Hallazgos de vulnerabilidades

Los detectores Web Security Scanner y de estadísticas del estado de seguridad de la Web generan tipos de resultados de vulnerabilidades que están disponibles en Security Command Center.

Detectores y cumplimiento

Las siguientes tablas describen los tipos de detectores y los tipos de vulnerabilidades específicos que pueden generar Security Health Analytics y Web Security Scanner. Puedes filtrar los resultados por nombre de detector y tipo de resultado mediante la pestaña Vulnerabilidades de Security Command Center en Google Cloud Console.

En estas tablas, se incluye una descripción de la asignación entre los detectores admitidos y la mejor asignación a los regímenes de cumplimiento relevantes.

Las asignaciones del CIS para la Google Cloud Foundation 1.0 han sido certificadas y certificadas por el Centro para la Seguridad de Internet a fin de alinearlas con las comparativas de CIS para Google Cloud Computing Foundations v1.0.0. Las asignaciones de cumplimiento adicionales se incluyen como referencia y no se proporcionan ni revisan mediante el Estándar de Seguridad de Datos de la Industria de Tarjeta de Pago o OWASP Foundation. Debes consultar las comparativas de CIS para Google Cloud Computing Foundation v1.0.0 (CIS para Google Cloud Foundation 1.0), el Estándar de Seguridad de Datos de la Industria de Tarjeta de Pago 3.2.1 (PCI-DSS v3.2.1), los 10 mejores de OWASP, Instituto Nacional de Estándares y Tecnología 800-53 (NIST 800-53) y Organización Internacional de Normalización 27001 (ISO 27001) a fin de verificar estos incumplimientos de forma manual.

Esta funcionalidad solo está diseñada para que supervises las infracciones de los controles de cumplimiento. Las asignaciones no se proporcionan a fin de usarlas como base, o como sustituto de la auditoría, certificación o informe de cumplimiento de los productos o servicios con cualquier comparativa o estándar regulatoria o industrial.

Estadísticas del estado de la seguridad

A continuación, se muestran los tipos de resultados que se identifican mediante los detectores de estadísticas del estado de seguridad. Security Health Analytics admite la detección en tiempo real con algunas excepciones.

2-Resultados de la verificación en dos pasos

El detector 2SV_SCANNER identifica vulnerabilidades relacionadas con la verificación en dos pasos para los usuarios.

Tabla 1. 2-Analizador de verificación en dos pasos
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
2SV_NOT_ENFORCED Hay usuarios que no usan la verificación en dos pasos. Premium o Estándar 1.2 IA-2 A.9.4.2

Resultados de las vulnerabilidades de la clave de API

El detector API_KEY_SCANNER identifica vulnerabilidades relacionadas con las claves de API que se usan en tu implementación en la nube.

Tabla 2. Analizador de clave de API
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
API_KEY_APIS_UNRESTRICTED Hay claves de API que se usan de una forma demasiado general. Para resolver esto, limita el uso de la clave de API a fin de permitir solo las API que necesita la aplicación. Premium 1.11
API_KEY_APPS_UNRESTRICTED Hay claves de API que se usan de manera ilimitada y permiten el uso de cualquier app no confiable. Premium
API_KEY_EXISTS Un proyecto usa claves de API en lugar de la autenticación estándar. Premium 1.10
API_KEY_NOT_ROTATED La clave de API no se rota hace más de 90 días. Premium 1.13

Resultados de las vulnerabilidades de imágenes de Compute

El detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de imágenes de Google Cloud.

Tabla 3. Analizador de imágenes de Compute
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
PUBLIC_COMPUTE_IMAGE Una imagen de Compute Engine es de acceso público. Premium o Estándar

Resultados de las vulnerabilidades de las instancias de Compute

El detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de instancias de Google Cloud.

Ten en cuenta que el detector COMPUTE_INSTANCE_SCANNER no informa resultados en instancias de Compute creadas por GKE. Estas instancias tienen nombres que comienzan con "gke-" y los usuarios no las pueden editar directamente. Para proteger estas instancias, consulta la sección de resultados de vulnerabilidades de contenedores.

Tabla 4. Analizador de instancias de Compute
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED Se usan claves SSH de nivel de proyecto, lo que permite acceder a todas las instancias del proyecto. Premium 4.2
COMPUTE_SECURE_BOOT_DISABLED Esta VM protegida no tiene el Inicio seguro habilitado. Usar el Inicio seguro ayuda a proteger las instancias de máquinas virtuales de las amenazas avanzadas, como rootkits y bootkits. Premium 4.8
COMPUTE_SERIAL_PORTS_ENABLED Los puertos en serie están habilitados para una instancia, lo que permite establecer conexiones a la consola en serie de la instancia. Premium 4.4
DISK_CSEK_DISABLED Los discos de esta VM no se encriptan con claves de encriptación proporcionadas por el cliente (CSEK). Este detector requiere configuración adicional para habilitarlo. Para habilitar este detector, aplica la marca de seguridad enforce_customer_supplied_disk_encryption_keys con un valor de true a los elementos que deseas supervisar. Premium 4.6
FULL_API_ACCESS Una instancia está configurada para usar la cuenta de servicio predeterminada con acceso completo a todas las API de Google Cloud. Premium 4.1 AC-6 A.9.2.3
IP_FORWARDING_ENABLED El reenvío de IP está habilitado en las instancias. Premium 4.5
OS_LOGIN_DISABLED El acceso al SO está inhabilitado en esta instancia. Premium 4.3
PUBLIC_IP_ADDRESS Las instancias tienen una dirección IP pública. Premium o Estándar 1.2.1
1.3.5
CA-3
SC-7
WEAK_SSL_POLICY Una instancia tiene una política de SSL poco segura. Premium SC-7 A.14.1.3

Resultados de las vulnerabilidades de contenedores

Estos tipos de resultados se relacionan con los parámetros de configuración del contenedor de GKE y pertenecen al tipo de detector CONTAINER_SCANNER.

Tabla 5. Analizador de contenedores
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
AUTO_REPAIR_DISABLED La función de reparación automática de clústeres de GKE, que mantiene los nodos en buen estado en ejecución, está inhabilitada. Premium 7.7
AUTO_UPGRADE_DISABLED La función de actualización automática de clústeres de GKE, que mantiene los clústeres y grupos de nodos en la última versión estable de Kubernetes, se inhabilita. Premium 7.8
CLUSTER_LOGGING_DISABLED Logging no está habilitado para un clúster de GKE. Premium 7.1
CLUSTER_MONITORING_DISABLED Cloud Monitoring está inhabilitado en los clústeres de GKE. Premium 7.2 10.2.2
10.2.7
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED Los hosts de clústeres no están configurados con el fin de usar solo direcciones IP internas privadas para acceder a las API de Google. Premium 7.16 1.3
COS_NOT_USED Las VM de Compute Engine no usan Container-Optimized OS, diseñado para ejecutar contenedores de Docker en Google Cloud de manera segura. Premium 7.9 2.2
IP_ALIAS_DISABLED Se creó un clúster de GKE con los rangos de IP de alias inhabilitados. Premium 7.13 1.3.4
1.3.7
LEGACY_AUTHORIZATION_ENABLED La autorización heredada está habilitada en los clústeres de GKE. Premium 7.3 4.1
LEGACY_METADATA_ENABLED Los metadatos heredados están habilitados en los clústeres de GKE. Premium
MASTER_AUTHORIZED_NETWORKS_DISABLED Las redes autorizadas principales no están habilitadas en los clústeres de GKE. Premium 7.4
NETWORK_POLICY_DISABLED La política de red está inhabilitada en los clústeres de GKE. Premium 7.11 1.3 SC-7 A.13.1.1
OVER_PRIVILEGED_ACCOUNT Una cuenta de servicio tiene un acceso a proyectos demasiado amplio en un clúster. Premium 7.17 2.1 AC-6
SC-7
A.9.2.3
OVER_PRIVILEGED_SCOPES Una cuenta de servicio de nodo tiene permisos de acceso amplios. Premium 7.18
POD_SECURITY_POLICY_DISABLED Que PodSecurityPolicy está inhabilitada en un clúster de GKE. Premium 7.14
PRIVATE_CLUSTER_DISABLED Un clúster de GKE tiene un clúster privado inhabilitado. Premium 7.15
WEB_UI_ENABLED La IU web de GKE (panel) está habilitada. Premium o Estándar 7.6 6.5.8
6.6
WORKLOAD_IDENTITY_DISABLED Workload Identity está inhabilitada en un clúster de GKE. Premium

Resultados de las vulnerabilidades de los conjuntos de datos

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de conjuntos de datos de BigQuery y pertenecen al tipo de detector DATASET_SCANNER.

Tabla 6. Analizador del conjunto de datos
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
PUBLIC_DATASET Un conjunto de datos está configurado para estar abierto al acceso público. Premium AC-3 A.8.2.3
A.14.1.3

Resultados de las vulnerabilidades de DNS

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Cloud DNS y pertenecen al tipo de detector DNS_SCANNER.

Tabla 7. Analizador de DNS
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
DNSSEC_DISABLED DNSSEC está inhabilitado para las zonas de Cloud DNS. Premium 3.3 A.8.2.3
RSASHA1_FOR_SIGNING RSASHA1 se usa para la firma de claves en las zonas de Cloud DNS. Premium 3.4
3.5

Resultados de las vulnerabilidades de firewall

Las vulnerabilidades de este tipo de detector se relacionan con la configuración del firewall y pertenecen al tipo de detector FIREWALL_SCANNER.

Tabla 8. Analizador de firewall
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
FIREWALL_RULE_LOGGING_DISABLED El registro de las reglas de firewall está inhabilitado. El registro de las reglas de firewall debe estar habilitado para que puedas auditar el acceso a la red. Premium 10.1 SI-4 A.13.1.1
OPEN_FIREWALL Un firewall está configurado para estar abierto al acceso público. Premium o Estándar 1.2.1
OPEN_RDP_PORT Un firewall está configurado para tener un puerto RDP abierto que permite el acceso genérico. Premium o Estándar 3.7 1.2.1 SC-7 A.13.1.1
OPEN_SSH_PORT Un firewall está configurado para tener un puerto SSH abierto que permita el acceso genérico. Premium o Estándar 3.6 1.2.1 SC-7 A.13.1.1

Resultados de las vulnerabilidades de IAM

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de la administración de identidades y accesos (IAM) y pertenecen al tipo de detector IAM_SCANNER.

Tabla 9. Analizador de IAM
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
ADMIN_SERVICE_ACCOUNT Hay una cuenta de servicio configurada con funciones de administrador. Premium 1.4
KMS_PROJECT_HAS_OWNER Un usuario tiene permisos de “Propietario” en un proyecto que tiene claves criptográficas. Premium 3.5 AC-6
SC-12
A.9.2.3
A.10.1.2
KMS_ROLE_SEPARATION No se aplica la separación de obligaciones, y existe un usuario que tiene las siguientes funciones: Encriptador/Desencriptador de CryptoKey de Cloud Key Management (Cloud KMS) o encriptador o desencriptador al mismo tiempo. Premium 1.9 AC-5 A.9.2.3
A.10.1.2
NON_ORG_IAM_MEMBER Hay un usuario que no usa credenciales de organización. Según CIS para GCP Foundations 1.0, actualmente este detector solo se activa mediante identidades con direcciones de correo electrónico @gmail.com. Premium o Estándar 1.1 7.1.2 AC-3 A.9.2.3
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER Un usuario tiene la función de Usuario de cuenta de servicio a nivel de proyecto, en lugar de una para una cuenta de servicio específica. Premium 1.5 7.1.2 AC-6 A.9.2.3
PRIMITIVE_ROLES_USED Un usuario tiene la función básica de propietario, escritor o lector. Estas funciones son demasiado permisivas y no deben usarse. Premium 7.1.2 AC-6 A.9.2.3
REDIS_ROLE_USED_ON_ORG Una función de IAM de Redis se asigna a nivel de organización o carpeta. Premium 8.7 A.9.2.3
SERVICE_ACCOUNT_ROLE_SEPARATION Se asignó a un usuario las funciones de administrador de cuenta de servicio y de usuario de cuenta de servicio. Esto infringe el principio de “Separación de obligaciones”. Premium 1.7 AC-5
SERVICE_ACCOUNT_KEY_NOT_ROTATED La clave de una cuenta de servicio no se rota durante más de 90 días. Premium 1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY Un usuario administra una clave de cuenta de servicio. Premium 1.3

Resultados de las vulnerabilidades de KMS

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud KMS y pertenecen al tipo de detector KMS_SCANNER.

Tabla 10. Analizador de KMS
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
KMS_KEY_NOT_ROTATED La rotación no está configurada en una clave de encriptación de Cloud KMS. Premium 1.8 SC-12 A.10.1.2
TOO_MANY_KMS_USERS Hay más de 3 usuarios de claves criptográficas. Premium 3.5.2 A.9.2.3

Resultados de las vulnerabilidades de registros

Las vulnerabilidades de este tipo de detector se relacionan con la configuración del registro y pertenecen al tipo de detector LOGGING_SCANNER.

Tabla 11. Analizador de registros
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
AUDIT_LOGGING_DISABLED Se inhabilitó el registro de auditoría para este recurso. Premium 2.1 10.2.3 AU-2 A.12.4.1
A.16.1.7
BUCKET_LOGGING_DISABLED Hay un depósito de almacenamiento sin el registro habilitado. Premium 5.3
LOG_NOT_EXPORTED Hay un recurso que no tiene configurado un receptor de registros adecuado. Premium 2.2 10.2.3 A.18.1.3
OBJECT_VERSIONING_DISABLED El control de versiones de objetos no está habilitado en un depósito de almacenamiento en el que están configurados los receptores. Premium 2.3 10.2.3
PUBLIC_LOG_BUCKET Los depósitos de almacenamiento usados como receptores de registros no deberían ser accesibles de manera pública. Premium o Estándar 10.5 AU-9 A.8.2.3
A.12.4.2
A.18.1.3

Resultados de las vulnerabilidades de Monitoring

Las vulnerabilidades de este tipo de detector se relacionan con los parámetros de configuración de la supervisión y pertenecen al tipo MONITORING_SCANNER. Todas las propiedades de búsqueda del detector de Monitoring incluirán lo siguiente:

  • El RecommendedLogFilter que se usará para crear las métricas de registro.
  • El QualifiedLogMetricNames que cubre las condiciones enumeradas en el filtro de registro recomendado.
  • El AlertPolicyFailureReasons que indica si el proyecto no tiene políticas de alerta creadas para cualquiera de las métricas de registro calificadas o si las políticas de alertas existentes no tienen la configuración recomendada.
Tabla 12. Analizador de Monitoring
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
AUDIT_CONFIG_NOT_MONITORED Las métricas y alertas de registro no están configuradas para supervisar los cambios en la configuración de auditoría. Premium 2.5
BUCKET_IAM_NOT_MONITORED Las métricas y alertas de registros no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage. Premium 2.10 1.3.2
CUSTOM_ROLE_NOT_MONITORED Las métricas y las alertas de registros no están configuradas para supervisar los cambios de funciones personalizadas. Premium 2.6
FIREWALL_NOT_MONITORED Las métricas y las alertas de registros no están configuradas para supervisar los cambios de la regla de firewall de la red de VPC. Premium 2.7
NETWORK_NOT_MONITORED Las métricas y las alertas de registros no están configuradas para supervisar los cambios de la red de VPC Premium 2.9
OWNER_NOT_MONITORED Las métricas y las alertas de registros no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto. Premium 2.4
ROUTE_NOT_MONITORED Las métricas y las alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC Premium 2.8
SQL_INSTANCE_NOT_MONITORED Las métricas y alertas de registros no están configuradas para supervisar los cambios en la configuración de la instancia de Cloud SQL. Premium 2.11

Resultados de las vulnerabilidades de la red

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de red de una organización y pertenecen al tipo NETWORK_SCANNER.

Tabla 13. Analizador de red
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
DEFAULT_NETWORK La red predeterminada existe en un proyecto. Premium 3.1
LEGACY_NETWORK Existe una red heredada en un proyecto. Premium 3.2

Resultados de las vulnerabilidades de contraseña SSH

Las vulnerabilidades de este tipo de detector se relacionan con contraseñas y pertenecen al tipo SSH_PASSWORD.

Tabla 14. Analizador de contraseña de SSH
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
WEAK_SSH_PASSWORD Un recurso tiene una contraseña SSH poco segura. Premium

Resultados de las vulnerabilidades de SQL

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud SQL y pertenecen al tipo SQL_SCANNER.

Tabla 15. Analizador de SQL
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
AUTO_BACKUP_DISABLED Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas. Premium 10.2.1 CA-3 A.12.3.1
PUBLIC_SQL_INSTANCE Una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP. Premium o Estándar 6.2 1.2.1 CA-3
SC-7
A.8.2.3
A.13.1.3
A.14.1.3
SSL_NOT_ENFORCED Una instancia de base de datos de Cloud SQL no requiere que todas las conexiones entrantes usen SSL. Premium o Estándar 6.1 2.3 SC-7 A.8.2.3
A.13.2.1
A.14.1.3
SQL_NO_ROOT_PASSWORD Una base de datos de Cloud SQL no tiene una contraseña configurada para la cuenta raíz. Premium
SQL_WEAK_ROOT_PASSWORD Una base de datos de Cloud SQL tiene una contraseña poco segura configurada para la cuenta raíz. Premium

Resultados de las vulnerabilidades de Storage

Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de depósitos de Cloud Storage y pertenecen al tipo STORAGE_SCANNER.

Tabla 16. Analizador de Storage
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
BUCKET_POLICY_ONLY_DISABLED Uniform bucket-level access, que antes se llamaba Bucket Policy Only, no está configurado. Premium
LOGGING_DISABLED El registro está inhabilitado para un depósito de Cloud Storage. Premium
PUBLIC_BUCKET_ACL Un depósito de Cloud Storage es de acceso público. Premium o Estándar 5.1 7.1 AC-2 A.8.2.3
A.14.1.3

Resultados de las vulnerabilidades de subred

Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de la subred de una organización y pertenecen al tipo SUBNETWORK_SCANNER.

Tabla 17. Analizador de subred
Category Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
FLOW_LOGS_DISABLED Hay una subred de VPC que tiene registros de flujo inhabilitados. Premium 3.9 SI-4 A.13.1.1
PRIVATE_GOOGLE_ACCESS_DISABLED Hay subredes privadas sin acceso a las API públicas de Google. Premium 3.8

Resultados de Web Security Scanner

A continuación, se muestran los tipos de resultados que identifican los análisis personalizados y administrados de Web Security Scanner. En el nivel Estándar, Web Security Scanner admite los análisis personalizados de aplicaciones implementadas con URL e IP públicas que no están detrás de un firewall.

Tabla 18.Resultados de Web Security Scanner
Category Descripción de los resultados CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Un repositorio de GIT se expone públicamente. Para resolver este problema, quita el acceso público no intencional al repositorio de GIT. A3
ACCESSIBLE_SVN_REPOSITORY Un repositorio de SVN se expone públicamente. Para solucionar este problema, quita el acceso no intencional al público en el repositorio de SVN. A3
CLEAR_TEXT_PASSWORD Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver esto, encripta la contraseña que se transmite a través de la red. A3
INVALID_CONTENT_TYPE Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver esto, configura el encabezado HTTP "X-Content-Type-Options" con el valor correcto. A6
INVALID_HEADER Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignorarán. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6
MISMATCHING_SECURITY_HEADER_VALUES Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6
MISSPELLED_SECURITY_HEADER_NAME Un encabezado de seguridad está mal escrito y se ignorará. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6
MIXED_CONTENT Los recursos se envían a través de HTTP en una página HTTPS. Para solucionar este problema, asegúrate de que todos los recursos se entreguen a través de HTTPS. A6
OUTDATED_LIBRARY Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver esto, actualiza las bibliotecas a una versión más reciente. A9
XSS Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y escapa los datos no confiables del usuario. A7
XSS_ANGULAR_CALLBACK Las strings proporcionadas por el usuario no tienen escape y se pueden interpolar mediante AngularJS. Para resolver esto, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla. A7
XSS_ERROR Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver esto, valida y escapa los datos no confiables del usuario. A7

Comparativas de CIS

El Centro para la seguridad en Internet (CIS) incluye las siguientes comparativas que no son compatibles con los detectores de Web Security Scanner o con las estadísticas de estado de seguridad en este momento:

Tabla 19. Comparativas de CIS
Category Descripción de los resultados CIS para GCP Foundation 1.0 NIST 800-53 ISO-27001
BASIC_AUTHENTICATION_ENABLED Se debe habilitar IAM o la autenticación de certificado de cliente en los clústeres de Kubernetes 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED Los clústeres de Kubernetes se deben crear con la opción Certificado de cliente habilitada. 7.12
LABELS_NOT_USED Las etiquetas se pueden usar para desglosar los datos de facturación. 7.5
PUBLIC_STORAGE_OBJECT La LCA del objeto de almacenamiento no debe otorgar acceso a AllUsers. 5.2
SQL_BROAD_ROOT_LOGIN El acceso raíz a la base de datos de SQL debe limitarse a las direcciones IP incluidas en la lista de direcciones confiables. 6.4

¿Qué sigue?