Hallazgos de vulnerabilidades

>

Los detectores Web Security Scanner y de estadísticas del estado de seguridad de la Web generan tipos de resultados de vulnerabilidades que están disponibles en Security Command Center.

Detectores y cumplimiento

Las siguientes tablas describen los tipos de detectores y los tipos de vulnerabilidades específicos que pueden generar Security Health Analytics y Web Security Scanner. Puedes filtrar los resultados por nombre de detector y tipo de resultado mediante la pestaña Vulnerabilidades de Security Command Center en Google Cloud Console.

En estas tablas, se incluye una descripción de la asignación entre los detectores admitidos y la mejor asignación a los regímenes de cumplimiento relevantes.

Las asignaciones del CIS para la Google Cloud Foundation 1.0 han sido certificadas y certificadas por el Centro para la Seguridad de Internet a fin de alinearlas con las comparativas de CIS para Google Cloud Computing Foundations v1.0.0. Las asignaciones de cumplimiento adicionales se incluyen como referencia y no se proporcionan ni revisan mediante el Estándar de Seguridad de Datos de la Industria de Tarjeta de Pago o OWASP Foundation. Debes consultar las comparativas de CIS para Google Cloud Computing Foundation v1.0.0 (CIS para Google Cloud Foundation 1.0), el Estándar de Seguridad de Datos de la Industria de Tarjeta de Pago 3.2.1 (PCI-DSS v3.2.1), los 10 mejores de OWASP, Instituto Nacional de Estándares y Tecnología 800-53 (NIST 800-53) y Organización Internacional de Normalización 27001 (ISO 27001) a fin de verificar estos incumplimientos de forma manual.

Esta funcionalidad solo está diseñada para que supervises las infracciones de los controles de cumplimiento. Las asignaciones no se proporcionan a fin de usarlas como base, o como sustituto de la auditoría, certificación o informe de cumplimiento de los productos o servicios con cualquier comparativa o estándar regulatoria o industrial.

Estadísticas del estado de la seguridad

A continuación, se muestran los tipos de resultados que se identifican mediante los detectores de estadísticas del estado de seguridad. Security Health Analytics admite la detección en tiempo real con algunas excepciones.

2-Resultados de la verificación en dos pasos

El detector 2SV_SCANNER identifica vulnerabilidades relacionadas con la verificación en dos pasos para los usuarios.

Tabla 1. 2-Analizador de verificación en dos pasos
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
2SV_NOT_ENFORCED Hay usuarios que no usan la verificación en dos pasos. Premium o Estándar 1.2 8.3 IA-2 A.9.4.2

Resultados de las vulnerabilidades de la clave de API

El detector API_KEY_SCANNER identifica vulnerabilidades relacionadas con las claves de API que se usan en tu implementación en la nube.

Tabla 2. Analizador de clave de API
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
API_KEY_APIS_UNRESTRICTED Hay claves de API que se usan de una forma demasiado general. Para resolver esto, limita el uso de la clave de API a fin de permitir solo las API que necesita la aplicación. Premium 1.12
API_KEY_APPS_UNRESTRICTED Hay claves de API que se usan de manera ilimitada y permiten el uso de cualquier app no confiable. Premium 1.11
API_KEY_EXISTS Un proyecto usa claves de API en lugar de la autenticación estándar. Premium 1.10
API_KEY_NOT_ROTATED La clave de API no se rota hace más de 90 días. Premium 1.13

Resultados de las vulnerabilidades de imágenes de Compute

El detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de imágenes de Google Cloud.

Tabla 3. Analizador de imágenes de Compute
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
PUBLIC_COMPUTE_IMAGE Una imagen de Compute Engine es de acceso público. Premium o Estándar

Resultados de las vulnerabilidades de las instancias de Compute

El detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de instancias de Compute Engine.

Ten en cuenta que el detector COMPUTE_INSTANCE_SCANNER no informa resultados en instancias de Compute Engine creadas por GKE. Estas instancias tienen nombres que comienzan con "gke-" y los usuarios no las pueden editar directamente. Para proteger estas instancias, consulta la sección de resultados de vulnerabilidades de contenedores.

Tabla 4. Analizador de instancias de Compute
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED Se usan claves SSH de nivel de proyecto, lo que permite acceder a todas las instancias del proyecto. Premium 4.2
COMPUTE_SECURE_BOOT_DISABLED Esta VM protegida no tiene el Inicio seguro habilitado. El uso del Inicio seguro ayuda a proteger las instancias de máquinas virtuales de las amenazas avanzadas, como rootkits y bootkits. Premium
COMPUTE_SERIAL_PORTS_ENABLED Los puertos en serie están habilitados para una instancia, lo que permite establecer conexiones a la consola en serie de la instancia. Premium 4.4
DISK_CSEK_DISABLED Los discos de esta VM no se encriptan con claves de encriptación proporcionadas por el cliente (CSEK). Este detector requiere configuración adicional para habilitarlo. Para habilitar este detector, aplica la marca de seguridad enforce_customer_supplied_disk_encryption_keys con un valor de true a los elementos que deseas supervisar. Premium 4.6
FULL_API_ACCESS Una instancia está configurada para usar la cuenta de servicio predeterminada con acceso completo a todas las API de Google Cloud. Premium 4.1 7.1.2 AC-6 A.9.2.3
HTTP_LOAD_BALANCER Una instancia usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino. Premium 2.3
IP_FORWARDING_ENABLED El reenvío de IP está habilitado en las instancias. Premium 4.5
OS_LOGIN_DISABLED El acceso al SO está inhabilitado en esta instancia. Premium 4.3
PUBLIC_IP_ADDRESS Una instancias tiene una dirección IP pública. Premium o Estándar 1.2.1
1.3.5
CA-3
SC-7
SHIELDED_VM_DISABLED La VM protegida está inhabilitada en esta instancia. Premium
WEAK_SSL_POLICY Una instancia tiene una política de SSL poco segura. Premium 4.1 SC-7 A.14.1.3
DEFAULT_SERVICE_ACCOUNT_USED Una instancia está configurada para usar la cuenta de servicio predeterminada. Premium

Resultados de las vulnerabilidades de contenedores

Estos tipos de resultados se relacionan con los parámetros de configuración del contenedor de GKE y pertenecen al tipo de detector CONTAINER_SCANNER.

Tabla 5. Analizador de contenedores
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
AUTO_REPAIR_DISABLED La función de reparación automática de clústeres de GKE, que mantiene los nodos en buen estado en ejecución, está inhabilitada. Premium 7.7 2.2
AUTO_UPGRADE_DISABLED La función de actualización automática de clústeres de GKE, que mantiene los clústeres y los grupos de nodos en la última versión estable de Kubernetes, se inhabilita. Premium 7.8 2.2
CLUSTER_LOGGING_DISABLED Logging no está habilitado para un clúster de GKE. Premium 7.1 10.2.2
10.2.7
CLUSTER_MONITORING_DISABLED Cloud Monitoring está inhabilitado en los clústeres de GKE. Premium 7.2 10.1
10.2
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED Los hosts de clústeres no están configurados con el fin de usar solo direcciones IP internas privadas para acceder a las API de Google. Premium 7.1 1.3
COS_NOT_USED Las VM de Compute Engine no usan Container-Optimized OS, diseñado para ejecutar contenedores de Docker en Google Cloud de manera segura. Premium 7.9 2.2
IP_ALIAS_DISABLED Se creó un clúster de GKE con los rangos de IP de alias inhabilitados. Premium 7.1 1.3.4
1.3.7
LEGACY_AUTHORIZATION_ENABLED La autorización heredada está habilitada en los clústeres de GKE. Premium 7.3 4.1
LEGACY_METADATA_ENABLED Los metadatos heredados están habilitados en los clústeres de GKE. Premium
MASTER_AUTHORIZED_NETWORKS_DISABLED Las redes autorizadas de instancia principal no están habilitadas en los clústeres de GKE. Premium 7.4 1.2.1
1.3.2
NETWORK_POLICY_DISABLED La política de red está inhabilitada en los clústeres de GKE. Premium 7.1 1.3 SC-7 A.13.1.1
OVER_PRIVILEGED_ACCOUNT Una cuenta de servicio tiene un acceso a proyectos demasiado amplio en un clúster. Premium 7.1 2.1
7.1.2
AC-6
SC-7
A.9.2.3
OVER_PRIVILEGED_SCOPES Una cuenta de servicio de nodo tiene permisos de acceso amplios. Premium 7.1
POD_SECURITY_POLICY_DISABLED Que PodSecurityPolicy está inhabilitada en un clúster de GKE. Premium 7.1
PRIVATE_CLUSTER_DISABLED Un clúster de GKE tiene un clúster privado inhabilitado. Premium 7.1 1.3.2
WEB_UI_ENABLED La IU web de GKE (panel) está habilitada. Premium o Estándar 7.6 6.6
WORKLOAD_IDENTITY_DISABLED Workload Identity está inhabilitada en un clúster de GKE. Premium

Resultados de las vulnerabilidades de los conjuntos de datos

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de conjuntos de datos de BigQuery y pertenecen al tipo de detector DATASET_SCANNER.

Tabla 6. Analizador del conjunto de datos
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
PUBLIC_DATASET Un conjunto de datos está configurado para estar abierto al acceso público. Premium 7.1 AC-2 A.8.2.3
A.14.1.3

Resultados de las vulnerabilidades de DNS

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Cloud DNS y pertenecen al tipo de detector DNS_SCANNER.

Tabla 7. Analizador de DNS
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
DNSSEC_DISABLED DNSSEC está inhabilitado para las zonas de Cloud DNS. Premium 3.3 A.8.2.3
RSASHA1_FOR_SIGNING RSASHA1 se usa para la firma de claves en las zonas de Cloud DNS. Premium 3.4
3.5

Resultados de las vulnerabilidades de firewall

Las vulnerabilidades de este tipo de detector se relacionan con la configuración del firewall y pertenecen al tipo de detector FIREWALL_SCANNER.

Tabla 8. Analizador de firewall
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
EGRESS_DENY_RULE_NOT_SET No se establece una regla de denegación de salida en un firewall. Las reglas de rechazo de salida deben configurarse para bloquear el tráfico saliente no deseado. Premium 7.2
FIREWALL_RULE_LOGGING_DISABLED El registro de las reglas de firewall está inhabilitado. El registro de las reglas de firewall debe estar habilitado para que puedas auditar el acceso a la red. Premium 10.1
10.2
SI-4 A.13.1.1
OPEN_CASSANDRA_PORT Un firewall está configurado para tener un puerto CASSANDRA abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_CISCOSECURE_WEBSM_PORT Un firewall está configurado para tener un puerto CISCOSECURE_WEBSM abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_DIRECTORY_SERVICES_PORT Un firewall está configurado para tener un puerto DIRECTORY_SERVICES abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_DNS_PORT Un firewall está configurado para tener un puerto DNS abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_ELASTICSEARCH_PORT Un firewall está configurado para tener un puerto ELASTICSEARCH abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_FIREWALL Un firewall está configurado para estar abierto al acceso público. Premium o Estándar 1.2.1
OPEN_FTP_PORT Un firewall está configurado para tener un puerto FTP abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_HTTP_PORT Un firewall está configurado para tener un puerto HTTP abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_LDAP_PORT Un firewall está configurado para tener un puerto LDAP abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_MEMCACHED_PORT Un firewall está configurado para tener un puerto MEMCACHED abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_MONGODB_PORT Un firewall está configurado para tener un puerto MONGODB abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_MYSQL_PORT Un firewall está configurado para tener un puerto MYSQL abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_NETBIOS_PORT Un firewall está configurado para tener un puerto NETBIOS abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_ORACLEDB_PORT Un firewall está configurado para tener un puerto ORACLEDB abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_POP3_PORT Un firewall está configurado para tener un puerto POP3 abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_POSTGRESQL_PORT Un firewall está configurado para tener un puerto POSTGRESQL abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_RDP_PORT Un firewall está configurado para tener un puerto RDP abierto que permite el acceso genérico. Premium o Estándar 3.7 1.2.1 SC-7 A.13.1.1
OPEN_REDIS_PORT Un firewall está configurado para tener un puerto REDIS abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_SMTP_PORT Un firewall está configurado para tener un puerto SMTP abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1
OPEN_SSH_PORT Un firewall está configurado para tener un puerto SSH abierto que permita el acceso genérico. Premium o Estándar 3.6 1.2.1 SC-7 A.13.1.1
OPEN_TELNET_PORT Un firewall está configurado para tener un puerto TELNET abierto que permita el acceso genérico. Premium 1.2.1 SC-7 A.13.1.1

Resultados de las vulnerabilidades de IAM

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de la administración de identidades y accesos (IAM) y pertenecen al tipo de detector IAM_SCANNER.

Tabla 9. Analizador de IAM
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
ADMIN_SERVICE_ACCOUNT Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estas funciones no se deben asignar a las cuentas de servicio creadas por el usuario. Premium 1.4
KMS_ROLE_SEPARATION No se aplica la separación de obligaciones, y existe un usuario que tiene las siguientes funciones: Encriptador/Desencriptador de CryptoKey de Cloud Key Management (Cloud KMS) o encriptador o desencriptador al mismo tiempo. Premium 1.9 AC-5 A.9.2.3
A.10.1.2
NON_ORG_IAM_MEMBER Hay un usuario que no usa credenciales de organización. Según CIS para GCP Foundations 1.0, actualmente este detector solo se activa mediante identidades con direcciones de correo electrónico @gmail.com. Premium o Estándar 1.1 7.1.2 AC-3 A.9.2.3
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER Un usuario tiene la función de usuario de cuenta de servicio o creador de tokens de cuenta de servicio a nivel de proyecto, en lugar de una cuenta de servicio específica. Premium 1.5 7.1.2 AC-6 A.9.2.3
PRIMITIVE_ROLES_USED Un usuario tiene la función básica de propietario, escritor o lector. Estas funciones son demasiado permisivas y no deben usarse. Premium 7.1.2 AC-6 A.9.2.3
REDIS_ROLE_USED_ON_ORG Una función de IAM de Redis se asigna a nivel de organización o carpeta. Premium 7.1.2 A.9.2.3
SERVICE_ACCOUNT_ROLE_SEPARATION Se asignó a un usuario las funciones de administrador de cuenta de servicio y usuario de cuenta de servicio. Esto infringe el principio de “Separación de obligaciones”. Premium 1.7 AC-5 A.9.2.3
SERVICE_ACCOUNT_KEY_NOT_ROTATED La clave de una cuenta de servicio no se rota durante más de 90 días. Premium 1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY Un usuario administra una clave de cuenta de servicio. Premium 1.3

Resultados de las vulnerabilidades de KMS

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud KMS y pertenecen al tipo de detector KMS_SCANNER.

Tabla 10. Analizador de KMS
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
KMS_KEY_NOT_ROTATED La rotación no está configurada en una clave de encriptación de Cloud KMS. La encriptación de claves se debe rotar en un período de 90 días Premium 1.8 3.5 SC-12 A.10.1.2
KMS_PROJECT_HAS_OWNER Un usuario tiene permisos de “Propietario” en un proyecto que tiene claves criptográficas. Premium 3.5 AC-6
SC-12
A.9.2.3
A.10.1.2
TOO_MANY_KMS_USERS Hay más de 3 usuarios de claves criptográficas. Premium 3.5.2 A.9.2.3
KMS_PUBLIC_KEY Una clave criptográfica de Cloud KMS es de acceso público. Premium

Resultados de las vulnerabilidades de registros

Las vulnerabilidades de este tipo de detector se relacionan con la configuración del registro y pertenecen al tipo de detector LOGGING_SCANNER.

Tabla 11. Analizador de registros
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
AUDIT_LOGGING_DISABLED Se inhabilitó el registro de auditoría para este recurso. Premium 2.1 10.1
10.2
AC-2
AU-2
A.12.4.1
A.16.1.7
BUCKET_LOGGING_DISABLED Hay un bucket de almacenamiento sin el registro habilitado. Premium 5.3
LOG_NOT_EXPORTED Hay un recurso que no tiene configurado un receptor de registros adecuado. Premium 2.2 A.18.1.3
LOCKED_RETENTION_POLICY_NOT_SET No se establece una política de retención bloqueada para los registros. Premium 10.5 AU-11 A.12.4.2
A.18.1.3
OBJECT_VERSIONING_DISABLED El control de versiones de objetos no está habilitado en un bucket de almacenamiento en el que están configurados los receptores. Premium 2.3 10.5 AU-11 A.12.4.2
A.18.1.3

Resultados de las vulnerabilidades de Monitoring

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de supervisión y pertenecen al tipo MONITORING_SCANNER. Todas las propiedades de búsqueda del detector de Monitoring incluirán lo siguiente:

  • El RecommendedLogFilter que se usará para crear las métricas de registro.
  • El QualifiedLogMetricNames que cubre las condiciones que se enumeran en el filtro de registro recomendado.
  • El AlertPolicyFailureReasons que indica si el proyecto no tiene políticas de alerta creadas para cualquiera de las métricas de registro calificadas o si las políticas de alertas existentes no tienen la configuración recomendada.
Tabla 12. Analizador de Monitoring
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
AUDIT_CONFIG_NOT_MONITORED Las métricas y alertas de registro no están configuradas para supervisar los cambios en la configuración de auditoría. Premium 2.5
BUCKET_IAM_NOT_MONITORED Las métricas y alertas de registros no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage. Premium 2.10
CUSTOM_ROLE_NOT_MONITORED Las métricas y las alertas de registros no están configuradas para supervisar los cambios de funciones personalizadas. Premium 2.6
FIREWALL_NOT_MONITORED Las métricas y las alertas de registros no están configuradas para supervisar los cambios de la regla de firewall de la red de VPC. Premium 2.7
NETWORK_NOT_MONITORED Las métricas y las alertas de registros no están configuradas para supervisar los cambios de la red de VPC Premium 2.9
OWNER_NOT_MONITORED Las métricas y las alertas de registros no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto. Premium 2.4
ROUTE_NOT_MONITORED Las métricas y las alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC Premium 2.8
SQL_INSTANCE_NOT_MONITORED Las métricas y alertas de registros no están configuradas para supervisar los cambios en la configuración de la instancia de Cloud SQL. Premium 2.11

Resultados de las vulnerabilidades de la red

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de red de una organización y pertenecen al tipo NETWORK_SCANNER.

Tabla 13. Analizador de red
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
DEFAULT_NETWORK La red predeterminada existe en un proyecto. Premium 3.1
LEGACY_NETWORK Existe una red heredada en un proyecto. Premium 3.2

Resultados de las vulnerabilidades de las políticas de ORG

Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de políticas de la organización y pertenecen al tipo ORG_POLICY.

Tabla 14. Escáner de políticas de organización
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
ORG_POLICY_CONFIDENTIAL_VM_POLICY Un recurso de Compute Engine no cumple con la política de la organización constraints/compute.restrictNonConfidentialComputing. Para obtener más información sobre esta restricción de políticas de la organización, consulta Aplica restricciones de políticas de la organización en la documentación confidencial de VM. Premium

Resultados de las vulnerabilidades de SQL

Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud SQL y pertenecen al tipo SQL_SCANNER.

Tabla 15. Analizador de SQL
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
AUTO_BACKUP_DISABLED Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas. Premium CP-9 A.12.3.1
PUBLIC_SQL_INSTANCE Una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP. Premium o Estándar 6.2 1.2.1 CA-3
SC-7
A.8.2.3
A.13.1.3
A.14.1.3
SSL_NOT_ENFORCED Una instancia de base de datos de Cloud SQL no requiere que todas las conexiones entrantes usen SSL. Premium o Estándar 6.1 4.1 SC-7 A.8.2.3
A.13.2.1
A.14.1.3
SQL_NO_ROOT_PASSWORD Una base de datos de Cloud SQL no tiene una contraseña configurada para la cuenta raíz. Premium 6.3 2.1 AC-3 A.8.2.3
A.9.4.2
SQL_PUBLIC_IP Una base de datos de Cloud SQL tiene una dirección IP pública. Premium
SQL_WEAK_ROOT_PASSWORD Una base de datos de Cloud SQL tiene una contraseña poco segura configurada para la cuenta raíz. Premium

Resultados de las vulnerabilidades de Storage

Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de depósitos de Cloud Storage y pertenecen al tipo STORAGE_SCANNER.

Tabla 16. Analizador de Storage
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
BUCKET_POLICY_ONLY_DISABLED Uniform bucket-level access, que antes se denominaba Bucket Policy Only, no está configurado. Premium
PUBLIC_BUCKET_ACL Un bucket de Cloud Storage es de acceso público. Premium o Estándar 5.1 7.1 AC-2 A.8.2.3
A.14.1.3
PUBLIC_LOG_BUCKET Los depósitos de almacenamiento usados como receptores de registros no deberían ser accesibles de manera pública. Premium o Estándar 10.5 AU-9 A.8.2.3
A.12.4.2
A.18.1.3

Resultados de las vulnerabilidades de subred

Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de la subred de una organización y pertenecen al tipo SUBNETWORK_SCANNER.

Tabla 17. Analizador de subred
Categoría Descripción de los resultados Nivel de precios CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
FLOW_LOGS_DISABLED Hay una subred de VPC que tiene registros de flujo inhabilitados. Premium 3.9 10.1
10.2
SI-4 A.13.1.1
PRIVATE_GOOGLE_ACCESS_DISABLED Hay subredes privadas sin acceso a las API públicas de Google. Premium 3.8

Resultados de Web Security Scanner

A continuación, se muestran los tipos de resultados que identifican los análisis personalizados y administrados de Web Security Scanner. En el nivel Estándar, Web Security Scanner admite los análisis personalizados de aplicaciones implementadas con URL e IP públicas que no están detrás de un firewall.

Tabla 18.Resultados de Web Security Scanner
Categoría Descripción de los resultados CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Un repositorio de GIT se expone públicamente. Para resolver este problema, quita el acceso público no intencional al repositorio de GIT. A3
ACCESSIBLE_SVN_REPOSITORY Un repositorio de SVN se expone públicamente. Para solucionar este problema, quita el acceso no intencional al público en el repositorio de SVN. A3
CLEAR_TEXT_PASSWORD Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver esto, encripta la contraseña que se transmite a través de la red. A3
INVALID_CONTENT_TYPE Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver esto, configura el encabezado HTTP "X-Content-Type-Options" con el valor correcto. A6
INVALID_HEADER Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignorarán. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6
MISMATCHING_SECURITY_HEADER_VALUES Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6
MISSPELLED_SECURITY_HEADER_NAME Un encabezado de seguridad está mal escrito y se ignorará. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6
MIXED_CONTENT Los recursos se envían a través de HTTP en una página HTTPS. Para solucionar este problema, asegúrate de que todos los recursos se entreguen a través de HTTPS. A6
OUTDATED_LIBRARY Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver esto, actualiza las bibliotecas a una versión más reciente. A9
XSS Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y escapa los datos no confiables del usuario. A7
XSS_ANGULAR_CALLBACK Las strings proporcionadas por el usuario no tienen escape y se pueden interpolar mediante AngularJS. Para resolver esto, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla. A7
XSS_ERROR Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver esto, valida y escapa los datos no confiables del usuario. A7

Comparativas de CIS

El Centro para la seguridad en Internet (CIS) incluye las siguientes comparativas que no son compatibles con los detectores de Web Security Scanner o con las estadísticas de estado de seguridad en este momento:

Tabla 19. Comparativas de CIS
Categoría Descripción de los resultados CIS para GCP Foundation 1.0 NIST 800-53 ISO-27001
BASIC_AUTHENTICATION_ENABLED Se debe habilitar IAM o la autenticación de certificado de cliente en los clústeres de Kubernetes 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED Los clústeres de Kubernetes se deben crear con la opción Certificado de cliente habilitada. 7.12
LABELS_NOT_USED Las etiquetas se pueden usar para desglosar los datos de facturación. 7.5
PUBLIC_STORAGE_OBJECT La LCA del objeto de almacenamiento no debe otorgar acceso a AllUsers. 5.2
SQL_BROAD_ROOT_LOGIN El acceso raíz a la base de datos de SQL debe limitarse a las direcciones IP incluidas en la lista de direcciones confiables. 6.4

¿Qué sigue?