Résultats concernant les failles

Les détecteurs d'analyse de l'état de la sécurité et de Web Security Scanner génèrent des résultats de failles disponibles dans Security Command Center. Votre capacité à afficher et à modifier les résultats est déterminée par les rôles et autorisations IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM dans Security Command Center, consultez la page Contrôle des accès.

Détecteurs et conformité

Cette section décrit la mise en correspondance entre les détecteurs compatibles et la meilleure mise en correspondance avec les normes de conformité pertinentes.

Benchmarks CIS

Security Command Center est compatible avec deux versions des benchmarks CIS Google Cloud Platform Foundation :

  • Benchmark CIS Google Cloud Computing Foundations v1.1.0 (CIS Google Cloud Foundation 1.1)
  • Benchmark CIS Google Cloud Computing Foundations v1.0.0 (CIS Google Cloud Foundation 1.0)

Les mises en correspondance de CIS Google Cloud Foundation 1.1 et 1.0 ont été examinées et certifiées par le Center for Internet Security pour s'assurer qu'elles sont conformes aux benchmarks CIS de Google Cloud Computing Foundations v1.1.0 et v1.0.0.

Bien que CIS 1.1 et CIS 1.0 soient tous deux compatibles, nous vous recommandons d'utiliser CIS 1.1 ou de passer à ce dernier, si possible. CIS 1.1 étend la couverture à d'autres services Google Cloud et affine les instructions et les conseils concernant les analyses comparatives complexes.

Certains détecteurs sont mappés au benchmark CIS Google Kubernetes Engine (GKE) v1.0.0 (CIS GKE 1.0). La compatibilité avec ce benchmark est limitée ; il ne doit pas être utilisé comme base pour les audits ou la conformité des rapports.

Normes supplémentaires

Des mises en correspondance de conformité supplémentaires sont incluses pour référence. Elles ne sont pas fournies ni examinées par la norme de sécurité des données de l'industrie des cartes de paiement ou la OWASP Foundation. Vous devez vous reporter à la norme de sécurité des données de l'industrie des cartes de paiement 3.2.1 (PCI-DSS v3.2.1), au Top 10 de la fondation OWASP, à la norme National Institute of Standards and Technology 800-53 (NIST 800-53), et à la norme Organisation internationale de normalisation 27001 (ISO 27001) afin de vérifier manuellement ces cas de non-respect.

Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.

Pour savoir comment afficher et exporter des rapports de conformité, consultez la section Conformité du tableau de bord Security Command Center.

Analyse de l'état de la sécurité

Les détecteurs d'analyse de l'état de la sécurité surveillent un sous-ensemble de ressources de l'inventaire des éléments cloud (CAI) et reçoivent des notifications concernant les modifications apportées aux règles de gestion des ressources et de gestion de l'authentification et des accès (IAM). Certains détecteurs récupèrent les données en appelant directement les API Google Cloud, comme indiqué dans les tableaux plus loin sur cette page.

Les analyses de l'état de la sécurité s'exécutent dans trois modes :

  • Analyse par lots : tous les détecteurs sont programmés pour s'exécuter pour toutes les organisations enregistrées, deux fois ou plus par jour. Les détecteurs s'exécutent selon un calendrier différent afin d'atteindre des objectifs de niveau de service (SLO) spécifiques. Pour respecter les SLO de 12 et 24 heures, les détecteurs exécutent des analyses par lot toutes les six heures ou toutes les douze heures, respectivement. Les modifications de ressources et de règles effectuées entre deux analyses par lot ne sont pas immédiatement capturées et sont appliquées à la prochaine analyse par lot. Remarque : les planifications d'analyse par lot sont des objectifs de performances et non des garanties de service.

  • Analyse en temps réel : Les détecteurs compatibles lancent des analyses chaque fois que l'outil CAI signale une modification dans la configuration d'un élément. Les résultats sont immédiatement écrits dans Security Command Center.

  • Mode mixte : certains détecteurs compatibles avec les analyses en temps réel peuvent ne pas détecter les modifications en temps réel dans tous les éléments compatibles. Dans ce cas, les modifications de configuration de certains éléments sont capturées immédiatement, tandis que d'autres sont capturées lors des analyses par lot. Les exceptions sont indiquées dans les tableaux de cette page.

Les tableaux suivants décrivent les détecteurs d'analyse de l'état de la sécurité, les éléments et les normes de conformité qu'ils acceptent, les paramètres qu'ils utilisent pour les analyses et les types de résultats qu'ils génèrent. Vous pouvez filtrer les résultats par nom de détecteur et par type de résultat à l'aide de l'onglet Failles de Security Command Center dans Google Cloud Console.

Pour obtenir des instructions sur la résolution des problèmes et la protection de vos ressources, consultez la page Corriger les résultats de l'analyse de l'état de la sécurité.

Résultats de failles de clé API

Le détecteur API_KEY_SCANNER identifie les failles liées aux clés API utilisées dans votre déploiement cloud.

Tableau 1. Outil d'analyse de clés API
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
API_KEY_APIS_UNRESTRICTED

Description du résultat : Certaines clés API sont utilisées de manière trop large. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Récupère la propriété restrictions de toutes les clés API d'un projet, en vérifiant si l'une d'entre elles est définie sur cloudapis.googleapis.com.

  • Analyses par lots : toutes les 6 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 1.12

CIS GCP Foundation 1.1 : 1.14

API_KEY_APPS_UNRESTRICTED

Description du résultat : certaines clés API sont utilisées de manière illimitée, ce qui permet leur utilisation par toute application non approuvée.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Récupère la propriété restrictions de toutes les clés API d'un projet, en vérifiant si browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions ou iosKeyRestrictions est défini.

  • Analyses par lots : toutes les 6 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 1.11

CIS GCP Foundation 1.1 : 1.13

API_KEY_EXISTS

Description du résultat : un projet utilise des clés API au lieu de l'authentification standard.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Récupère toutes les clés API appartenant à un projet.

  • Analyses par lots : toutes les 6 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 1.10

CIS GCP Foundation 1.1 : 1.12

API_KEY_NOT_ROTATED

Description du résultat : La clé API n'a pas été alternée depuis plus de 90 jours.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Récupère l'horodatage contenu dans la propriété createTime de toutes les clés API, en vérifiant si 90 jours se sont écoulés.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 1.13

CIS GCP Foundation 1.1 : 1.15

Résultats de failles d'images Compute

Le détecteur COMPUTE_IMAGE_SCANNER identifie les failles liées aux configurations d'image Google Cloud.

Tableau 2. Outil d'analyse d'images Compute
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
PUBLIC_COMPUTE_IMAGE

Description du résultat : une image Compute Engine est accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Image

Corriger ce résultat

Vérifie la stratégie IAM des métadonnées de ressource pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

Résultats de failles d'instance Compute

Le détecteur COMPUTE_INSTANCE_SCANNER identifie les failles liées aux configurations d'instance Compute Engine.

Les détecteurs COMPUTE_INSTANCE_SCANNER ne signalent pas les résultats sur les instances Compute Engine créées par GKE. Les noms de ces instances commencent par "gke-", et les utilisateurs ne peuvent pas modifier cette convention. Pour sécuriser ces instances, reportez-vous à la section "Résultats de failles de conteneur".

Tableau 3. Analyseur d'instances Compute
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Description du résultat : les clés SSH au niveau du projet sont utilisées. Elles permettent de se connecter à toutes les instances du projet.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie l'objet metadata.items[] dans les métadonnées d'instance pour la paire clé-valeur "key": "block-project-ssh-keys", "value": TRUE.

  • Éléments exclus des analyses : instances GKE, tâche Dataflow, instance Windows
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées de Compute Engine.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 4.2

CIS GCP Foundation 1.1 : 4.3

COMPUTE_SECURE_BOOT_DISABLED

Description du résultat : Le démarrage sécurisé n'est pas activé sur cette VM protégée. L'utilisation du démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Il vérifie la propriété shieldedInstanceConfig sur les instances Compute Engine pour déterminer si enableIntegrityMonitoring, enableSecureBoot et enableVtpm sont tous définis sur true. Les champs indiquent si les disques associés sont compatibles avec le démarrage sécurisé et si la VM protégée est activée.

  • Éléments exclus des analyses : instances GKE, disques Compute Engine disposant d'accélérateurs GPU mais n'utilisant pas Container-Optimized OS, accès au VPC sans serveur
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non
COMPUTE_SERIAL_PORTS_ENABLED

Description du résultat : les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie l'objet metadata.items[] dans les métadonnées d'instance pour la paire clé/valeur "key": "serial-port-enable", "value": TRUE.

  • Éléments exclus des analyses : instances GKE
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées de Compute Engine.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 4.4

CIS GCP Foundation 1.1 : 4.5

DEFAULT_SERVICE_ACCOUNT_USED

Description du résultat : une instance est configurée pour utiliser le compte de service par défaut.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété serviceAccounts dans les métadonnées de l'instance pour rechercher les adresses e-mail du compte de service avec le préfixe PROJECT_NUMBER-compute@developer.gserviceaccount.com, qui indique le compte de service par défaut créé par Google.

  • Éléments exclus des analyses : instances GKE, tâches Dataflow
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.1 : 4.1

DISK_CMEK_DISABLED

Description du résultat : les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Disk

Corriger ce résultat

Vérifie le champ kmsKeyName dans l'objet diskEncryptionKey, dans les métadonnées du disque, pour le nom de ressource de votre CMEK.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non
DISK_CSEK_DISABLED

Description du résultat : Les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Détecteur de cas particuliers.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Disk

Corriger ce résultat

Vérifie le champ kmsKeyName dans l'objet diskEncryptionKey pour connaître le nom de ressource de votre CSEK.

  • Éléments exclus des analyses :
    disques Compute Engine sans marque de sécurité enforce_customer_supplied_disk_encryption_keys définie sur true.
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées depuis Compute Engine.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 4.6

CIS GCP Foundation 1.1 : 4.7

FULL_API_ACCESS

Description du résultat : une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Récupère le champ scopes de la propriété serviceAccounts pour vérifier si un compte de service par défaut est utilisé et si le champ d'application cloud-platform lui est attribué.

  • Éléments exclus des analyses : instances GKE, tâches Dataflow
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 4.1

CIS GCP Foundation 1.1 : 4.2

PCI-DSS v3.2.1 : 7.1.2

NIST 800-53 : AC-6

ISO-27001 : A.9.2.3

HTTP_LOAD_BALANCER

Description du résultat : une instance utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/TargetHttpProxy

Corriger ce résultat

Détermine si la propriété selfLink de la ressource targetHttpProxy correspond à l'attribut target de la règle de transfert et si la règle de transfert contient un champ loadBalancingScheme défini sur External.

  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les règles de transfert d'un proxy HTTP cible depuis Compute Engine, en recherchant les règles externes.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
PCI-DSS v3.2.1 : 2.3
IP_FORWARDING_ENABLED

Description du résultat : Le transfert IP est activé sur les instances.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété canIpForward de l'instance est définie sur true.

  • Éléments exclus des analyses : instances GKE, accès au VPC sans serveur
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 4.5

CIS GCP Foundation 1.1 : 4.6

OS_LOGIN_DISABLED

Description du résultat : OS Login est désactivé sur cette instance.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Project

Corriger ce résultat

Vérifie l'objet commonInstanceMetadata.items[] dans les métadonnées du projet pour la paire clé/valeur, "key" : "enable-oslogin", "value" : TRUE. Le détecteur vérifie également toutes les instances d'un projet Compute Engine pour déterminer si OS Login est désactivé pour des instances individuelles.

  • Éléments exclus des analyses : instances GKE
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées depuis Compute Engine. Le détecteur examine également les instances Compute Engine dans le projet.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 4.3

CIS GCP Foundation 1.1 : 4.4

PUBLIC_IP_ADDRESS

Description du résultat : une instance possède une adresse IP publique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété networkInterfaces contient un champ accessConfigs, ce qui indique qu'elle est configurée pour utiliser une adresse IP publique.

  • Éléments exclus des analyses : instances GKE
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.1 : 4.9

PCI-DSS v3.2.1 : 1.2.1, 1.3.5

NIST 800-53 : CA-3, SC-7

SHIELDED_VM_DISABLED

Description du résultat : La VM protégée est désactivée sur cette instance.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété shieldedInstanceConfig dans les instances Compute Engine pour déterminer si les champs enableIntegrityMonitoring, enableSecureBoot et enableVtpm sont tous définis sur true. Les champs indiquent si les disques associés sont compatibles avec le démarrage sécurisé et si la VM protégée est activée.

  • Éléments exclus des analyses : instances GKE, disques Compute Engine disposant d'accélérateurs GPU mais n'utilisant pas Container-Optimized OS, accès au VPC sans serveur
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 4.8

WEAK_SSL_POLICY

Description du résultat : une instance a une règle SSL faible.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Corriger ce résultat

Vérifie si sslPolicy dans les métadonnées d'élément est vide et, pour la ressource sslPolicies associée, vérifie si profile est défini sur Restricted ou Modern, si minTlsVersion est défini sur TLS 1.2 et si customFeatures est vide ou ne contient pas les algorithmes de chiffrement suivants :TLS_RSA_WITH_AES_128_GCM_SHA256 ,TLS_RSA_WITH_AES_256_GCM_SHA384 ,TLS_RSA_WITH_AES_128_CBC_SHA ,TLS_RSA_WITH_AES_256_CBC_SHA ,TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les règles SSL pour le stockage des proxys cibles et recherche les règles faibles.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement lorsque le TargetHttpsProxy du TargetSslProxy est mis à jour, et non lorsque la règle SSL est mise à jour.

PCI-DSS v3.2.1 : 4.1

NIST 800-53 : SC-7

ISO-27001 : A.14.1.3

Résultats de failles de conteneur

Ces types de résultats sont tous liés aux configurations de conteneurs GKE et appartiennent au type de détecteur CONTAINER_SCANNER.

Tableau 4. Outil d'analyse de conteneur
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
ALPHA_CLUSTER_ENABLED

Description du résultat : les fonctionnalités du cluster alpha sont activées pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si la propriété enableKubernetesAlpha d'un cluster est définie sur true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.10.2
AUTO_REPAIR_DISABLED

Description du résultat : la fonctionnalité de réparation automatique d'un cluster GKE, qui maintient les nœuds en bon état de fonctionnement, est désactivée.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété management d'un pool de nœuds pour détecter la paire clé/valeur, "key":, "autoRepair", "value": true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.7

CIS GKE 1.0 : 6.5.2

PCI-DSS v3.2.1 : 2.2

AUTO_UPGRADE_DISABLED

Description du résultat : La fonctionnalité de mise à niveau automatique des clusters GKE, qui conserve les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété management d'un pool de nœuds pour détecter la paire clé/valeur, "key":, "autoUpgrade", "value": true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.8

CIS GKE 1.0 : 6.5.3

PCI-DSS v3.2.1 : 2.2

BINARY_AUTHORIZATION_DISABLED

Description du résultat : l'autorisation binaire est désactivée sur un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si la propriété binaryAuthorization contient la paire clé-valeur "enabled": true, et si defaultAdmissionRule contient la paire clé-valeur evaluationMode: ALWAYS_ALLOW.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.10.5
CLUSTER_LOGGING_DISABLED

Description du résultat : La journalisation n'est pas activée pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si la propriété loggingService d'un cluster contient l'emplacement que Cloud Logging doit utiliser pour écrire des journaux.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.7.1

PCI-DSS v3.2.1 : 10.2.2, 10.2.7

CLUSTER_MONITORING_DISABLED

Description du résultat : Monitoring est désactivé sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si la propriété monitoringService d'un cluster contient l'emplacement que Cloud Monitoring doit utiliser pour écrire des métriques.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.2

CIS GKE 1.0 : 6.7.1

PCI-DSS v3.2.1 : 10.1, 10.2

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Description du résultat : les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées pour accéder aux API Google.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si la propriété privateIpGoogleAccess d'un sous-réseau est définie sur false.

  • Entrées supplémentaires : lit les sous-réseaux à partir de l'espace de stockage et ne renvoie des résultats que pour les clusters avec sous-réseaux.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement si le cluster est mis à jour et pas pour les mises à jour du sous-réseau.

CIS GCP Foundation 1.0 : 7.1

PCI-DSS v3.2.1 : 1.3

CLUSTER_SECRETS_ENCRYPTION_DISABLED

Description du résultat : le chiffrement des secrets au niveau de la couche d'application est désactivé sur un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété keyName de l'objet databaseEncryption pour la paire clé-valeur "state": ENCRYPTED.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.3.1
CLUSTER_SHIELDED_NODES_DISABLED

Description du résultat : les nœuds GKE protégés ne sont pas activés pour un cluster.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété shieldedNodes pour la paire clé-valeur "enabled": true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.5.5
COS_NOT_USED

Description du résultat : Les VM Compute Engine n'utilisent pas la version de Container-Optimized OS conçue pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété config d'un pool de nœuds pour détecter la paire clé/valeur, "imageType": "COS".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.9

CIS GKE 1.0 : 6.5.1

PCI-DSS v3.2.1 : 2.2

INTEGRITY_MONITORING_DISABLED

Description du résultat : la surveillance de l'intégrité est désactivée pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété shieldedInstanceConfig de l'objet nodeConfig pour la paire clé-valeur "enableIntegrityMonitoring": true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.5.6
INTRANODE_VISIBILITY_DISABLED

Description du résultat : la visibilité intranœud est désactivée pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété networkConfig pour la paire clé-valeur "enableIntraNodeVisibility": true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.6.1
IP_ALIAS_DISABLED

Description du résultat : un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si le champ useIPAliases de ipAllocationPolicy dans un cluster est défini sur false.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.6.2

PCI-DSS v3.2.1 : 1.3.4, 1.3.7

LEGACY_AUTHORIZATION_ENABLED

Description du résultat : l'ancienne autorisation est activée sur les clusters GKE.

Niveau de tarification : Premium ou Standard

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété legacyAbac d'un pool de nœuds pour détecter la paire clé/valeur, "enabled" : true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.3

CIS GKE 1.0 : 6.8.3

PCI-DSS v3.2.1 : 4.1

LEGACY_METADATA_ENABLED

Description du résultat  Les anciennes métadonnées sont activées sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété config d'un pool de nœuds pour détecter la paire clé/valeur, "disable-legacy-endpoints" : "false".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.4.1
MASTER_AUTHORIZED_NETWORKS_DISABLED

Description du résultat : Les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété masterAuthorizedNetworksConfig d'un pool de nœuds pour détecter la paire clé/valeur, "enabled" : false.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.4

CIS GKE 1.0 : 6.6.3

PCI-DSS v3.2.1 : 1.2.1, 1.3.2

NETWORK_POLICY_DISABLED

Description du résultat : La règle de réseau est désactivée sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie le champ networkPolicy de la propriété addonsConfig pour détecter la paire clé/valeur "disabled" : true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.6.7

PCI-DSS v3.2.1 : 1.3

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

NODEPOOL_BOOT_CMEK_DISABLED

Description du résultat : Les disques de démarrage de ce pool de nœuds ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété bootDiskKmsKey des pools de nœuds pour identifier le nom de ressource de votre CMEK.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
NODEPOOL_SECURE_BOOT_DISABLED

Description du résultat : le démarrage sécurisé est désactivé pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété shieldedInstanceConfig de l'objet nodeConfig pour la paire clé-valeur "enableSecureBoot": true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.5.7

OVER_PRIVILEGED_ACCOUNT

Description du résultat : Un compte de service bénéficie d'un accès aux projets trop étendu dans un cluster.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Évalue la propriété config d'un pool de nœuds pour vérifier si aucun compte de service n'est spécifié ou si le compte de service par défaut est utilisé.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.2.1

PCI-DSS v3.2.1 : 2.1, 7.1.2

NIST 800-53 : AC-6, SC-7

ISO-27001 : A.9.2.3

OVER_PRIVILEGED_SCOPES

Description du résultat : un compte de service de nœud possède des champs d'application d'accès étendus.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si le niveau d'accès répertorié dans la propriété config.oauthScopes d'un pool de nœuds est un niveau d'accès limité au compte de service : https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, ou https://www.googleapis.com/auth/monitoring.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.2.1

POD_SECURITY_POLICY_DISABLED

Description du résultat : PodSecurityPolicy est désactivé sur un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété podSecurityPolicyConfig d'un cluster pour détecter la paire clé-valeur "enabled" : false.

  • Autorisations IAM supplémentaires : roles/container.clusterViewer
  • Entrées supplémentaires : lit les informations de cluster à partir de GKE car les règles de sécurité des pods sont une fonctionnalité bêta. Cette fonctionnalité pourrait être supprimée ultérieurement.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.10.3

PRIVATE_CLUSTER_DISABLED

Description du résultat : Un cluster GKE possède un cluster privé désactivé.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si le champ enablePrivateNodes de la propriété privateClusterConfig est défini sur false.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.6.5

PCI-DSS v3.2.1 : 1.3.2

RELEASE_CHANNEL_DISABLED

Description du résultat : un cluster GKE n'est pas abonné à un canal de publication.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété releaseChannel pour la paire clé-valeur "channel": UNSPECIFIED.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.5.4
WEB_UI_ENABLED

Description du résultat : L'UI Web (tableau de bord) de GKE est activée.

Niveau de tarification : Premium ou Standard

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie le champ kubernetesDashboard de la propriété addonsConfig pour détecter la paire clé/valeur "disabled": false.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.6

CIS GKE 1.0 : 6.10.1

PCI-DSS v3.2.1 : 6.6

WORKLOAD_IDENTITY_DISABLED

Description du résultat : Workload Identity est désactivé sur un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si la propriété workloadIdentityConfig d'un cluster est définie. Le détecteur vérifie également si la propriété workloadMetadataConfig d'un pool de nœuds est définie sur GKE_METADATA.

  • Autorisations IAM supplémentaires : roles/container.clusterViewer
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.2.2

Résultats de failles d'ensemble de données

Les failles de ce type de détecteur sont toutes liées aux configurations de l'ensemble de données BigQuery et appartiennent au type de détecteur DATASET_SCANNER.

Tableau 5. Outil d'analyse d'ensemble de données
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
DATASET_CMEK_DISABLED

Description du résultat : Un ensemble de données BigQuery n'est pas configuré pour utiliser une clé de chiffrement gérée par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
bigquery.googleapis.com/Dataset

Corriger ce résultat

Vérifie si le champ kmsKeyName de la propriété defaultEncryptionConfiguration est vide.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non
PUBLIC_DATASET

Description du résultat : Un ensemble de données est configuré pour être accessible au public.

Niveau de tarification : Premium

Éléments compatibles
bigquery.googleapis.com/Dataset

Corriger ce résultat

Vérifie la stratégie IAM des métadonnées de ressource pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 7.1

NIST 800-53 : AC-2

ISO-27001 : A.8.2.3, A.14.1.3

Résultats de failles DNS

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud DNS et appartiennent au type de détecteur DNS_SCANNER.

Tableau 6. Outil d'analyse DNS
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
DNSSEC_DISABLED

Description du résultat : DNSSEC est désactivé pour les zones Cloud DNS.

Niveau de tarification : Premium

Éléments compatibles
dns.googleapis.com/ManagedZone

Corriger ce résultat

Vérifie si le champ state de la propriété dnssecConfig est défini sur off.

  • Éléments exclus des analyses : zones Cloud DNS qui ne sont pas publiques
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.3

CIS GCP Foundation 1.1 : 3.3

ISO-27001 : A.8.2.3

RSASHA1_FOR_SIGNING

Description du résultat : RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS.

Niveau de tarification : Premium

Éléments compatibles
dns.googleapis.com/ManagedZone

Corriger ce résultat

Vérifie si l'objet defaultKeySpecs.algorithm de la propriété dnssecConfig est défini sur rsasha1.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.4, 3.5

CIS GCP Foundation 1.1 : 3.4, 3.5

Résultats de failles de pare-feu

Les failles de ce type de détecteur sont toutes liées aux configurations de pare-feu et appartiennent au type de détecteur FIREWALL_SCANNER.

Tableau 7. Outil d'analyse de pare-feu
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
EGRESS_DENY_RULE_NOT_SET

Description du résultat : Une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Vous devez définir des règles de refus du trafic sortant pour bloquer le trafic sortant indésirable.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie si la propriété destinationRanges du pare-feu est définie sur 0.0.0.0/0 et si la propriété denied contient la paire clé/valeur "IPProtocol" : "all".

  • Entrées supplémentaires : lit les pare-feu de sortie pour un projet à partir de l'espace de stockage.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement lors des modifications de projet et pas lors des modifications de règles de pare-feu.
PCI-DSS v3.2.1 : 7.2
FIREWALL_RULE_LOGGING_DISABLED

Description du résultat : la journalisation des règles de pare-feu est désactivée. Activez la journalisation des règles de pare-feu pour pouvoir auditer les accès au réseau.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété logConfig dans les métadonnées de pare-feu pour voir si elle est vide ou si elle contient la paire clé/valeur "enable" : false.

  • Éléments exclus des analyses : instances GKE, règles de pare-feu créées par GKE, accès au VPC sans serveur
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 10.1, 10.2

NIST 800-53 : SI-4

ISO-27001 : A.13.1.1

OPEN_CASSANDRA_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port CASSANDRA ouvert permettant un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_CISCOSECURE_WEBSM_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:9090.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_DIRECTORY_SERVICES_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port ouvert DIRECTORY_SERVICES permettant un accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:445 et UDP:445.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_DNS_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port DNS ouvert autorisant les accès génériques.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:53 et UDP:53.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_ELASTICSEARCH_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port ELASTICSEARCH ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:9200, 9300.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_FIREWALL

Description du résultat : un pare-feu est configuré pour être accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie les propriétés sourceRanges et allowed de l'une des deux configurations :

  • La propriété sourceRanges contient 0.0.0.0/0 et la propriété allowed contient une combinaison de règles incluant tous les éléments protocol ou protocol:port, à l'exception des suivants :
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • La propriété sourceRanges contient une combinaison de plages d'adresses IP qui inclut toutes les adresses IP non privées, et la propriété allowed contient une combinaison de règles qui autorisent tous les ports TCP ou UDP.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
PCI-DSS v3.2.1 : 1.2.1
OPEN_FTP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port FTP ouvert autorisant l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:21.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_HTTP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port HTTP ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:80.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_LDAP_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port LDAP ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:389, 636 et UDP:389.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_MEMCACHED_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port MEMCACHED ouvert qui autorise un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:11211, 11214-11215 et UDP:11211, 11214-11215.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_MONGODB_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port MONGODB ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:27017-27019.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_MYSQL_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port MYSQL ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:3306.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_NETBIOS_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port NETBIOS ouvert autorisant un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:137-139 et UDP:137-139.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_ORACLEDB_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port ORACLEDB ouvert qui autorise un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:1521, 2483-2484 et UDP:2483-2484.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_POP3_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port POP3 ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:110.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_POSTGRESQL_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port PostgreSQL ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:5432 et UDP:5432.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_RDP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port RDP ouvert autorisant l'accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:3389 et UDP:3389.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.7

CIS GCP Foundation 1.1 : 3.7

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_REDIS_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port REDIS ouvert autorisant l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient le protocole et le port suivants : TCP:6379.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_SMTP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port SMTP ouvert autorisant l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient le protocole et le port suivants : TCP:25.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_SSH_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port SSH ouvert permettant un accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient les protocoles et ports suivants : TCP:22 et SCTP:22.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.6

CIS GCP Foundation 1.1 : 3.6

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

OPEN_TELNET_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port TELNET ouvert qui autorise l'accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient le protocole et le port suivants : TCP:23.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Résultats de failles IAM

Les failles de ce type de détecteur sont toutes liées à la configuration de la gestion de l'authentification et des accès (IAM) et appartiennent au type de détecteur IAM_SCANNER.

Tableau 8. Outil d'analyse IAM
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
ADMIN_SERVICE_ACCOUNT

Description du résultat : un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie la stratégie IAM dans les métadonnées de ressource de tous les comptes de service créés par l'utilisateur (indiqués par le préfixe iam.gserviceaccount.com) qui se voient attribuer roles/Owner ou roles/Editor, ou un ID de rôle contenant admin.

  • Éléments exclus des analyses : compte de service Container Registry (containerregistry.iam.gserviceaccount.com) et compte de service Security Command Center (security-center-api.iam.gserviceaccount.com)
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, sauf si la mise à jour IAM est effectuée sur un dossier.

CIS GCP Foundation 1.0 : 1.4

CIS GCP Foundation 1.1 : 1.5

KMS_ROLE_SEPARATION

Description du résultat : la séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service (Cloud KMS) : Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie les stratégies IAM dans les métadonnées de ressource et récupère en même temps les comptes principaux auxquels l'un des rôles suivants est attribué : roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.9

CIS GCP Foundation 1.1 : 1.11

NIST 800-53 : AC-5

ISO-27001 : A.9.2.3, A.10.1.2

NON_ORG_IAM_MEMBER

Description du résultat : un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS GCP Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent actuellement ce détecteur.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Compare les adresses e-mail @gmail.com dans le champ user des métadonnées de la stratégie IAM à une liste d'identités approuvées pour votre organisation.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.1

PCI-DSS v3.2.1 : 7.1.2

NIST 800-53 : AC-3

ISO-27001 : A.9.2.3

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Description du résultat : un utilisateur possède le rôle Utilisateur du compte de service ou Créateur de jetons du compte de service au niveau du projet, plutôt que pour un compte de service spécifique.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie la stratégie IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator est attribué au niveau du projet.
  • Éléments exclus des analyses : comptes de service Cloud Build.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.5

PCI-DSS v3.2.1 : 7.1.2

NIST 800-53 : AC-6

ISO-27001 : A.9.2.3

PRIMITIVE_ROLES_USED

Description du résultat : un utilisateur possède le rôle de base Propriétaire, Rédacteur ou Lecteur. Ces rôles sont trop permissifs et ne doivent pas être utilisés.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie la stratégie IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/Owner, roles/Writer ou roles/Reader est affecté.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 7.1.2

NIST 800-53 : AC-6

ISO-27001 : A.9.2.3

REDIS_ROLE_USED_ON_ORG

Description du résultat : un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organisation

Corriger ce résultat

Vérifie la stratégie IAM dans les métadonnées de ressource pour les comptes principaux auxquels roles/redis.admin, roles/redis.editor, roles/redis.viewer est affecté au niveau de l'organisation ou du dossier.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 7.1.2

ISO-27001 : A.9.2.3

SERVICE_ACCOUNT_ROLE_SEPARATION

Description du résultat : les rôles Administrateur de compte de service et Utilisateur du compte de service ont été attribués à un utilisateur. Cela enfreint le principe de "séparation des tâches".

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Il vérifie la stratégie IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser et roles/iam.serviceAccountAdmin sont affectés simultanément.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.7

NIST 800-53 : AC-5

ISO-27001 : A.9.2.3

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Description du résultat : une clé de compte de service n'a pas été alternée depuis plus de 90 jours.

Niveau de tarification : Premium

Éléments compatibles
iam.googleapis.com/ServiceAccountKey

Corriger ce résultat

Évalue l'horodatage de la création de clé capturé dans la propriété validAfterTime des métadonnées de clé des comptes de service.

  • Éléments exclus des analyses : clés de compte de service expirées et clés non gérées par les utilisateurs
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GCP Foundation 1.0 : 1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY

Description du résultat : un utilisateur gère une clé de compte de service.

Niveau de tarification : Premium

Éléments compatibles
iam.googleapis.com/ServiceAccountKey

Corriger ce résultat

Vérifie si la propriété keyType dans les métadonnées de clé de compte de service est définie sur User_Managed.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GCP Foundation 1.0 : 1.3

Résultats de failles KMS

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud KMS et appartiennent au type de détecteur KMS_SCANNER.

Tableau 9. Outil d'analyse KMS
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
KMS_KEY_NOT_ROTATED

Description du résultat : la rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. Alternez les clés de chiffrement tous les 90 jours.

Niveau de tarification : Premium

Éléments compatibles
cloudkms.googleapis.com/CryptoKey

Corriger ce résultat

Vérifie l'existence de propriétés rotationPeriod ou nextRotationTime dans les métadonnées de ressources.

  • Éléments exclus des analyses : clés asymétriques et clés dont les versions principales sont désactivées ou détruites
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.8

PCI-DSS v3.2.1 : 3.5

NIST 800-53 : SC-12

ISO-27001 : A.10.1.2

KMS_PROJECT_HAS_OWNER

Description du résultat : un utilisateur dispose des autorisations Propriétaire sur un projet disposant de clés cryptographiques.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie la stratégie IAM des métadonnées du projet pour les comptes principaux auxquels roles/Owner est affecté.

  • Entrées supplémentaires : lit les clés cryptographiques d'un projet à partir de l'espace de stockage et ne consigne que les résultats des projets comportant des clés cryptographiques.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement sur les modifications apportées aux stratégies IAM et pas sur les modifications apportées aux clés KMS

PCI-DSS v3.2.1 : 3.5

NIST 800-53 : AC-6, SC-12

ISO-27001 : A.9.2.3, A.10.1.2

KMS_PUBLIC_KEY

Description du résultat : une clé cryptographique Cloud KMS est accessible au public.

Niveau de tarification : Premium

Éléments compatibles
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Corriger ce résultat

Vérifie la stratégie IAM des métadonnées de ressource pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 1.9

TOO_MANY_KMS_USERS

Description du résultat : il existe plus de trois utilisateurs de clés cryptographiques.

Niveau de tarification : Premium

Éléments compatibles
cloudkms.googleapis.com/CryptoKey

Corriger ce résultat

Vérifie les stratégies IAM pour détecter les trousseaux de clés, les projets et les organisations, puis récupère les comptes principaux dotés de rôles leur permettant de chiffrer, déchiffrer ou signer des données à l'aide de clés Cloud KMS : roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer et roles/cloudkms.signerVerifier.
  • Entrées supplémentaires : lit les versions d'une clé cryptographique à partir de l'espace de stockage et ne consigne les résultats que pour les clés ayant des versions actives. Le détecteur lit également les stratégies IAM du trousseau de clés, du projet et de l'organisation à partir de l'espace de stockage.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 3.5.2

ISO-27001 : A.9.2.3

Résultats de failles de journalisation

Les failles de ce type de détecteur sont toutes liées aux configurations de journalisation et appartiennent au type de détecteur LOGGING_SCANNER.

Tableau 10. Outil d'analyse de journalisation
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
AUDIT_LOGGING_DISABLED

Description du résultat : la journalisation d'audit a été désactivée pour cette ressource.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie l'existence d'un objet auditLogConfigs dans la stratégie IAM des métadonnées de ressource.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement en cas de modification des stratégies IAM du projet et pas pour les modifications apportées aux dossiers ou à l'organisation.

CIS GCP Foundation 1.0 : 2.1

CIS GCP Foundation 1.1 : 2.1

PCI-DSS v3.2.1 : 10.1, 10.2

NIST 800-53 : AC-2, AU-2

ISO-27001 : A.12.4.1, A.16.1.7

BUCKET_LOGGING_DISABLED

Description du résultat : il existe un bucket de stockage sans la journalisation activée.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie si le champ logBucket de la propriété logging du bucket est vide.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GCP Foundation 1.0 : 5.3
LOCKED_RETENTION_POLICY_NOT_SET

Description du résultat : une règle de conservation verrouillée n'est pas configurée pour les journaux.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie si le champ isLocked de la propriété retentionPolicy du bucket est défini sur true.

  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 2.3

PCI-DSS v3.2.1 : 10.5

NIST 800-53 : AU-11

ISO-27001 : A.12.4.2, A.18.1.3

LOG_NOT_EXPORTED

Description du résultat : une ressource n'a pas de récepteur de journaux approprié configuré.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Récupère un objet logSink dans un projet en vérifiant que le champ includeChildren est défini sur true, que le champ destination inclut l'emplacement dans lequel écrire les journaux et que le champ filter est renseigné.

  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui, mais uniquement lors des modifications de projet et non si l'exportation des journaux est configurée sur un dossier ou une organisation

CIS GCP Foundation 1.0 : 2.2

CIS GCP Foundation 1.1 : 2.2

ISO-27001 : A.18.1.3

OBJECT_VERSIONING_DISABLED

Description du résultat : la gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie si le champ enabled de la propriété versioning du bucket est défini sur true.

  • Éléments exclus des analyses : buckets Cloud Storage avec une règle de conservation verrouillée
  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement si la gestion des versions d'objets est modifiée et pas lors de la création de buckets de journaux.

CIS GCP Foundation 1.0 : 2.3

PCI-DSS v3.2.1 : 10.5

NIST 800-53 : AU-11

ISO-27001 : A.12.4.2, A.18.1.3

Résultats de failles de surveillance

Les failles de ce type de détecteur sont toutes liées aux configurations de surveillance et appartiennent au type MONITORING_SCANNER. Toutes les propriétés des données de détection Monitoring incluent :

  • La valeur RecommendedLogFilter à utiliser pour créer les statistiques de journal.
  • La valeur QualifiedLogMetricNames qui couvre les conditions répertoriées dans le filtre de journal recommandé.
  • La valeur AlertPolicyFailureReasons, qui indique si le projet ne possède pas de règles d'alerte créées pour l'une des statistiques de journal qualifiées, ou si les règles d'alerte existantes ne possèdent pas les paramètres recommandés.
Tableau 11. Outil d'analyse de surveillance
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
AUDIT_CONFIG_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur protoPayload.methodName=\"SetIamPolicy\" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* et, si resource.type est spécifié, que cette valeur est global. Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.5

CIS GCP Foundation 1.1 : 2.5

BUCKET_IAM_NOT_MONITORED

Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications des autorisations IAM Cloud Storage.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type=gcs_bucket AND protoPayload.methodName=\"storage.setIamPermissions\". Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.10

CIS GCP Foundation 1.1 : 2.10

CUSTOM_ROLE_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type=\"iam_role\" AND protoPayload.methodName=\"google.iam.admin.v1.CreateRole\" OR protoPayload.methodName=\"google.iam.admin.v1.DeleteRole\" OR protoPayload.methodName=\"google.iam.admin.v1.UpdateRole\". Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.6

CIS GCP Foundation 1.1 : 2.6

FIREWALL_NOT_MONITORED

Description du résultat : les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu de réseau VPC.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type=\"gce_firewall_rule\" AND protoPayload.methodName=\"compute.firewalls.patch\" OR protoPayload.methodName=\"compute.firewalls.insert\". Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.7

CIS GCP Foundation 1.1 : 2.7

NETWORK_NOT_MONITORED

Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications du réseau VPC.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type=gce_network AND protoPayload.methodName=\"compute.networks.insert\" OR protoPayload.methodName=\"compute.networks.patch\" OR protoPayload.methodName=\"compute.networks.delete\" OR protoPayload.methodName=\"compute.networks.removePeering\" OR protoPayload.methodName=\"compute.networks.addPeering\". Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.9

CIS GCP Foundation 1.1 : 2.9

OWNER_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ni les modifications de propriété du projet.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur (protoPayload.serviceName=\"cloudresourcemanager.googleapis.com\") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action=\"REMOVE\" AND protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action=\"ADD\" AND protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\") et, si resource.type est spécifié, que cette valeur est global. Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.4

CIS GCP Foundation 1.1 : 2.4

ROUTE_NOT_MONITORED

Description du résultat : les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type=\"gce_route\" AND protoPayload.methodName=\"compute.routes.delete\" OR protoPayload.methodName=\"compute.routes.insert\". Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.8

CIS GCP Foundation 1.1 : 2.8

SQL_INSTANCE_NOT_MONITORED

Description du résultat : les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration des instances Cloud SQL.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur protoPayload.methodName=\"cloudsql.instances.update\" et, si resource.type est spécifié, que cette valeur est global. Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.11

CIS GCP Foundation 1.1 : 2.11

Résultats de l'authentification multifacteur

Le détecteur MFA_SCANNER identifie les failles liées à l'authentification multifacteur pour les utilisateurs.

Tableau 12. Analyseur d'authentification multifacteur
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
MFA_NOT_ENFORCED

Certains utilisateurs n'utilisent pas la validation en deux étapes.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization

Corriger ce résultat

Évalue les règles de gestion des identités dans les organisations et les paramètres utilisateur des comptes gérés dans Cloud Identity.

  • Éléments exclus des analyses : unités organisationnelles auxquelles sont accordées des exceptions à la règle.
  • Entrées supplémentaires : lit les données à partir de Google Workspace.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 1.2

CIS GCP Foundation 1.1 : 1.2

PCI-DSS v3.2.1 : 8.3

NIST 800-53 : IA-2

ISO-27001 : A.9.4.2

Résultats de failles de réseau

Les failles de ce type de détecteur sont toutes liées aux configurations de réseau d'une organisation et appartiennent au typeNETWORK_SCANNER.

Tableau 13. Outil d'analyse de réseau
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
DEFAULT_NETWORK

Description du résultat : le réseau par défaut existe dans un projet.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Network

Corriger ce résultat

Vérifie si la propriété name dans les métadonnées du réseau est définie sur default.

  • Éléments exclus des analyses : projets pour lesquels l'API Compute Engine est désactivée et les ressources Compute Engine sont bloquées.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.1

CIS GCP Foundation 1.1 : 3.1

LEGACY_NETWORK

Description du résultat : un ancien réseau existe dans un projet.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Network

Corriger ce résultat

Vérifie l'existence de la propriété IPv4Range dans les métadonnées réseau.

  • Éléments exclus des analyses : projets pour lesquels l'API Compute Engine est désactivée et les ressources Compute Engine sont bloquées.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.2

CIS GCP Foundation 1.1 : 3.2

Résultats des failles liées aux règles d'administration

Les failles de ce type de détecteur sont toutes liées aux configurations des contraintes des règles d'administration et appartiennent au type ORG_POLICY.

Tableau 14. Analyseur de règles d'administration
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
ORG_POLICY_CONFIDENTIAL_VM_POLICY Description du résultat : une ressource Compute Engine n'est pas conforme à la règle d'administration constraints/compute.restrictNonConfidentialComputing. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration sur les VM Confidential VM.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété enableConfidentialCompute d'une instance Compute Engine est définie sur true.

  • Éléments exclus des analyses : instances GKE
  • Autorisations IAM supplémentaires : permissions/orgpolicy.policy.get
  • Entrées supplémentaires : lit la règle d'organisation effective à partir du service de règles d'organisation.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non
ORG_POLICY_LOCATION_RESTRICTION Description du résultat : une ressource Compute Engine ne respecte pas la contrainte constraints/gcp.resourceLocations. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration.

Niveau de tarification : Premium

Éléments compatibles
Voir ci-dessous

Corriger ce résultat

Vérifie la propriété listPolicy dans les métadonnées des ressources compatibles pour obtenir la liste des emplacements autorisés ou refusés.

  • Autorisations IAM supplémentaires : permissions/orgpolicy.policy.get
  • Entrées supplémentaires : lit la règle d'organisation effective à partir du service de règles d'organisation.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non

Éléments compatibles avec ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Logging
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/DataLabelingJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 Étant donné que les éléments Cloud KMS ne peuvent pas être supprimés, ils ne sont pas considérés comme hors région si leurs données ont été détruites.

2 Étant donné que les tâches d'importation Cloud KMS ont un cycle de vie contrôlé et ne peuvent pas être arrêtées en amont, une tâche d'importation n'est pas considérée comme hors région si elle est arrivée à expiration et ne peut plus être utilisée pour importer des clés.

3 Étant donné que le cycle de vie des tâches Dataflow ne peut pas être géré, une tâche n'est pas considérée comme hors région une fois qu'elle a atteint un état final (arrêt ou drainage) dans lequel elle ne sera plus utilisées pour traiter des données.

Résultats de failles Pub/Sub

Les failles de ce type de détecteur sont toutes liées aux configurations Pub/Sub et appartiennent au type PUBSUB_SCANNER.

Tableau 15. Analyseur Pub/Sub
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
PUBSUB_CMEK_DISABLED

Description du résultat : Un sujet Pub/Sub n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
pubsub.googleapis.com/Topic

Corriger ce résultat

Dans le champ kmsKeyName, vérifie le nom de ressource de votre clé CMEK.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non

Résultats de failles SQL

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud SQL et appartiennent au type SQL_SCANNER.

Tableau 16. Outil d'analyse SQL
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
AUTO_BACKUP_DISABLED

Description du résultat : les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété backupConfiguration.enabled d'une donnée Cloud SQL est définie sur true.

  • Éléments exclus des analyses : instances dupliquées Cloud SQL
  • Entrées supplémentaires : lit les stratégies IAM des ancêtres à partir du stockage des éléments Security Health Analytics.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.7

NIST 800-53 : CP-9

ISO-27001 : A.12.3.1

PUBLIC_SQL_INSTANCE

Description du résultat : une instance de base de données Cloud SQL accepte les connexions de toutes les adresses IP.

Niveau de tarification : Premium ou Standard

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété authorizedNetworks des instances Cloud SQL est définie sur une adresse IP unique ou sur une plage d'adresses IP.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 6.2

CIS GCP Foundation 1.1 : 6.5

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : CA-3, SC-7

ISO-27001 : A.8.2.3, A.13.1.3, A.14.1.3

SSL_NOT_ENFORCED

Description du résultat : une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL.

Niveau de tarification : Premium ou Standard

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété requireSsl de l'instance Cloud SQL est définie sur true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 6.1

CIS GCP Foundation 1.1 : 6.4

PCI-DSS v3.2.1 : 4.1

NIST 800-53 : SC-7

ISO-27001 : A.8.2.3, A.13.2.1, A.14.1.3

SQL_CMEK_DISABLED

Description du résultat : une instance de base de données SQL n'est pas chiffrée avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie le champ kmsKeyName de l'objet diskEncryptionKey, dans les métadonnées d'instance, pour trouver le nom de ressource de votre CMEK.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
SQL_CONTAINED_DATABASE_AUTHENTICATION

Description du résultat : l'option de base de données contained database authentication pour une instance Cloud SQL pour SQL Server n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur, "name" : "contained database authentication", "value" : "on" ou si elle est activée par défaut.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.3.2

SQL_CROSS_DB_OWNERSHIP_CHAINING

Description du résultat : l'option de base de données cross_db_ownership_chaining d'une instance Cloud SQL pour SQL Server n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "cross_db_ownership_chaining", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.3.1

SQL_LOCAL_INFILE

Description du résultat : l'option de base de données local_infile d'une instance Cloud SQL pour MySQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "local_infile", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.1.2

SQL_LOG_CHECKPOINTS_DISABLED

Description du résultat : l'option de base de données log_checkpoints d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_checkpoints", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.1

SQL_LOG_CONNECTIONS_DISABLED

Description du résultat : l'option de base de données log_connections pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_connections", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.2

SQL_LOG_DISCONNECTIONS_DISABLED

Description du résultat : l'option de base de données log_disconnections pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_disconnections", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.3

SQL_LOG_LOCK_WAITS_DISABLED

Description du résultat : l'option de base de données log_lock_waits pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_lock_waits", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.4

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Description du résultat : l'option log_min_duration_statement de la base de données pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur "-1".

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_min_duration_statement", "value": "-1".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.7

SQL_LOG_MIN_ERROR_STATEMENT

Description du résultat : l'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL n'est pas définie de manière appropriée.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si le champ log_min_error_statement de databaseFlags est défini sur l'une des valeurs suivantes : debug5 ,debug4 ,debug3 ,debug2 ,debug1 ,info ,notice ,warning ou la valeur par défaut error.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.5

SQL_LOG_TEMP_FILES

Description du résultat : l'option log_temp_files de la base de données pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur "0".

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_temp_files", "value": "0".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.6

SQL_NO_ROOT_PASSWORD

Description du résultat : une base de données Cloud SQL n'a pas de mot de passe configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété rootPassword du compte racine est vide.

  • Autorisations IAM supplémentaires : roles/cloudsql.client
  • Entrées supplémentaires : interroge les instances actives
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 6.3

CIS GCP Foundation 1.1 : 6.1.1

PCI-DSS v3.2.1 : 2.1

NIST 800-53 : AC-3

ISO-27001 : A.8.2.3, A.9.4.2

SQL_PUBLIC_IP

Description du résultat : une base de données Cloud SQL possède une adresse IP publique.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si le type d'adresse IP d'une base de données Cloud SQL est défini sur Primary, ce qui indique qu'elle est publique.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.6

SQL_WEAK_ROOT_PASSWORD

Description du résultat : une base de données Cloud SQL possède un mot de passe faible configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Compare le mot de passe du compte racine de votre base de données Cloud SQL à une liste de mots de passe courants.

  • Autorisations IAM supplémentaires : roles/cloudsql.client
  • Entrées supplémentaires : interroge les instances actives
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non

Résultats de failles de stockage

Les failles de ce type de détecteur sont toutes liées aux configurations de buckets Cloud Storage et appartiennent au typeSTORAGE_SCANNER.

Tableau 17. Outil d'analyse de stockage
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
BUCKET_CMEK_DISABLED

Description du résultat : un bucket n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver les détecteurs.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie le champ encryption dans les métadonnées du bucket pour trouver le nom de ressource de votre clé CMEK.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
BUCKET_POLICY_ONLY_DISABLED

Description du résultat : l'accès uniforme au niveau du bucket, précédemment appelé "Stratégie du bucket seulement", n'est pas configuré.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie si la propriété uniformBucketLevelAccess d'un bucket est définie sur "enabled":false .

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
PUBLIC_BUCKET_ACL

Description du résultat : un bucket Cloud Storage est accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie la stratégie IAM d'un bucket pour détecter les rôles publics (allUsers ou allAuthenticatedUsers) avec des droits d'administrateur ou d'éditeur.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 5.1

CIS GCP Foundation 1.1 : 5.1

PCI-DSS v3.2.1 : 7.1

NIST 800-53 : AC-2

ISO-27001 : A.8.2.3, A.14.1.3

PUBLIC_LOG_BUCKET

Description du résultat : un bucket de stockage utilisé comme récepteur de journaux est accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie la stratégie IAM d'un bucket pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement si la stratégie IAM sur le bucket change et pas si le récepteur de journaux est modifié.

PCI-DSS v3.2.1 : 10.5

NIST 800-53 : AU-9

ISO-27001 : A.8.2.3, A.12.4.2, A.18.1.3

Résultats de failles de sous-réseau

Les failles de ce type de détecteur sont toutes liées aux configurations de sous-réseau d'une organisation et appartiennent au typeSUBNETWORK_SCANNER.

Tableau 18. Outil d'analyse de sous-réseau
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
FLOW_LOGS_DISABLED

Description du résultat : il existe un sous-réseau VPC dans lequel les journaux de flux sont désactivés.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Subnetwork

Corriger ce résultat

Vérifie si la propriété enableFlowLogs des sous-réseaux Compute Engine est manquante ou définie sur false.

  • Éléments exclus des analyses : accès au VPC sans serveur, sous-réseaux d'équilibreur de charge
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.9

CIS GCP Foundation 1.1 : 3.8

PCI-DSS v3.2.1 : 10.1, 10.2

NIST 800-53 : SI-4

ISO-27001 : A.13.1.1

PRIVATE_GOOGLE_ACCESS_DISABLED

Description du résultat : il existe des sous-réseaux privés sans accès aux API publiques Google.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Corriger ce résultat

Vérifie si la propriété privateIpGoogleAccess des sous-réseaux Compute Engine est définie sur false.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GCP Foundation 1.0 : 3.8

VM Manager

VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.

Si vous activez VM Manager et que vous êtes abonné au niveau Premium de Security Command Center, VM Manager écrit les résultats dans ses rapports de failles en version bêta dans Security Command Center. Les rapports identifient les failles dans les systèmes d'exploitation installés sur les VM, y compris les failles CVE courantes (Common Vulnerabilities and Exposures).

Les rapports de failles ne sont pas disponibles dans le niveau Standard de Security Command Center.

Les résultats simplifient l'utilisation de la fonctionnalité de conformité des correctifs de VM Manager, qui est en version bêta. Cette fonctionnalité vous permet de gérer les correctifs au niveau de l'organisation dans tous vos projets. Actuellement, VM Manager ne permet de gérer les correctifs qu'au niveau du projet.

Résultats de VM Manager

Les failles de ce type concernent toutes les packages de système d'exploitation installés dans les VM Compute Engine compatibles.

Tableau 19. Rapports de failles de VM Manager
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
OS_VULNERABILITY

Description du résultat : VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Failles consignées dans les rapports de failles de VM Manager dans les packages de système d'exploitation installés pour les VM Compute Engine, y compris les failles CVE courantes.

  • Éléments exclus des analyses : SUSE Linux Enterprise Server (SLES), systèmes d'exploitation Windows
  • Des résultats s'affichent dans Security Command Center peu de temps après la détection de failles. Dans VM Manager, les rapports de failles sont générés comme suit :

    • Pour la plupart des failles du package d'OS installé, l'API OS Config génère un rapport de failles dans les minutes qui suivent le changement.
    • En cas de failles CVE, l'API OS Config génère le rapport de failles dans un délai de trois à quatre heures après la publication des failles CVE sur le système d'exploitation.

Corriger les résultats de VM Manager

Un résultat OS_VULNERABILITY indique que VM Manager a détecté une faille dans les packages du système d'exploitation installés dans une VM Compute Engine.

Pour corriger ce résultat, procédez comme suit :

  1. Accédez à la page Résultats de Security Command Center.

    Accéder

  2. À côté de Afficher par, sélectionnez Type de source.

  3. Dans la liste Type de source, sélectionnez VM Manager.

    La table présente les résultats correspondant au type de source que vous avez sélectionné.

  4. Sous Catégorie, cliquez sur le nom d'un résultat.

  5. Dans le panneau Résultats détaillés, sélectionnez Propriétés sources.

  6. Pour en savoir plus sur la faille, consultez les champs suivants :

    1. properties : contient une description de la faille et des options d'atténuation.
    2. severity : niveau de risque attribué au résultat.
    3. vulnerability : contient un lien vers un dépôt CVE public comprenant plus de détails sur la faille.
    4. references : contient des liens d'informations supplémentaires, y compris vers des sources du secteur.
    5. id : ID de la faille CVE, par exemple, CVE-2021-33200, permettant de filtrer les résultats et de rechercher d'autres VM concernées par cette faille CVE.
  7. Pour créer une tâche d'application de correctifs pour l'OS dans Cloud Console, cliquez sur le lien dans external_uri.

    Pour obtenir des instructions sur le déploiement des correctifs, consultez la page OS Patch Management.

En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Désactiver les rapports de failles de VM Manager

Pour empêcher l'écriture des rapports de failles dans Security Command Center, vous pouvez désactiver l'API du service OS Config pour vos projets.

  1. Accédez à la page API OS Config de Cloud Console.

    Accéder à l'API OS Config

  2. Si nécessaire, sélectionnez votre projet.

  3. Cliquez sur Désactiver l'API, puis sur Désactiver dans la boîte de dialogue.

Résultats de Web Security Scanner

Les analyses personnalisées et gérées de Web Security Scanner identifient les types de résultats suivants. Au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL et des adresses IP publiques qui ne sont pas protégées par un pare-feu.

Tableau 20. Résultats de Web Security Scanner
Catégorie Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT. A3
ACCESSIBLE_SVN_REPOSITORY Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN. A3
CLEAR_TEXT_PASSWORD Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau. A3
INVALID_CONTENT_TYPE Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP "X-Content-Type-Options" sur la valeur correcte. A6
INVALID_HEADER Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. A6
MISMATCHING_SECURITY_HEADER_VALUES Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. A6
MISSPELLED_SECURITY_HEADER_NAME Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. A6
MIXED_CONTENT Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS. A6
OUTDATED_LIBRARY Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente. A9
XSS Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. A7
XSS_ANGULAR_CALLBACK Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper. A7
XSS_ERROR Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. A7

Benchmarks CIS

Le CIS (Center for Internet Security) inclut les benchmarks suivants qui ne sont actuellement pas compatibles avec Web Security Scanner ou avec les détecteurs d'analyse de l'état de la sécurité :

Tableau 21. Benchmarks CIS
Catégorie Description du résultat CIS GCP Foundation 1.0 NIST 800-53 ISO-27001
BASIC_AUTHENTICATION_ENABLED Vous devez activer l'authentification via le certificat client ou IAM sur les clusters Kubernetes. 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED Vous devez activer l'option "Certificat client" lors de la création des clusters Kubernetes. 7.12
LABELS_NOT_USED Des libellés peuvent être utilisés pour répartir les informations de facturation. 7,5
PUBLIC_STORAGE_OBJECT La LCA de stockage d'objet ne doit pas accorder l'accès à **allUsers**. 5,2
SQL_BROAD_ROOT_LOGIN L'accès root à une base de données SQL doit être limité aux adresses IP approuvées répertoriées. 6,4

Étape suivante