:Premium o Estándar

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba si la propiedad sourceRanges está configurada en 0.0.0.0/0 o si la propiedad allowed contiene el par clave-valor, "IPProtocol": "all".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
PCI-DSS v3.2.1: 1.2.1
OPEN_FTP_PORT

Buscar descripción: un firewall está configurado para tener un puerto FTP abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para el siguiente protocolo y puerto: TCP:21.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_HTTP_PORT

Encontrar descripción: un firewall está configurado para tener un puerto HTTP abierto que permite el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para los siguientes protocolos y puertos: TCP:80.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_LDAP_PORT

Encontrar descripción: un firewall está configurado para tener un puerto LDAP abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para los siguientes protocolos y puertos: TCP:389, 636 y UDP:389.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_MEMCACHED_PORT

Encontrar descripción: un firewall está configurado para tener un puerto MEMCADD abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para los siguientes protocolos y puertos: TCP:11211, 11214-11215 y UDP:11211, 11214-11215.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_MONGODB_PORT

Encontrar descripción: un firewall está configurado para tener un puerto abierto MONGODB que permita el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para los siguientes protocolos y puertos: TCP:27017-27019.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_MYSQL_PORT

Buscar descripción: un firewall está configurado para tener un puerto MYSQL abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para el siguiente protocolo y puerto: TCP:3306.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_NETBIOS_PORT

Encontrar descripción: un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para los siguientes protocolos y puertos: TCP:137-139 y UDP:137-139.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_ORACLEDB_PORT

Buscar descripción: un firewall está configurado para tener un puerto abierto ORMEDB abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para los siguientes protocolos y puertos: TCP:1521, 2483-2484 y UDP:2483-2484.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_POP3_PORT

Encuentra una descripción:Un firewall está configurado para tener un puerto POP3 abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para el siguiente protocolo y puerto: TCP:110.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_POSTGRESQL_PORT

Buscar descripción: un firewall está configurado para tener un puerto de PostgreSQL abierto que permite el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para los siguientes protocolos y puertos: TCP:5432 y UDP:5432.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_RDP_PORT

Encuentra una descripción:Un firewall está configurado para tener un puerto RDP abierto que permita el acceso genérico.

Nivel de precios:Premium o Estándar

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba la propiedad allowed en los metadatos del firewall para los siguientes protocolos y puertos: TCP:3389 y UDP:3389.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 3.7

CIS GCP Foundation 1.1: 3.7

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_REDIS_PORT

Encuentra una descripción:Un firewall está configurado para tener un puerto REDIS abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba si la propiedad allowed en los metadatos de firewall contiene el siguiente protocolo y puerto: TCP:6379.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_SMTP_PORT

Encontrar descripción: un firewall está configurado para tener un puerto SMTP abierto que permita el acceso genérico.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba si la propiedad allowed en los metadatos de firewall contiene el siguiente protocolo y puerto: TCP:25.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_SSH_PORT

Encontrar descripción: un firewall está configurado para tener un puerto SSH abierto que permita el acceso genérico.

Nivel de precios:Premium o Estándar

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba si la propiedad allowed en los metadatos del firewall contiene los siguientes protocolos y puertos: TCP:22 y SCTP:22.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 3.6

CIS GCP Foundation 1.1: 3.6

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

OPEN_TELNET_PORT

Buscar descripción: un firewall está configurado para tener un puerto TELNET abierto que permite el acceso genérico.

Nivel de precios:Premium o Estándar

Elementos compatibles
compute.googleapis.com/Firewall

Corrige este hallazgo de

Comprueba si la propiedad allowed en los metadatos de firewall contiene el siguiente protocolo y puerto: TCP:23.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO 27001: A.13.1.1

Resultados de las vulnerabilidades de IAM

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de la administración de identidades y accesos (IAM) y pertenecen al tipo de detector IAM_SCANNER.

Tabla 8. Visualizador de IAM
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
ADMIN_SERVICE_ACCOUNT

Encontrar la descripción:Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estas funciones no se deben asignar a cuentas de servicio creadas por el usuario.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Proyecto

Corrige este hallazgo de

Verifica la política de IAM en los metadatos de los recursos para cualquier cuenta de servicio creada por el usuario (indicado por el prefijo iam.gserviceaccount.com), que se les asignan roles/Owner o roles/Editor, o un ID de función que contiene admin.

  • Elementos excluidos de los análisis: cuenta de servicio de Container Registry (containerregistry.iam.gserviceaccount.com) y seguridad Cuenta de servicio de Command Center (security-center-api.iam.gserviceaccount.com)
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, a menos que la actualización de IAM se realice en una carpeta

CIS GCP Foundation 1.0: 1.4

CIS GCP Foundation 1.1: 1.5

KMS_ROLE_SEPARATION

Búsqueda de la descripción:La separación de obligaciones no se aplica, y existe un usuario que tiene cualquiera de las siguientes funciones de Cloud Key Management Service (Cloud KMS) al mismo tiempo: Encriptador/Desencriptador de CryptoKey, Encrypter o Decrypter

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Proyecto

Corrige este hallazgo de

Verifica las políticas de IAM en los metadatos de recursos y recupera a los miembros que se asignaron a cualquiera de las siguientes funciones al mismo tiempo: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter y roles/cloudkms.cryptoKeyDecrypter. , roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 1.9

CIS GCP Foundation 1.1: 1.11

NIST 800-53: AC-5

ISO-27001: A.9.2.3, A.10.1.2

NON_ORG_IAM_MEMBER

Encontrar descripción: Hay un usuario que no usa credenciales organizativas. Actualmente, CIS GCP Foundations 1.0. Solo las identidades con direcciones de correo electrónico @gmail.com activan este detector.

Nivel de precios:Premium o Estándar

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Proyecto

Corrige este hallazgo de

Compara las direcciones de correo electrónico @gmail.com en el campo user de los metadatos de la política de IAM con una lista de identidades aprobadas para tu organización.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 1.1

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-3

ISO 27001: A.9.2.3

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Encontrar una descripción:Un usuario tiene la función Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel de proyecto. , en lugar de una cuenta de servicio específica.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Proyecto

Corrige este hallazgo de

Verifica la política de IAM en los metadatos de recursos para cualquier miembro asignado roles/iam.serviceAccountUser o roles/iam.serviceAccountTokenCreator a nivel de proyecto.
  • Elementos excluidos de los análisis: cuentas de servicio de Cloud Build
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 1.5

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO 27001: A.9.2.3

PRIMITIVE_ROLES_USED

Encontrar la descripción:Un usuario tiene la función básica, Propietario, Escritor o Lector. las rutas "a GCP". Estas funciones son demasiado permisivas y no se deben usar.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Proyecto

Corrige este hallazgo de

Verifica la política de IAM en los metadatos de los recursos para cualquier miembro asignado roles/Owner, roles/Writer o roles/Reader.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO 27001: A.9.2.3

REDIS_ROLE_USED_ON_ORG

Encontrar descripción:una función de IAM de Redis se asigna a nivel de la organización o la carpeta.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization

Corrige este hallazgo de

Verifica la política de IAM en los metadatos de los recursos asignados a los miembros asignados roles/redis.admin, roles/redis.editor, roles/redis.viewer a nivel de la organización o carpeta.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 7.1.2

ISO 27001: A.9.2.3

SERVICE_ACCOUNT_ROLE_SEPARATION

Encontrar la descripción:A un usuario se le asignaron las funciones de Administrador de cuenta de servicio y Usuario de cuenta de servicio. Esto infringe el principio de "Separación de obligaciones".

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Proyecto

Corrige este hallazgo de

Verifica la política de IAM en los metadatos de los recursos de cualquier miembro asignado a roles/iam.serviceAccountUser y roles/iam.serviceAccountAdmin.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 1.7

NIST 800-53: AC-5

ISO 27001: A.9.2.3

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Encontrar descripción: una clave de cuenta de servicio no se rota durante más de 90 días.

Nivel de precios: Premium

Recursos compatibles
iam.googleapis.com/ServiceAccountKey

Corrige este hallazgo de

Evalúa la marca de tiempo de creación de la clave capturada en la propiedad validAfterTime en los metadatos de clave de cuentas de servicio.

  • Elementos excluidos de los análisis: claves y claves de cuenta de servicio vencidas que no están administradas por los usuarios
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GCP Foundation 1.0: 1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY

Encontrar descripción: Un usuario administra una clave de cuenta de servicio.

Nivel de precios: Premium

Recursos compatibles
iam.googleapis.com/ServiceAccountKey

Corrige este hallazgo de

Comprueba si la propiedad keyType en los metadatos de clave de cuenta de servicio está configurada como User_Managed.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GCP Foundation 1.0: 1.3

Resultados de las vulnerabilidades de KMS

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud KMS y pertenecen al tipo de detector KMS_SCANNER.

Tabla 9. Escáner de KMS
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
KMS_KEY_NOT_ROTATED

Encontrar descripción:La rotación no está configurada en una clave de encriptación de Cloud KMS. Las claves deben rotarse dentro de un período de 90 días.

Nivel de precios: Premium

Elementos compatibles
cloudkms.googleapis.com/CryptoKey

Corrige este hallazgo de

Verifica los metadatos del recurso para la existencia de propiedades rotationPeriod o nextRotationTime.

  • Elementos excluidos de los análisis: claves y claves asimétricas con versiones principales inhabilitadas o destruidas
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 1.8

PCI-DSS v2.1.1: 3.5

NIST 800-53: SC-12

ISO 27001: A.10.1.2

KMS_PROJECT_HAS_OWNER

Encontrar la descripción:Un usuario tiene permisos de Propietario en un proyecto que tiene claves criptográficas.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Verifica la política de IAM en los metadatos del proyecto para los miembros asignados roles/Owner.

  • Entradas adicionales: lee claves criptográficas para un proyecto del almacenamiento, presentan resultados solo de los proyectos con claves criptográficas.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo en cambios de la política de IAM, no en cambios de las claves de KMS

PCI-DSS v2.1.1: 3.5

NIST 800-53: AC-6, SC-12

ISO-27001: A.9.2.3, A.10.1.2

KMS_PUBLIC_KEY

Encontrar descripción:una clave criptográfica de Cloud KMS es de acceso público.

Nivel de precios: Premium

Recursos compatibles
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Corrige este hallazgo de

Verifica la política de IAM en los metadatos de recursos para miembros públicos, allUsers o allAuthenticatedUsers.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 1.9

TOO_MANY_KMS_USERS

Búsqueda de descripción: Hay más de tres usuarios de claves criptográficas.

Nivel de precios: Premium

Recursos compatibles
cloudkms.googleapis.com/CryptoKey

Corrige este hallazgo de

Verifica las políticas de IAM para llaveros de claves, proyectos y organizaciones, y recupera los miembros con funciones que les permiten encriptar, desencriptar o firmar datos mediante claves de Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer y roles/cloudkms.signerVerifier.
  • Entradas adicionales: lee versiones de clave criptográfica de una clave criptográfica del almacenamiento y presenta los resultados solo para las claves con versiones activas. El detector también lee las políticas de IAM de los llaveros de claves, el proyecto y la organización del almacenamiento.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

PCI-DSS v3.2.1: 3.5.2

ISO 27001: A.9.2.3

Resultados de las vulnerabilidades de registros

Las vulnerabilidades de este tipo de detector se relacionan con la configuración del registro y pertenecen al tipo de detector LOGGING_SCANNER.

Tabla 10. Escáner de Logging
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
AUDIT_LOGGING_DISABLED

Encontrar descripción: El registro de auditoría se inhabilitó para este recurso.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Proyecto

Corrige este hallazgo de

Verifica la política de IAM en los metadatos de recursos para la existencia de un objeto auditLogConfigs.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo en el cambio de la política de IAM del proyecto, no en los cambios de la organización o la carpeta

CIS GCP Foundation 1.0: 2.1

CIS GCP Foundation 1.1: 2.1

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: AC-2, AU-2

ISO-27001: A.12.4.1, A.16.1.7

BUCKET_LOGGING_DISABLED

Encontrar descripción: Hay un depósito de almacenamiento sin registro habilitado.

Nivel de precios: Premium

Elementos compatibles
storage.googleapis.com/Bucket

Corrige este hallazgo de

Comprueba si el campo logBucket en la propiedad logging del depósito está vacío.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GCP Foundation 1.0: 5.3
LOCKED_RETENTION_POLICY_NOT_SET

Buscar descripción: una política de retención bloqueada no se establece para registros.

Nivel de precios: Premium

Elementos compatibles
storage.googleapis.com/Bucket

Corrige este hallazgo de

Comprueba si el campo isLocked de la propiedad retentionPolicy del depósito está configurado como true.

  • Entradas adicionales: lee el receptor de registros (el filtro y el destino de los registros) de un depósito para determinar si es un depósito de registro.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 2.3

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-11

ISO-27001: A.12.4.2, A.18.1.3

LOG_NOT_EXPORTED

Encontrar descripción: Hay un recurso que no tiene un receptor de registros adecuado configurado.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Recupera un objeto logSink en un proyecto y comprueba que el campo includeChildren esté establecido en true, el campo destination incluye la ubicación para escribir registros, y el campo filter se propaga.

  • Entradas adicionales: lee el receptor de registros (el filtro y el destino de los registros) de un depósito para determinar si es un depósito de registro.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo en cambios de proyectos, no si la exportación de registros se configura en una organización o carpeta

CIS GCP Foundation 1.0: 2.2

CIS GCP Foundation 1.1: 2.2

ISO 27001: A.18.1.3

OBJECT_VERSIONING_DISABLED

Encontrar descripción: el control de versiones de objetos no está habilitado en un depósito de almacenamiento en el que se configuran los receptores.

Nivel de precios: Premium

Elementos compatibles
storage.googleapis.com/Bucket

Corrige este hallazgo de

Comprueba si el campo enabled de la propiedad versioning del depósito está configurado como true.

  • Elementos excluidos de los análisis: depósitos de Cloud Storage con una política de retención bloqueada
  • Entradas adicionales: lee el receptor de registros (el filtro y el destino de los registros) de un depósito para determinar si es un depósito de registro.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo si cambia el control de versiones de los objetos, no si se crean depósitos de registros

CIS GCP Foundation 1.0: 2.3

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-11

ISO-27001: A.12.4.2, A.18.1.3

Resultados de las vulnerabilidades de Monitoring

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de supervisión y pertenecen al tipo MONITORING_SCANNER. Todas las propiedades del resultado del detector de Monitoring incluyen las siguientes opciones:

  • El RecommendedLogFilter que se usará para crear las métricas de registro.
  • El QualifiedLogMetricNames que cubre las condiciones que se enumeran en el filtro de registro recomendado.
  • El AlertPolicyFailureReasons que indica si el proyecto no tiene políticas de alertas creadas para ninguna de las métricas de registro calificadas o las políticas de alertas existentes no tienen la configuración recomendada.
Tabla 11. Escáner de Monitoring
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
AUDIT_CONFIG_NOT_MONITORED

Find description: Las métricas y alertas de registro no están configuradas para supervisar los cambios de configuración de auditoría.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Comprueba si la propiedad filter del recurso LogsMetric del proyecto está configurada como protoPayload.methodName=\"SetIamPolicy\" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* y, si se especifica resource.type, que el valor es global las rutas "a GCP". El detector también busca un recurso alertPolicy correspondiente y comprueba que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos adicionales de IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta del paquete de operaciones de Google Cloud del paquete de operaciones de Google Cloud, que presenta los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en cambios de proyectos, no en métricas de registro y cambios de alertas

CIS GCP Foundation 1.0: 2.5

CIS GCP Foundation 1.1: 2.5

BUCKET_IAM_NOT_MONITORED

Buscar descripción: Las métricas de registro y alertas no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Comprueba si la propiedad filter del recurso LogsMetric del proyecto está configurada como resource.type=gcs_bucket AND protoPayload.methodName=\"storage.setIamPermissions\". El detector también busca un recurso alertPolicy correspondiente y comprueba que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos adicionales de IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta del paquete de operaciones de Google Cloud del paquete de operaciones de Google Cloud, que presenta los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en cambios de proyectos, no en métricas de registro y cambios de alertas

CIS GCP Foundation 1.0: 2.10

CIS GCP Foundation 1.1: 2.10

CUSTOM_ROLE_NOT_MONITORED

Find description: Las métricas y alertas de registro no están configuradas para supervisar los cambios de la función personalizada.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Comprueba si la propiedad filter del recurso LogsMetric del proyecto está configurada como resource.type=\"iam_role\" AND protoPayload.methodName=\"google.iam.admin.v1.CreateRole\" OR protoPayload.methodName=\"google.iam.admin.v1.DeleteRole\" OR protoPayload.methodName=\"google.iam.admin.v1.UpdateRole\". El detector también busca un recurso alertPolicy correspondiente y comprueba que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos adicionales de IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta del paquete de operaciones de Google Cloud del paquete de operaciones de Google Cloud, que presenta los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en cambios de proyectos, no en métricas de registro y cambios de alertas

CIS GCP Foundation 1.0: 2.6

CIS GCP Foundation 1.1: 2.6

FIREWALL_NOT_MONITORED

Buscar descripción: Las métricas de registro y alertas no están configuradas para supervisar los cambios de las reglas de firewall de la red de VPC.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Comprueba si la propiedad filter del recurso LogsMetric del proyecto está configurada como resource.type=\"gce_firewall_rule\" AND jsonPayload.event_subtype=\"compute.firewalls.patch\" OR jsonPayload.event_subtype=\"compute.firewalls.insert\". El detector también busca un recurso alertPolicy correspondiente y comprueba que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos adicionales de IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta del paquete de operaciones de Google Cloud del paquete de operaciones de Google Cloud, que presenta los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en cambios de proyectos, no en métricas de registro y cambios de alertas

CIS GCP Foundation 1.0: 2.7

CIS GCP Foundation 1.1: 2.7

NETWORK_NOT_MONITORED

Find description: Las métricas y alertas de registro no están configuradas para supervisar los cambios de la red de VPC.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Comprueba si la propiedad filter del recurso LogsMetric del proyecto está configurada como resource.type=gce_network AND jsonPayload.event_subtype=\"compute.networks.insert\" OR jsonPayload.event_subtype=\"compute.networks.patch\" OR jsonPayload.event_subtype=\"compute.networks.delete\" OR jsonPayload.event_subtype=\"compute.networks.removePeering\" OR jsonPayload.event_subtype=\"compute.networks.addPeering\". El detector también busca un recurso alertPolicy correspondiente y comprueba que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos adicionales de IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta del paquete de operaciones de Google Cloud del paquete de operaciones de Google Cloud, que presenta los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en cambios de proyectos, no en métricas de registro y cambios de alertas

CIS GCP Foundation 1.0: 2.9

CIS GCP Foundation 1.1: 2.9

OWNER_NOT_MONITORED

Find description: Las métricas y alertas de registro no están configuradas para supervisar las asignaciones o los cambios de propiedad del proyecto.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Comprueba si la propiedad filter del recurso LogsMetric del proyecto está configurada como (protoPayload.serviceName=\"cloudresourcemanager.googleapis.com\") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action=\"REMOVE\" AND protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action=\"ADD\" AND protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\") y, si se especifica resource.type, que el valor es global las rutas "a GCP". El detector también busca un recurso alertPolicy correspondiente y comprueba que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos adicionales de IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta del paquete de operaciones de Google Cloud del paquete de operaciones de Google Cloud, que presenta los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en cambios de proyectos, no en métricas de registro y cambios de alertas

CIS GCP Foundation 1.0: 2.4

CIS GCP Foundation 1.1: 2.4

ROUTE_NOT_MONITORED

Find description: Las métricas y alertas de registro no están configuradas para supervisar los cambios de ruta de la red de VPC.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Comprueba si la propiedad filter del recurso LogsMetric del proyecto está configurada como resource.type=\"gce_route\" AND jsonPayload.event_subtype=\"compute.routes.delete\" OR jsonPayload.event_subtype=\"compute.routes.insert\". El detector también busca un recurso alertPolicy correspondiente y comprueba que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos adicionales de IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta del paquete de operaciones de Google Cloud del paquete de operaciones de Google Cloud, que presenta los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en cambios de proyectos, no en métricas de registro y cambios de alertas

CIS GCP Foundation 1.0: 2.8

CIS GCP Foundation 1.1: 2.8

SQL_INSTANCE_NOT_MONITORED

Encontrar descripción: las métricas y las alertas de registro no están configuradas para supervisar los cambios de configuración de la instancia de Cloud SQL.

Nivel de precios: Premium

Recursos compatibles
cloudresourcemanager.googleapis.com/Project

Corrige este hallazgo de

Comprueba si la propiedad filter del recurso LogsMetric del proyecto está configurada como protoPayload.methodName=\"cloudsql.instances.update\" y, si se especifica resource.type, que el valor es global las rutas "a GCP". El detector también busca un recurso alertPolicy correspondiente y comprueba que las propiedades conditions y notificationChannels estén configuradas correctamente.
  • Permisos adicionales de IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionales: lee las métricas de registro del proyecto desde el almacenamiento. Lee la información de la cuenta del paquete de operaciones de Google Cloud del paquete de operaciones de Google Cloud, que presenta los resultados solo para los proyectos con cuentas activas.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: Sí, pero solo en cambios de proyectos, no en métricas de registro y cambios de alertas

CIS GCP Foundation 1.0: 2.11

CIS GCP Foundation 1.1: 2.11

Resultados de la autenticación de varios factores

El detector MFA_SCANNER identifica vulnerabilidades relacionadas con la autenticación de varios factores para los usuarios.

Tabla 12. Escáner de autenticación de varios factores
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
MFA_NOT_ENFORCED

Hay usuarios que no usan la verificación en dos pasos.

Nivel de precios:Premium o Estándar

Elementos compatibles
cloud cloud.googleapis.com/Organization

Corrige este hallazgo de

Evalúa las políticas de administración de identidades en las organizaciones y la configuración de los usuarios para las cuentas administradas en Cloud Identity.

  • Elementos excluidos de los análisis: unidades de organización otorgadas a la política
  • Entradas adicionales: lee datos del lugar de trabajo de Google.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.0: 1.2

CIS GCP Foundation 1.1: 1.2

PCI-DSS v3.2.1: 8.3

NIST 800-53: IA-2

ISO 27001: A.9.4.2

Resultados de las vulnerabilidades de la red

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de red de una organización y pertenecen al tipo NETWORK_SCANNER.

Tabla 13. Escáner de red
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
DEFAULT_NETWORK

Buscar descripción: La red predeterminada existe en un proyecto.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Network

Corrige este hallazgo de

Comprueba si la propiedad name en los metadatos de la red está configurada como default

  • Elementos excluidos de los análisis: proyectos en los que la API de Compute Engine está inhabilitada y los recursos de Compute Engine están en estado inmovilizado
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 3.1

CIS GCP Foundation 1.1: 3.1

LEGACY_NETWORK

Buscar la descripción: existe una red heredada en un proyecto.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Network

Corrige este hallazgo de

Comprueba los metadatos de red para detectar la propiedad IPv4Range.

  • Elementos excluidos de los análisis: proyectos en los que la API de Compute Engine está inhabilitada y los recursos de Compute Engine están en estado inmovilizado
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 3.2

CIS GCP Foundation 1.1: 3.2

Resultados de la vulnerabilidad de la política de la organización

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de las restricciones de la política de la organización y pertenecen al tipo ORG_POLICY.

Tabla 14. Escáner de políticas de la organización
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
ORG_POLICY_CONFIDENTIAL_VM_POLICY Buscar descripción: Un recurso de Compute Engine no cumple con la política de la organización constraints/compute.restrictNonConfidentialComputing. Para obtener más información sobre esta restricción de política de la organización, consulta la página sobre cómo aplicar restricciones de políticas de la organización en VM confidenciales.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Instance

Corrige este hallazgo de

Comprueba si la propiedad enableConfidentialCompute de una instancia de Compute Engine está configurada como true.

  • Elementos excluidos de los análisis: instancias de GKE
  • Permisos adicionales de IAM: permissions/orgpolicy.policy.get
  • Entradas adicionales: lee la política de la organización vigente del servicio de políticas de la organización.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No
ORG_POLICY_LOCATION_RESTRICTION Buscar descripción:un recurso de Compute Engine no cumple con la restricción constraints/gcp.resourceLocations. Para obtener más información sobre esta restricción de políticas de la organización, consulta la página sobre cómo aplicar restricciones de políticas de la organización.

Nivel de precios: Premium

Elementos compatibles
Consulta a continuación

Corrige este hallazgo de

Comprueba la propiedad listPolicy en los metadatos de recursos admitidos para obtener una lista de ubicaciones permitidas o denegadas.

  • Permisos adicionales de IAM: permissions/orgpolicy.policy.get
  • Entradas adicionales: lee la política de la organización vigente del servicio de políticas de la organización.
  • Análisis por lotes: Cada 12 horas
  • Análisis en tiempo real: No

Elementos admitidos para ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

1 Debido a que los elementos de Cloud KMS no pueden borrarse, el recurso no se considera fuera de la región si se destruyen los datos del activo.

2 Debido a que los trabajos de importación de Cloud KMS tienen un ciclo de vida controlado y no pueden terminar temprano, un ImportJob no se considera fuera de la región si el trabajo está vencido y ya no se puede usar. para importar claves.

3 Debido a que el ciclo de vida de los trabajos de Dataflow no se puede administrar, un trabajo no se considera fuera de la región una vez que se alcanza el estado de la terminal (detenido o se desvía), en el que puede ya no se usan para procesar datos.

Resultados de la vulnerabilidad de Pub/Sub

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Pub/Sub y pertenecen al tipo PUBSUB_SCANNER.

Tabla 15. Escáner de Pub/Sub
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
PUBSUB_CMEK_DISABLED

Encontrar descripción: un tema de Pub/Sub no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere una configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita los detectores de estadísticas de estado de seguridad más adelante en esta página.

Nivel de precios: Premium

Elementos compatibles
pubsub pubsub.googleapis.com/Topic

Corrige este hallazgo de

Comprueba el campo kmsKeyName para el nombre del recurso de tu CMEK.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

Resultados de las vulnerabilidades de SQL

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud SQL y pertenecen al tipo SQL_SCANNER.

Tabla 16. Escáner de SQL
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
AUTO_BACKUP_DISABLED

Encontrar descripción:una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas.

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba si la propiedad backupConfiguration.enabled de un datos de Cloud SQL está configurado como true.

  • Elementos excluidos de los análisis: réplicas de Cloud SQL
  • Entradas adicionales: lee las políticas de IAM para los principales del almacenamiento de activos de las estadísticas del estado de seguridad.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 6.7

NIST 800-53: CP-9

ISO 27001: A.12.3.1

PUBLIC_SQL_INSTANCE

Buscar descripción: una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP.

Nivel de precios:Premium o Estándar

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba si la propiedad authorizedNetworks de las instancias de Cloud SQL está configurada para una sola dirección IP o un rango de direcciones IP.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 6.2

CIS GCP Foundation 1.1: 6.5

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: CA-3, SC-7

ISO-27001: A.8.2.3, A.13.1.3, A.14.1.3

SSL_NOT_ENFORCED

Encontrar descripción:una instancia de base de datos de Cloud SQL no requiere que todas las conexiones entrantes usen SSL.

Nivel de precios:Premium o Estándar

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba si la propiedad requireSsl de la instancia de Cloud SQL está configurada como true.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 6.1

CIS GCP Foundation 1.1: 6.4

PCI-DSS v3.2.1: 4.1

NIST 800-53: SC-7

ISO-27001: A.8.2.3, A.13.2.1, A.14.1.3

SQL_CMEK_DISABLED

Buscar descripción:una instancia de base de datos SQL no está encriptada con claves de encriptación administradas por el cliente (CMEK). Este detector requiere una configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita los detectores de estadísticas de estado de seguridad más adelante en esta página.

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba el campo kmsKeyName en el objeto diskEncryptionKey, en metadatos de la instancia, para el nombre del recurso de tu CMEK.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
SQL_CONTAINED_DATABASE_AUTHENTICATION

Encontrar descripción: La marca de base de datos contained database authentication para una instancia de Cloud SQL para SQL Server no está configurada en off.

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba la propiedad databaseFlags de los metadatos de instancia para el par clave-valor, "name": "contained database authentication", "value": "on" o si está habilitado de forma predeterminada.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 6.3.2

SQL_CROSS_DB_OWNERSHIP_CHAINING

Encontrar descripción: La marca de base de datos cross_db_ownership_chaining para una instancia de Cloud SQL para SQL Server no está configurada en off.

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba la propiedad databaseFlags de los metadatos de instancia para el par clave-valor "name": "cross_db_ownership_chaining", "value": "on".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 6.3.1

SQL_LOCAL_INFILE

Encuentra la descripción:La marca de base de datos local_infile de una instancia de Cloud SQL para MySQL no está configurada en off.

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba la propiedad databaseFlags de los metadatos de instancia para el par clave-valor "name": "local_infile", "value": "on".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 6.1.2

SQL_LOG_CHECKPOINTS_DISABLED

Encuentra la descripción: La marca de base de datos log_checkpoints para una instancia de Cloud SQL para PostgreSQL no está configurada en on.

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba la propiedad databaseFlags de los metadatos de instancia para el par clave-valor "name": "log_checkpoints", "value": "on".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 6.2.1

SQL_LOG_CONNECTIONS_DISABLED

Encuentra la descripción: La marca de base de datos log_connections para una instancia de Cloud SQL para PostgreSQL no está configurada en on.

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba la propiedad databaseFlags de los metadatos de instancia para el par clave-valor "name": "log_connections", "value": "on".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 6.2.2

SQL_LOG_DISCONNECTIONS_DISABLED

Encuentra la descripción: La marca de base de datos log_disconnections para una instancia de Cloud SQL para PostgreSQL no está configurada en on.

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba la propiedad databaseFlags de los metadatos de instancia para el par clave-valor "name": "log_disconnections", "value": "on".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 6.2.3

SQL_LOG_LOCK_WAITS_DISABLED

Encuentra la descripción: La marca de base de datos log_lock_waits para una instancia de Cloud SQL para PostgreSQL no está configurada en on.

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba la propiedad databaseFlags de los metadatos de instancia para el par clave-valor "name": "log_lock_waits", "value": "on".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 6.2.4

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Búsqueda de descripción:La marca de base de datos log_min_duration_statement para una instancia de Cloud SQL para PostgreSQL no está configurada en "-1".

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba la propiedad databaseFlags de los metadatos de instancia para el par clave-valor "name": "log_min_duration_statement", "value": "-1".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 6.2.7

SQL_LOG_MIN_ERROR_STATEMENT

Buscar descripción: la marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no está establecida de forma adecuada

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba si el campo log_min_error_statement de la propiedad databaseFlags se establece en uno de los siguientes valores: debug5, debug4, debug3,{101. } debug2, debug1, info, notice, warning o el valor predeterminado error.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 6.2.5

SQL_LOG_TEMP_FILES

Búsqueda de descripción:La marca de base de datos log_temp_files para una instancia de Cloud SQL para PostgreSQL no está configurada en "0".

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba la propiedad databaseFlags de los metadatos de instancia para el par clave-valor "name": "log_temp_files", "value": "0".

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 6.2.6

SQL_NO_ROOT_PASSWORD

Encontrar descripción: una base de datos de Cloud SQL no tiene una contraseña configurada para la cuenta raíz. Este detector requiere una configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita los detectores de estado de seguridad más adelante en esta página.

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba si la propiedad rootPassword de la cuenta raíz está vacía.

  • Permisos adicionales de IAM: roles/cloudsql.client
  • Entradas adicionales: Consulta instancias activas.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

CIS GCP Foundation 1.0: 6.3

CIS GCP Foundation 1.1: 6.1.1

PCI-DSS v3.2.1: 2.1

NIST 800-53: AC-3

ISO-27001: A.8.2.3, A.9.4.2

SQL_PUBLIC_IP

Búsqueda de descripción: una base de datos de Cloud SQL tiene una dirección IP pública.

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Comprueba si el tipo de dirección IP de una base de datos de Cloud SQL está configurada como Primary, lo que indica que es público.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.1: 6.6

SQL_WEAK_ROOT_PASSWORD

Encontrar descripción: una base de datos de Cloud SQL tiene una contraseña débil configurada para la cuenta raíz. Este detector requiere una configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita los detectores de estadísticas de estado de seguridad más adelante en esta página.

Nivel de precios: Premium

Activos compatibles
sql/sql.googleapis.com/Instance

Corrige este hallazgo de

Compara la contraseña de la cuenta raíz de tu base de datos de Cloud SQL con una lista de contraseñas comunes.

  • Permisos adicionales de IAM: roles/cloudsql.client
  • Entradas adicionales: Consulta instancias activas.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: No

Resultados de las vulnerabilidades de Storage

Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de depósitos de Cloud Storage y pertenecen al tipo STORAGE_SCANNER.

Tabla 17. Escáner de almacenamiento
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
BUCKET_CMEK_DISABLED

Buscar descripción: un depósito no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere una configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita los detectores de estado de seguridad más adelante en esta página.

Nivel de precios: Premium

Elementos compatibles
storage.googleapis.com/Bucket

Corrige este hallazgo de

Comprueba el campo encryption en los metadatos del depósito para ver el nombre del recurso de tu CMEK.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
BUCKET_POLICY_ONLY_DISABLED

Encontrar descripción: El acceso uniforme a nivel de depósito, antes llamado Solo política del depósito, no está configurado.

Nivel de precios: Premium

Elementos compatibles
storage.googleapis.com/Bucket

Corrige este hallazgo de

Comprueba si la propiedad uniformBucketLevelAccess de un depósito está configurada como "enabled":false

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
PUBLIC_BUCKET_ACL

Encontrar descripción: un depósito de Cloud Storage es de acceso público.

Nivel de precios:Premium o Estándar

Elementos compatibles
storage.googleapis.com/Bucket

Corrige este hallazgo de

Verifica la política de IAM de un depósito para las funciones públicas, allUsers o allAuthenticatedUsers, con privilegios de administrador o editor.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 5.1

CIS GCP Foundation 1.1: 5.1

PCI-DSS v3.2.1: 7.1

NIST 800-53: AC-2

ISO-27001: A.8.2.3, A.14.1.3

PUBLIC_LOG_BUCKET

Encontrar descripción: un depósito de almacenamiento que se usa como receptor de registros es de acceso público.

Nivel de precios:Premium o Estándar

Elementos compatibles
storage.googleapis.com/Bucket

Corrige este hallazgo de

Verifica la política de IAM de un depósito para miembros públicos, allUsers o allAuthenticatedUsers.

  • Entradas adicionales: lee el receptor de registros (el filtro y el destino de los registros) de un depósito para determinar si es un depósito de registro.
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí, pero solo si la política de IAM de un depósito cambia, no si se cambia el receptor de registros

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-9

ISO-27001: A.8.2.3, A.12.4.2, A.18.1.3

Resultados de las vulnerabilidades de subred

Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de la subred de una organización y pertenecen al tipo SUBNETWORK_SCANNER.

Tabla 18. Escáner de subred
Detector Resumen Configuración de búsqueda de elementos Estándares de cumplimiento
FLOW_LOGS_DISABLED

Buscar descripción: hay una subred de VPC que tiene los registros de flujo inhabilitados.

Nivel de precios: Premium

Elementos compatibles
compute.googleapis.com/Subnet

Corrige este hallazgo de

Comprueba si falta la propiedad enableFlowLogs de las subredes de Compute Engine o si se configura como false.

  • Elementos excluidos de los análisis: Acceso a VPC sin servidores, subredes del balanceador de cargas
  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí

CIS GCP Foundation 1.0: 3.9

CIS GCP Foundation 1.1: 3.8

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: SI-4

ISO 27001: A.13.1.1

PRIVATE_GOOGLE_ACCESS_DISABLED

Encuentra una descripción: Hay subredes privadas sin acceso a las API públicas de Google.

Nivel de precios: Premium

Elementos compatibles
storage.googleapis.com/Bucket
compute.googleapis.com/Subred

Corrige este hallazgo de

Comprueba si la propiedad privateIpGoogleAccess de las subredes de Compute Engine está configurada como false.

  • Análisis por lotes: Cada 6 horas
  • Análisis en tiempo real: Sí
CIS GCP Foundation 1.0: 3.8

Habilitar los detectores de estado de seguridad

Los siguientes detectores de estado de seguridad no están habilitados de forma predeterminada:

  • BUCKET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD

Para activar un detector, también conocido como módulo, ejecuta el siguiente comando alpha gcloud en la herramienta de línea de comandos de gcloud.

  gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de tu organización.
  • DETECTOR: El nombre del detector que deseas habilitar

Resultados de Web Security Scanner

Los análisis administrados y personalizados de Web Security Scanner identifican los siguientes tipos de hallazgos. En el nivel Estándar, Web Security Scanner admite los análisis personalizados de aplicaciones implementadas con URL e IP públicas que no están detrás de un firewall.

Tabla 19. Resultados de Web Security Scanner
Categoría Descripción de los resultados CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Un repositorio de Git se expone públicamente. Para resolver este descubrimiento, quita el acceso público no intencional al repositorio de GIT. A3
ACCESSIBLE_SVN_REPOSITORY Un repositorio de SVN se expone públicamente. Para resolver este resultado, quita el acceso público no intencional al repositorio de SVN. A3
CLEAR_TEXT_PASSWORD Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver este descubrimiento, encripta la contraseña transmitida a través de la red. A3
INVALID_CONTENT_TYPE Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver este hallazgo, configura el encabezado HTTP `X-Content-Type-Options` con el valor correcto. A6
INVALID_HEADER Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para resolver este resultado, configura los encabezados de seguridad HTTP de forma correcta. A6
MISMATCHING_SECURITY_HEADER_VALUES Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para resolver este resultado, configura los encabezados de seguridad HTTP de forma correcta. A6
MISSPELLED_SECURITY_HEADER_NAME Un encabezado de seguridad está mal escrito y se ignora. Para resolver este resultado, configura los encabezados de seguridad HTTP de forma correcta. A6
MIXED_CONTENT Los recursos se envían a través de HTTP en una página HTTPS. Para resolver este resultado, asegúrate de que todos los recursos se entreguen a través de HTTPS. A6
OUTDATED_LIBRARY Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver este resultado, actualiza las bibliotecas a una versión más reciente. A9
XSS Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver este resultado, valida y reemplaza los datos no proporcionados que son proporcionados por el usuario. A7
XSS_ANGULAR_CALLBACK No se debe escapar de una string proporcionada por el usuario y AngularJS puede interpolarla. Para solucionar este problema, valida y reemplaza los datos no confiables que suministran los usuarios y que son administrados por el marco de trabajo de Angular. A7
XSS_ERROR Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para solucionar este problema, valida y reemplaza los datos que no son de confianza proporcionados por los usuarios. A7

Comparativas de CIS

El Centro para la seguridad en Internet (CIS) incluye las siguientes comparativas que los detectores de seguridad web o análisis de estado de seguridad, actualmente, no son compatibles:

Tabla 20. Comparativas de CIS
Categoría Descripción de los resultados CIS para GCP Foundation 1.0 NIST 800-53 ISO-27001
BASIC_AUTHENTICATION_ENABLED Se debe habilitar IAM o la autenticación de certificado de cliente en los clústeres de Kubernetes 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED Los clústeres de Kubernetes se deben crear con la opción Certificado de cliente habilitada. 7.12
LABELS_NOT_USED Las etiquetas se pueden usar para desglosar los datos de facturación. 7.5
PUBLIC_STORAGE_OBJECT La LCA del objeto de almacenamiento no debe otorgar acceso a **allUsers**. 5.2
SQL_BROAD_ROOT_LOGIN El acceso raíz a la base de datos de SQL debe limitarse a las direcciones IP incluidas en la lista de direcciones confiables. 6.4

¿Qué sigue?