Résultats concernant les failles

Les détecteurs de Security Health Analytics et de Web Security Scanner génèrent des résultats de failles disponibles dans Security Command Center. Votre capacité à afficher et à modifier les résultats est déterminée par les rôles et autorisations IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM dans Security Command Center, consultez la page Contrôle des accès.

Détecteurs et conformité

Cette section décrit la mise en correspondance entre les détecteurs compatibles et la meilleure mise en correspondance avec les normes de conformité pertinentes.

Benchmarks CIS

Security Command Center est compatible avec les versions suivantes des benchmarks CIS Google Cloud Platform Foundation :

  • Benchmark CIS Google Cloud Computing Foundations v1.2.0 (CIS Google Cloud Foundation 1.2)
  • Benchmark CIS Google Cloud Computing Foundations v1.1.0 (CIS Google Cloud Foundation 1.1)
  • Benchmark CIS Google Cloud Computing Foundations v1.0.0 (CIS Google Cloud Foundation 1.0)

Les mises en correspondance de CIS Google Cloud Foundation 1.2, 1.1 et 1.0 ont été examinées et certifiées par le Center for Internet Security pour s'assurer qu'elles sont conformes aux benchmarks CIS de Google Cloud Computing Foundations v1.2.0, v1.1.0 et v1.0.0.

Bien que les versions CIS 1.0 et CIS 1.1 soient toujours compatibles, elles seront abandonnées à terme. Nous vous recommandons d'utiliser le dernier benchmark CIS 1.2 ou de migrer vers celui-ci.

Certains détecteurs sont mappés au benchmark CIS Google Kubernetes Engine (GKE) v1.0.0 (CIS GKE 1.0). La compatibilité avec ce benchmark est limitée ; il ne doit pas être utilisé comme base pour les audits ou la conformité des rapports.

Normes supplémentaires

Des mises en correspondance de conformité supplémentaires sont incluses pour référence. Elles ne sont pas fournies ni examinées par la norme de sécurité des données de l'industrie des cartes de paiement ou la OWASP Foundation. Vous devez vous reporter à la norme de sécurité des données de l'industrie des cartes de paiement 3.2.1 (PCI-DSS v3.2.1), au Top 10 de la fondation OWASP, à la norme National Institute of Standards and Technology 800-53 (NIST 800-53), et à la norme Organisation internationale de normalisation 27001 (ISO 27001) afin de vérifier manuellement ces cas de non-respect.

Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.

Pour savoir comment afficher et exporter des rapports de conformité, consultez la section Conformité du tableau de bord Security Command Center.

Security Health Analytics

Les détecteurs de Security Health Analytics surveillent un sous-ensemble de ressources de l'inventaire des éléments cloud (CAI) et reçoivent des notifications concernant les modifications apportées aux règles de gestion des ressources et de gestion de l'authentification et des accès (IAM). Certains détecteurs récupèrent les données en appelant directement les API Google Cloud, comme indiqué dans les tableaux plus loin sur cette page.

Security Health Analytics s'exécute dans trois modes :

  • Analyse par lots : tous les détecteurs sont programmés pour s'exécuter pour toutes les organisations enregistrées, deux fois ou plus par jour. Les détecteurs s'exécutent selon un calendrier différent afin d'atteindre des objectifs de niveau de service (SLO) spécifiques. Pour respecter les SLO de 12 et 24 heures, les détecteurs exécutent des analyses par lot toutes les six heures ou toutes les douze heures, respectivement. Les modifications de ressources et de règles effectuées entre deux analyses par lot ne sont pas immédiatement capturées et sont appliquées à la prochaine analyse par lot. Remarque : les planifications d'analyse par lot sont des objectifs de performances et non des garanties de service.

  • Analyse en temps réel : Les détecteurs compatibles lancent des analyses chaque fois que l'outil CAI signale une modification dans la configuration d'un élément. Les résultats sont immédiatement écrits dans Security Command Center.

  • Mode mixte : certains détecteurs compatibles avec les analyses en temps réel peuvent ne pas détecter les modifications en temps réel dans tous les éléments compatibles. Dans ce cas, les modifications de configuration de certains éléments sont capturées immédiatement, tandis que d'autres sont capturées lors des analyses par lot. Les exceptions sont indiquées dans les tableaux de cette page.

Les tableaux suivants décrivent les détecteurs de Security Health Analytics, les éléments et les normes de conformité qu'ils acceptent, les paramètres qu'ils utilisent pour les analyses et les types de résultats qu'ils génèrent. Vous pouvez filtrer les résultats par nom de détecteur et par type de résultat à l'aide de l'onglet Failles de Security Command Center dans Google Cloud Console.

Pour obtenir des instructions sur la résolution des problèmes et la protection de vos ressources, consultez la page Corriger les résultats de Security Health Analytics.

Résultats de failles de clé API

Le détecteur API_KEY_SCANNER identifie les failles liées aux clés API utilisées dans votre déploiement cloud.

Tableau 1. Outil d'analyse de clés API
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
API key APIs unrestricted

Nom de la catégorie dans l'API : API_KEY_APIS_UNRESTRICTED

Description du résultat : Certaines clés API sont utilisées de manière trop large. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Récupère la propriété restrictions de toutes les clés API d'un projet, en vérifiant si l'une d'entre elles est définie sur cloudapis.googleapis.com.

  • Analyses par lots : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.12

CIS GCP Foundation 1.1 : 1.14

CIS GCP Foundation 1.2 : 1.14

API key apps unrestricted

Nom de la catégorie dans l'API : API_KEY_APPS_UNRESTRICTED

Description du résultat : certaines clés API sont utilisées de manière illimitée, ce qui permet leur utilisation par toute application non approuvée.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Récupère la propriété restrictions de toutes les clés API d'un projet, en vérifiant si browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions ou iosKeyRestrictions est défini.

  • Analyses par lots : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.11

CIS GCP Foundation 1.1 : 1.13

CIS GCP Foundation 1.2 : 1.13

API key exists

Nom de la catégorie dans l'API : API_KEY_EXISTS

Description du résultat : un projet utilise des clés API au lieu de l'authentification standard.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Récupère toutes les clés API appartenant à un projet.

  • Analyses par lots : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.10

CIS GCP Foundation 1.1 : 1.12

CIS GCP Foundation 1.2 : 1.12

API key not rotated

Nom de la catégorie dans l'API : API_KEY_NOT_ROTATED

Description du résultat : La clé API n'a pas été alternée depuis plus de 90 jours.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Récupère l'horodatage contenu dans la propriété createTime de toutes les clés API, en vérifiant si 90 jours se sont écoulés.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.13

CIS GCP Foundation 1.1 : 1.15

CIS GCP Foundation 1.2 : 1.15

Résultats de failles d'images Compute

Le détecteur COMPUTE_IMAGE_SCANNER identifie les failles liées aux configurations d'image Google Cloud.

Tableau 2. Outil d'analyse d'images Compute
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Public Compute image

Nom de la catégorie dans l'API : PUBLIC_COMPUTE_IMAGE

Description du résultat : une image Compute Engine est accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Image

Corriger ce résultat

Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

Résultats de failles d'instance Compute

Le détecteur COMPUTE_INSTANCE_SCANNER identifie les failles liées aux configurations d'instance Compute Engine.

Les détecteurs COMPUTE_INSTANCE_SCANNER ne signalent pas les résultats sur les instances Compute Engine créées par GKE. Les noms de ces instances commencent par "gke-", et les utilisateurs ne peuvent pas modifier cette convention. Pour sécuriser ces instances, reportez-vous à la section "Résultats de failles de conteneur".

Tableau 3. Analyseur d'instances Compute
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Confidential Computing disabled

Nom de la catégorie dans l'API : CONFIDENTIAL_COMPUTING_DISABLED

Description du résultat : l'informatique confidentielle est désactivée sur une instance Compute Engine.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété confidentialInstanceConfig.enableConfidentialCompute d'une instance Compute Engine est définie sur true.

  • Éléments exclus des analyses : instances GKE, accès au VPC sans serveur, instances Compute Engine de type N2D.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 4.11

Compute project wide SSH keys allowed

Nom de la catégorie dans l'API : COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Description du résultat : les clés SSH au niveau du projet sont utilisées. Elles permettent de se connecter à toutes les instances du projet.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie l'objet metadata.items[] dans les métadonnées d'instance pour la paire clé-valeur "key": "block-project-ssh-keys", "value": TRUE.

  • Éléments exclus des analyses : instances GKE, tâche Dataflow, instance Windows
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées de Compute Engine.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 4.2

CIS GCP Foundation 1.1 : 4.3

CIS GCP Foundation 1.2 : 4.3

Compute Secure Boot disabled

Nom de la catégorie dans l'API : COMPUTE_SECURE_BOOT_DISABLED

Description du résultat : Le démarrage sécurisé n'est pas activé sur cette VM protégée. L'utilisation du démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Il vérifie la propriété shieldedInstanceConfig sur les instances Compute Engine pour déterminer si enableIntegrityMonitoring, enableSecureBoot et enableVtpm sont tous définis sur true. Les champs indiquent si les disques associés sont compatibles avec le démarrage sécurisé et si la VM protégée est activée.

  • Éléments exclus des analyses : instances GKE, disques Compute Engine disposant d'accélérateurs GPU mais n'utilisant pas Container-Optimized OS, accès au VPC sans serveur
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
Compute serial ports enabled

Nom de la catégorie dans l'API : COMPUTE_SERIAL_PORTS_ENABLED

Description du résultat : les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie l'objet metadata.items[] dans les métadonnées d'instance pour la paire clé/valeur "key": "serial-port-enable", "value": TRUE.

  • Éléments exclus des analyses : instances GKE
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées de Compute Engine.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 4.4

CIS GCP Foundation 1.1 : 4.5

CIS GCP Foundation 1.2 : 4.5

Default service account used

Nom de la catégorie dans l'API : DEFAULT_SERVICE_ACCOUNT_USED

Description du résultat : une instance est configurée pour utiliser le compte de service par défaut.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété serviceAccounts dans les métadonnées de l'instance pour rechercher les adresses e-mail du compte de service avec le préfixe PROJECT_NUMBER-compute@developer.gserviceaccount.com, qui indique le compte de service par défaut créé par Google.

  • Éléments exclus des analyses : instances GKE, tâches Dataflow
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 4.1

CIS GCP Foundation 1.2 : 4.1

Disk CMEK disabled

Nom de la catégorie dans l'API : DISK_CMEK_DISABLED

Description du résultat : les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Disk

Corriger ce résultat

Vérifie le champ kmsKeyName dans l'objet diskEncryptionKey, dans les métadonnées du disque, pour le nom de ressource de votre CMEK.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
Disk CSEK disabled

Nom de la catégorie dans l'API : DISK_CSEK_DISABLED

Description du résultat : Les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Détecteur de cas particuliers.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Disk

Corriger ce résultat

Vérifie le champ kmsKeyName dans l'objet diskEncryptionKey pour connaître le nom de ressource de votre CSEK.

  • Éléments exclus des analyses :
    disques Compute Engine sans marque de sécurité enforce_customer_supplied_disk_encryption_keys définie sur true.
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées depuis Compute Engine.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 4.6

CIS GCP Foundation 1.1 : 4.7

CIS GCP Foundation 1.2 : 4.7

Full API access

Nom de la catégorie dans l'API : FULL_API_ACCESS

Description du résultat : une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Récupère le champ scopes de la propriété serviceAccounts pour vérifier si un compte de service par défaut est utilisé et si le champ d'application cloud-platform lui est attribué.

  • Éléments exclus des analyses : instances GKE, tâches Dataflow
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 4.1

CIS GCP Foundation 1.1 : 4.2

CIS GCP Foundation 1.2 : 4.2

PCI-DSS v3.2.1 : 7.1.2

NIST 800-53 : AC-6

ISO-27001 : A.9.2.3

HTTP load balancer

Nom de la catégorie dans l'API : HTTP_LOAD_BALANCER

Description du résultat : une instance utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/TargetHttpProxy

Corriger ce résultat

Détermine si la propriété selfLink de la ressource targetHttpProxy correspond à l'attribut target de la règle de transfert et si la règle de transfert contient un champ loadBalancingScheme défini sur External.

  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les règles de transfert d'un proxy HTTP cible depuis Compute Engine, en recherchant les règles externes.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
PCI-DSS v3.2.1 : 2.3
IP forwarding enabled

Nom de la catégorie dans l'API : IP_FORWARDING_ENABLED

Description du résultat : Le transfert IP est activé sur les instances.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété canIpForward de l'instance est définie sur true.

  • Éléments exclus des analyses : instances GKE, accès au VPC sans serveur
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 4.5

CIS GCP Foundation 1.1 : 4.6

CIS GCP Foundation 1.2 : 4.6

OS login disabled

Nom de la catégorie dans l'API : OS_LOGIN_DISABLED

Description du résultat : OS Login est désactivé sur cette instance.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Project

Corriger ce résultat

Vérifie l'objet commonInstanceMetadata.items[] dans les métadonnées du projet pour la paire clé/valeur, "key" : "enable-oslogin", "value" : TRUE. Le détecteur vérifie également toutes les instances d'un projet Compute Engine pour déterminer si OS Login est désactivé pour des instances individuelles.

  • Éléments exclus des analyses : instances GKE
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées depuis Compute Engine. Le détecteur examine également les instances Compute Engine dans le projet.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 4.3

CIS GCP Foundation 1.1 : 4.4

CIS GCP Foundation 1.2 : 4.4

Public IP address

Nom de la catégorie dans l'API : PUBLIC_IP_ADDRESS

Description du résultat : une instance possède une adresse IP publique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété networkInterfaces contient un champ accessConfigs, ce qui indique qu'elle est configurée pour utiliser une adresse IP publique.

  • Éléments exclus des analyses : instances GKE
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.1 : 4.9

CIS GCP Foundation 1.2 : 4.9

PCI-DSS v3.2.1 : 1.2.1, 1.3.5

NIST 800-53 : CA-3, SC-7

Shielded VM disabled

Nom de la catégorie dans l'API : SHIELDED_VM_DISABLED

Description du résultat : La VM protégée est désactivée sur cette instance.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété shieldedInstanceConfig dans les instances Compute Engine pour déterminer si les champs enableIntegrityMonitoring, enableSecureBoot et enableVtpm sont tous définis sur true. Les champs indiquent si les disques associés sont compatibles avec le démarrage sécurisé et si la VM protégée est activée.

  • Éléments exclus des analyses : instances GKE, disques Compute Engine disposant d'accélérateurs GPU mais n'utilisant pas Container-Optimized OS, accès au VPC sans serveur
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 4.8

CIS GCP Foundation 1.2 : 4.8

Weak SSL policy

Nom de la catégorie dans l'API : WEAK_SSL_POLICY

Description du résultat : une instance a une règle SSL faible.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Corriger ce résultat

Vérifie si sslPolicy dans les métadonnées d'élément est vide et, pour la ressource sslPolicies associée, vérifie si profile est défini sur Restricted ou Modern, si minTlsVersion est défini sur TLS 1.2 et si customFeatures est vide ou ne contient pas les algorithmes de chiffrement suivants :TLS_RSA_WITH_AES_128_GCM_SHA256 ,TLS_RSA_WITH_AES_256_GCM_SHA384 ,TLS_RSA_WITH_AES_128_CBC_SHA ,TLS_RSA_WITH_AES_256_CBC_SHA ,TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les règles SSL pour le stockage des proxys cibles et recherche les règles faibles.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement lorsque le TargetHttpsProxy du TargetSslProxy est mis à jour, et non lorsque la règle SSL est mise à jour.

CIS GCP Foundation 1.1 : 3.9

CIS GCP Foundation 1.2 : 3.9

PCI-DSS v3.2.1 : 4.1

NIST 800-53 : SC-7

ISO-27001 : A.14.1.3

Résultats de failles de conteneur

Ces types de résultats sont tous liés aux configurations de conteneurs GKE et appartiennent au type de détecteur CONTAINER_SCANNER.

Tableau 4. Outil d'analyse de conteneur
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Alpha cluster enabled

Nom de la catégorie dans l'API : ALPHA_CLUSTER_ENABLED

Description du résultat : les fonctionnalités du cluster alpha sont activées pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si la propriété enableKubernetesAlpha d'un cluster est définie sur true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.10.2
Auto repair disabled

Nom de la catégorie dans l'API : AUTO_REPAIR_DISABLED

Description du résultat : la fonctionnalité de réparation automatique d'un cluster GKE, qui maintient les nœuds en bon état de fonctionnement, est désactivée.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété management d'un pool de nœuds pour détecter la paire clé/valeur, "key":, "autoRepair", "value": true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.7

CIS GKE 1.0 : 6.5.2

PCI-DSS v3.2.1 : 2.2

Auto upgrade disabled

Nom de la catégorie dans l'API : AUTO_UPGRADE_DISABLED

Description du résultat : La fonctionnalité de mise à niveau automatique des clusters GKE, qui conserve les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété management d'un pool de nœuds pour détecter la paire clé/valeur, "key":, "autoUpgrade", "value": true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.8

CIS GKE 1.0 : 6.5.3

PCI-DSS v3.2.1 : 2.2

Binary authorization disabled

Nom de la catégorie dans l'API : BINARY_AUTHORIZATION_DISABLED

Description du résultat : l'autorisation binaire est désactivée sur un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si la propriété binaryAuthorization contient la paire clé-valeur "enabled": true, et si defaultAdmissionRule contient la paire clé-valeur evaluationMode: ALWAYS_ALLOW.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.10.5
Cluster logging disabled

Nom de la catégorie dans l'API : CLUSTER_LOGGING_DISABLED

Description du résultat : La journalisation n'est pas activée pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si la propriété loggingService d'un cluster contient l'emplacement que Cloud Logging doit utiliser pour écrire des journaux.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.7.1

PCI-DSS v3.2.1 : 10.2.2, 10.2.7

Cluster monitoring disabled

Nom de la catégorie dans l'API : CLUSTER_MONITORING_DISABLED

Description du résultat : Monitoring est désactivé sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si la propriété monitoringService d'un cluster contient l'emplacement que Cloud Monitoring doit utiliser pour écrire des métriques.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.2

CIS GKE 1.0 : 6.7.1

PCI-DSS v3.2.1 : 10.1, 10.2

Cluster private Google access disabled

Nom de la catégorie dans l'API : CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Description du résultat : les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées pour accéder aux API Google.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si la propriété privateIpGoogleAccess d'un sous-réseau est définie sur false.

  • Entrées supplémentaires : lit les sous-réseaux à partir de l'espace de stockage et ne renvoie des résultats que pour les clusters avec sous-réseaux.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement si le cluster est mis à jour et pas pour les mises à jour du sous-réseau.

CIS GCP Foundation 1.0 : 7.1

PCI-DSS v3.2.1 : 1.3

Cluster secrets encryption disabled

Nom de la catégorie dans l'API : CLUSTER_SECRETS_ENCRYPTION_DISABLED

Description du résultat : le chiffrement des secrets au niveau de la couche d'application est désactivé sur un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété keyName de l'objet databaseEncryption pour la paire clé-valeur "state": ENCRYPTED.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.3.1
Cluster shielded nodes disabled

Nom de la catégorie dans l'API : CLUSTER_SHIELDED_NODES_DISABLED

Description du résultat : les nœuds GKE protégés ne sont pas activés pour un cluster.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété shieldedNodes pour la paire clé-valeur "enabled": true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.5.5
COS not used

Nom de la catégorie dans l'API : COS_NOT_USED

Description du résultat : Les VM Compute Engine n'utilisent pas la version de Container-Optimized OS conçue pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété config d'un pool de nœuds pour détecter la paire clé/valeur, "imageType": "COS".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.9

CIS GKE 1.0 : 6.5.1

PCI-DSS v3.2.1 : 2.2

Integrity monitoring disabled

Nom de la catégorie dans l'API : INTEGRITY_MONITORING_DISABLED

Description du résultat : la surveillance de l'intégrité est désactivée pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété shieldedInstanceConfig de l'objet nodeConfig pour la paire clé-valeur "enableIntegrityMonitoring": true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.5.6
Intranode visibility disabled

Nom de la catégorie dans l'API : INTRANODE_VISIBILITY_DISABLED

Description du résultat : la visibilité intranœud est désactivée pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété networkConfig pour la paire clé-valeur "enableIntraNodeVisibility": true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.6.1
IP alias disabled

Nom de la catégorie dans l'API : IP_ALIAS_DISABLED

Description du résultat : un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si le champ useIPAliases de ipAllocationPolicy dans un cluster est défini sur false.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.6.2

PCI-DSS v3.2.1 : 1.3.4, 1.3.7

Legacy authorization enabled

Nom de la catégorie dans l'API : LEGACY_AUTHORIZATION_ENABLED

Description du résultat : l'ancienne autorisation est activée sur les clusters GKE.

Niveau de tarification : Premium ou Standard

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété legacyAbac d'un pool de nœuds pour détecter la paire clé/valeur, "enabled" : true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.3

CIS GKE 1.0 : 6.8.3

PCI-DSS v3.2.1 : 4.1

Legacy metadata enabled

Nom de la catégorie dans l'API : LEGACY_METADATA_ENABLED

Description du résultat  Les anciennes métadonnées sont activées sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété config d'un pool de nœuds pour détecter la paire clé/valeur, "disable-legacy-endpoints" : "false".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.4.1
Master authorized networks disabled

Nom de la catégorie dans l'API : MASTER_AUTHORIZED_NETWORKS_DISABLED

Description du résultat : Les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété masterAuthorizedNetworksConfig d'un pool de nœuds pour détecter la paire clé/valeur, "enabled" : false.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.4

CIS GKE 1.0 : 6.6.3

PCI-DSS v3.2.1 : 1.2.1, 1.3.2

Network policy disabled

Nom de la catégorie dans l'API : NETWORK_POLICY_DISABLED

Description du résultat : La règle de réseau est désactivée sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie le champ networkPolicy de la propriété addonsConfig pour détecter la paire clé/valeur "disabled" : true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.6.7

PCI-DSS v3.2.1 : 1.3

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Nodepool boot CMEK disabled

Nom de la catégorie dans l'API : NODEPOOL_BOOT_CMEK_DISABLED

Description du résultat : Les disques de démarrage de ce pool de nœuds ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété bootDiskKmsKey des pools de nœuds pour identifier le nom de ressource de votre CMEK.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
Noodepool secure boot disabled

Nom de la catégorie dans l'API : NODEPOOL_SECURE_BOOT_DISABLED

Description du résultat : le démarrage sécurisé est désactivé pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété shieldedInstanceConfig de l'objet nodeConfig pour la paire clé-valeur "enableSecureBoot": true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.5.7
Over privileged account

Nom de la catégorie dans l'API : OVER_PRIVILEGED_ACCOUNT

Description du résultat : Un compte de service bénéficie d'un accès aux projets trop étendu dans un cluster.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Évalue la propriété config d'un pool de nœuds pour vérifier si aucun compte de service n'est spécifié ou si le compte de service par défaut est utilisé.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.2.1

PCI-DSS v3.2.1 : 2.1, 7.1.2

NIST 800-53 : AC-6, SC-7

ISO-27001 : A.9.2.3

Over privileged scopes

Nom de la catégorie dans l'API : OVER_PRIVILEGED_SCOPES

Description du résultat : un compte de service de nœud possède des champs d'application d'accès étendus.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si le niveau d'accès répertorié dans la propriété config.oauthScopes d'un pool de nœuds est un niveau d'accès limité au compte de service : https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, ou https://www.googleapis.com/auth/monitoring.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.2.1

Pod security policy disabled

Nom de la catégorie dans l'API : POD_SECURITY_POLICY_DISABLED

Description du résultat : PodSecurityPolicy est désactivé sur un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété podSecurityPolicyConfig d'un cluster pour détecter la paire clé-valeur "enabled" : false.

  • Autorisations IAM supplémentaires : roles/container.clusterViewer
  • Entrées supplémentaires : lit les informations de cluster à partir de GKE car les règles de sécurité des pods sont une fonctionnalité bêta. PodSecurityPolicy de Kubernetes est officiellement obsolète dans la version 1.21. PodSecurityPolicy sera arrêté dans la version 1.25. Pour en savoir plus sur les alternatives, consultez la page Obsolescence de PodSecurityPolicy.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.10.3

Private cluster disabled

Nom de la catégorie dans l'API : PRIVATE_CLUSTER_DISABLED

Description du résultat : Un cluster GKE possède un cluster privé désactivé.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si le champ enablePrivateNodes de la propriété privateClusterConfig est défini sur false.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.1

CIS GKE 1.0 : 6.6.5

PCI-DSS v3.2.1 : 1.3.2

Release channel disabled

Nom de la catégorie dans l'API : RELEASE_CHANNEL_DISABLED

Description du résultat : un cluster GKE n'est pas abonné à un canal de publication.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie la propriété releaseChannel pour la paire clé-valeur "channel": UNSPECIFIED.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.5.4
Web UI enabled

Nom de la catégorie dans l'API : WEB_UI_ENABLED

Description du résultat : L'UI Web (tableau de bord) de GKE est activée.

Niveau de tarification : Premium ou Standard

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie le champ kubernetesDashboard de la propriété addonsConfig pour détecter la paire clé/valeur "disabled": false.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 7.6

CIS GKE 1.0 : 6.10.1

PCI-DSS v3.2.1 : 6.6

Workdload Identity disabled

Nom de la catégorie dans l'API : WORKLOAD_IDENTITY_DISABLED

Description du résultat : Workload Identity est désactivé sur un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat

Vérifie si la propriété workloadIdentityConfig d'un cluster est définie. Le détecteur vérifie également si la propriété workloadMetadataConfig d'un pool de nœuds est définie sur GKE_METADATA.

  • Autorisations IAM supplémentaires : roles/container.clusterViewer
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GKE 1.0 : 6.2.2

Résultats de failles Dataproc

Les failles de ce type de détecteur sont toutes liées à Dataproc et appartiennent au type de détecteur DATAPROC_SCANNER.

Tableau 5. Outil d'analyse Dataproc
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Dataproc image outdated

Nom de la catégorie dans l'API : DATAPROC_IMAGE_OUTDATED

Description du résultat : Un cluster Dataproc a été créé avec une version d'image Dataproc affectée par les failles de sécurité dans l'utilitaire Apache Log4j 2 (CVE-2021-44228). et CVE-2021-45046.

Niveau de tarification : Premium ou Standard

Éléments compatibles
dataproc.googleapis.com/Cluster

Corriger ce résultat

Vérifie si le champ softwareConfig.imageVersion de la propriété config d'un objet Cluster est antérieur à la version 1.3.95. ou est une version de correction des images antérieure à 1.4.77, 1.5.53 ou 2.0.27.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

Résultats de failles d'ensemble de données

Les failles de ce type de détecteur sont toutes liées aux configurations de l'ensemble de données BigQuery et appartiennent au type de détecteur DATASET_SCANNER.

Tableau 6. Outil d'analyse d'ensemble de données
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
BigQuery table CMEK disabled

Nom de la catégorie dans l'API : BIGQUERY_TABLE_CMEK_DISABLED

Description du résultat : une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
bigquery.googleapis.com/Table

Corriger ce résultat

Vérifie si le champ kmsKeyName de la propriété encryptionConfiguration est vide.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 7.2

Dataset CMEK disabled

Nom de la catégorie dans l'API : DATASET_CMEK_DISABLED

Description du résultat : un ensemble de données BigQuery n'est pas configuré pour utiliser une clé CMEK par défaut. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
bigquery.googleapis.com/Dataset

Corriger ce résultat

Vérifie si le champ kmsKeyName de la propriété defaultEncryptionConfiguration est vide.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non
Public dataset

Nom de la catégorie dans l'API : PUBLIC_DATASET

Description du résultat : Un ensemble de données est configuré pour être accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
bigquery.googleapis.com/Dataset

Corriger ce résultat

Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 7.1

CIS GCP Foundation 1.2 : 7.1

PCI-DSS v3.2.1 : 7.1

NIST 800-53 : AC-2

ISO-27001 : A.8.2.3, A.14.1.3

Résultats de failles DNS

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud DNS et appartiennent au type de détecteur DNS_SCANNER.

Tableau 7. Outil d'analyse DNS
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
DNSSEC disabled

Nom de la catégorie dans l'API : DNSSEC_DISABLED

Description du résultat : DNSSEC est désactivé pour les zones Cloud DNS.

Niveau de tarification : Premium

Éléments compatibles
dns.googleapis.com/ManagedZone

Corriger ce résultat

Vérifie si le champ state de la propriété dnssecConfig est défini sur off.

  • Éléments exclus des analyses : zones Cloud DNS qui ne sont pas publiques
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.3

CIS GCP Foundation 1.1 : 3.3

CIS GCP Foundation 1.2 : 3.3

ISO-27001 : A.8.2.3

RSASHA1 for signing

Nom de la catégorie dans l'API : RSASHA1_FOR_SIGNING

Description du résultat : RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS.

Niveau de tarification : Premium

Éléments compatibles
dns.googleapis.com/ManagedZone

Corriger ce résultat

Vérifie si l'objet defaultKeySpecs.algorithm de la propriété dnssecConfig est défini sur rsasha1.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.4, 3.5

CIS GCP Foundation 1.1 : 3.4, 3.5

CIS GCP Foundation 1.2 : 3.4, 3.5

Résultats de failles de pare-feu

Les failles de ce type de détecteur sont toutes liées aux configurations de pare-feu et appartiennent au type de détecteur FIREWALL_SCANNER.

Tableau 8. Outil d'analyse de pare-feu
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Egress deny rule not set

Nom de la catégorie dans l'API : EGRESS_DENY_RULE_NOT_SET

Description du résultat : Une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Vous devez définir des règles de refus du trafic sortant pour bloquer le trafic sortant indésirable.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie si la propriété destinationRanges du pare-feu est définie sur 0.0.0.0/0 et si la propriété denied contient la paire clé/valeur "IPProtocol" : "all".

  • Entrées supplémentaires : lit les pare-feu de sortie pour un projet à partir de l'espace de stockage.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement lors des modifications de projet et pas lors des modifications de règles de pare-feu.
PCI-DSS v3.2.1 : 7.2
Firewall rule logging disabled

Nom de la catégorie dans l'API : FIREWALL_RULE_LOGGING_DISABLED

Description du résultat : la journalisation des règles de pare-feu est désactivée. Activez la journalisation des règles de pare-feu pour pouvoir auditer les accès au réseau.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété logConfig dans les métadonnées de pare-feu pour voir si elle est vide ou si elle contient la paire clé/valeur "enable" : false.

  • Éléments exclus des analyses : instances GKE, règles de pare-feu créées par GKE, accès au VPC sans serveur
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 10.1, 10.2

NIST 800-53 : SI-4

ISO-27001 : A.13.1.1

Open Cassandra port

Nom de la catégorie dans l'API : OPEN_CASSANDRA_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port CASSANDRA ouvert qui autorise un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open ciscosecure websm port

Nom de la catégorie dans l'API : OPEN_CISCOSECURE_WEBSM_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:9090.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open directory services port

Nom de la catégorie dans l'API : OPEN_DIRECTORY_SERVICES_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port ouvert DIRECTORY_SERVICES permettant un accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:445 et UDP:445.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open DNS port

Nom de la catégorie dans l'API : OPEN_DNS_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port DNS ouvert autorisant les accès génériques.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:53 et UDP:53.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open elasticsearch port

Nom de la catégorie dans l'API : OPEN_ELASTICSEARCH_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port ELASTICSEARCH ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:9200, 9300.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open firewall

Nom de la catégorie dans l'API : OPEN_FIREWALL

Description du résultat : un pare-feu est configuré pour être accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie les propriétés sourceRanges et allowed de l'une des deux configurations :

  • La propriété sourceRanges contient 0.0.0.0/0 et la propriété allowed contient une combinaison de règles incluant tous les éléments protocol ou protocol:port, à l'exception des suivants :
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • La propriété sourceRanges contient une combinaison de plages d'adresses IP qui inclut toutes les adresses IP non privées, et la propriété allowed contient une combinaison de règles qui autorisent tous les ports TCP ou UDP.
  • Éléments exclus des analyses : règles de pare-feu créées par GKE
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
PCI-DSS v3.2.1 : 1.2.1
Open FTP port

Nom de la catégorie dans l'API : OPEN_FTP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port FTP ouvert autorisant l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:21.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open HTTP port

Nom de la catégorie dans l'API : OPEN_HTTP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port HTTP ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:80.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open LDAP port

Nom de la catégorie dans l'API : OPEN_LDAP_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port LDAP ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:389, 636 et UDP:389.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open Memcached port

Nom de la catégorie dans l'API : OPEN_MEMCACHED_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port MEMCACHED ouvert qui autorise un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:11211, 11214-11215 et UDP:11211, 11214-11215.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open MongoDB port

Nom de la catégorie dans l'API : OPEN_MONGODB_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port MONGODB ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:27017-27019.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open MySQL port

Nom de la catégorie dans l'API : OPEN_MYSQL_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port MYSQL ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:3306.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open NetBIOS port

Nom de la catégorie dans l'API : OPEN_NETBIOS_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port NETBIOS ouvert autorisant un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:137-139 et UDP:137-139.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open OracleDB port

Nom de la catégorie dans l'API : OPEN_ORACLEDB_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port ORACLEDB ouvert qui autorise un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:1521, 2483-2484 et UDP:2483-2484.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open pop3 port

Nom de la catégorie dans l'API : OPEN_POP3_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port POP3 ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:110.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open PostgreSQL port

Nom de la catégorie dans l'API : OPEN_POSTGRESQL_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port PostgreSQL ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:5432 et UDP:5432.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open RDP port

Nom de la catégorie dans l'API : OPEN_RDP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port RDP ouvert autorisant l'accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:3389 et UDP:3389.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.7

CIS GCP Foundation 1.1 : 3.7

CIS GCP Foundation 1.2 : 3.7

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open Redis port

Nom de la catégorie dans l'API : OPEN_REDIS_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port REDIS ouvert autorisant l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient le protocole et le port suivants : TCP:6379.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open SMTP port

Nom de la catégorie dans l'API : OPEN_SMTP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port SMTP ouvert autorisant l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient le protocole et le port suivants : TCP:25.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open SSH port

Nom de la catégorie dans l'API : OPEN_SSH_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port SSH ouvert permettant un accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient les protocoles et ports suivants : TCP:22 et SCTP:22.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.6

CIS GCP Foundation 1.1 : 3.6

CIS GCP Foundation 1.2 : 3.6

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Open Telnet port

Nom de la catégorie dans l'API : OPEN_TELNET_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port TELNET ouvert qui autorise l'accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient le protocole et le port suivants : TCP:23.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : SC-7

ISO-27001 : A.13.1.1

Résultats de failles IAM

Les failles de ce type de détecteur sont toutes liées à la configuration de la gestion de l'authentification et des accès (IAM) et appartiennent au type de détecteur IAM_SCANNER.

Tableau 9. Outil d'analyse IAM
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Admin service account

Nom de la catégorie dans l'API : ADMIN_SERVICE_ACCOUNT

Description du résultat : un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource de tous les comptes de service créés par l'utilisateur (indiqués par le préfixe iam.gserviceaccount.com) qui se voient attribuer roles/Owner ou roles/Editor, ou un ID de rôle contenant admin.

  • Éléments exclus des analyses : compte de service Container Registry (containerregistry.iam.gserviceaccount.com) et compte de service Security Command Center (security-center-api.iam.gserviceaccount.com)
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, sauf si la mise à jour IAM est effectuée sur un dossier.

CIS GCP Foundation 1.0 : 1.4

CIS GCP Foundation 1.1 : 1.5

CIS GCP Foundation 1.2 : 1.5

KMS role separation

Nom de la catégorie dans l'API : KMS_ROLE_SEPARATION

Description du résultat : la séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service (Cloud KMS) : Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie les stratégies d'autorisation IAM dans les métadonnées de ressource et récupère en même temps les comptes principaux auxquels l'un des rôles suivants est attribué : roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.9

CIS GCP Foundation 1.1 : 1.11

NIST 800-53 : AC-5

ISO-27001 : A.9.2.3, A.10.1.2

Non org IAM member

Nom de la catégorie dans l'API : NON_ORG_IAM_MEMBER

Description du résultat : un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS GCP Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent actuellement ce détecteur.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Compare les adresses e-mail @gmail.com dans le champ user des métadonnées d'une stratégie d'autorisation IAM à une liste d'identités approuvées pour votre organisation.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.1

CIS GCP Foundation 1.1 : 1.1

CIS GCP Foundation 1.2 : 1.1

PCI-DSS v3.2.1 : 7.1.2

NIST 800-53 : AC-3

ISO-27001 : A.9.2.3

Open group IAM member

Nom de la catégorie dans l'API : OPEN_GROUP_IAM_MEMBER

Description du résultat : Un compte Google Groupes pouvant être associé sans approbation est utilisé comme compte principal de stratégie d'autorisation IAM.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie la stratégie IAM dans les métadonnées de ressource pour toutes les liaisons contenant un membre (entité principale) préfixé par group. Si le groupe est un groupe ouvert, Security Health Analytics génère ce résultat.
  • Entrées supplémentaires : lit les métadonnées Google Groupes pour vérifier si le groupe identifié est un groupe ouvert.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non
Over privileged service account user

Nom de la catégorie dans l'API : OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Description du résultat : un utilisateur possède le rôle Utilisateur du compte de service ou Créateur de jetons du compte de service au niveau du projet, plutôt que pour un compte de service spécifique.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator est attribué au niveau du projet.
  • Éléments exclus des analyses : comptes de service Cloud Build.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.5

CIS GCP Foundation 1.1 : 1.6

CIS GCP Foundation 1.2 : 1.6

PCI-DSS v3.2.1 : 7.1.2

NIST 800-53 : AC-6

ISO-27001 : A.9.2.3

Primitive roles used

Nom de la catégorie dans l'API : PRIMITIVE_ROLES_USED

Description du résultat : un utilisateur possède le rôle de base Propriétaire, Rédacteur ou Lecteur. Ces rôles sont trop permissifs et ne doivent pas être utilisés.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/Owner, roles/Writer ou roles/Reader est affecté.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 7.1.2

NIST 800-53 : AC-6

ISO-27001 : A.9.2.3

Redis role used on org

Nom de la catégorie dans l'API : REDIS_ROLE_USED_ON_ORG

Description du résultat : un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organisation

Corriger ce résultat

Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour les comptes principaux auxquels roles/redis.admin, roles/redis.editor, roles/redis.viewer est affecté au niveau de l'organisation ou du dossier.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 7.1.2

ISO-27001 : A.9.2.3

Service account role separation

Nom de la catégorie dans l'API : SERVICE_ACCOUNT_ROLE_SEPARATION

Description du résultat : les rôles Administrateur de compte de service et Utilisateur du compte de service ont été attribués à un utilisateur. Cela enfreint le principe de "séparation des tâches".

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Il vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser et roles/iam.serviceAccountAdmin sont affectés simultanément.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.7

CIS GCP Foundation 1.1 : 1.8

CIS GCP Foundation 1.2 : 1.8

NIST 800-53 : AC-5

ISO-27001 : A.9.2.3

Service account key not rotated

Nom de la catégorie dans l'API : SERVICE_ACCOUNT_KEY_NOT_ROTATED

Description du résultat : une clé de compte de service n'a pas été alternée depuis plus de 90 jours.

Niveau de tarification : Premium

Éléments compatibles
iam.googleapis.com/ServiceAccountKey

Corriger ce résultat

Évalue l'horodatage de la création de clé capturé dans la propriété validAfterTime des métadonnées de clé des comptes de service.

  • Éléments exclus des analyses : clés de compte de service expirées et clés non gérées par les utilisateurs
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GCP Foundation 1.0 : 1.6 CIS GCP Foundation 1.1 : 1.7 CIS GCP Foundation 1.2 : 1.7
User managed service account key

Nom de la catégorie dans l'API : USER_MANAGED_SERVICE_ACCOUNT_KEY

Description du résultat : un utilisateur gère une clé de compte de service.

Niveau de tarification : Premium

Éléments compatibles
iam.googleapis.com/ServiceAccountKey

Corriger ce résultat

Vérifie si la propriété keyType dans les métadonnées de clé de compte de service est définie sur User_Managed.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GCP Foundation 1.0 : 1.3 CIS GCP Foundation 1.1 : 1.4 CIS GCP Foundation 1.2 : 1.4

Résultats de failles KMS

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud KMS et appartiennent au type de détecteur KMS_SCANNER.

Tableau 10. Outil d'analyse KMS
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
KMS key not rotated

Nom de la catégorie dans l'API : KMS_KEY_NOT_ROTATED

Description du résultat : la rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. Alternez les clés de chiffrement tous les 90 jours.

Niveau de tarification : Premium

Éléments compatibles
cloudkms.googleapis.com/CryptoKey

Corriger ce résultat

Vérifie l'existence de propriétés rotationPeriod ou nextRotationTime dans les métadonnées de ressources.

  • Éléments exclus des analyses : clés asymétriques et clés dont les versions principales sont désactivées ou détruites
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 1.8

CIS GCP Foundation 1.1 : 1.10

CIS GCP Foundation 1.2 : 1.10

PCI-DSS v3.2.1 : 3.5

NIST 800-53 : SC-12

ISO-27001 : A.10.1.2

KMS project has owner

Nom de la catégorie dans l'API : KMS_PROJECT_HAS_OWNER

Description du résultat : un utilisateur dispose des autorisations Propriétaire sur un projet disposant de clés cryptographiques.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie la stratégie d'autorisation IAM des métadonnées du projet pour les comptes principaux auxquels roles/Owner est affecté.

  • Entrées supplémentaires : lit les clés cryptographiques d'un projet à partir de l'espace de stockage et ne consigne que les résultats des projets comportant des clés cryptographiques.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement sur les modifications apportées aux stratégies d'autorisation IAM et pas sur les modifications apportées aux clés KMS

CIS GCP Foundation 1.1 : 1.11

CIS GCP Foundation 1.2 : 1.11

PCI-DSS v3.2.1 : 3.5

NIST 800-53 : AC-6, SC-12

ISO-27001 : A.9.2.3, A.10.1.2

KMS public key

Nom de la catégorie dans l'API : KMS_PUBLIC_KEY

Description du résultat : une clé cryptographique Cloud KMS est accessible au public.

Niveau de tarification : Premium

Éléments compatibles
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Corriger ce résultat

Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 1.9

CIS GCP Foundation 1.2 : 1.9

Too many KMS users

Nom de la catégorie dans l'API : TOO_MANY_KMS_USERS

Description du résultat : il existe plus de trois utilisateurs de clés cryptographiques.

Niveau de tarification : Premium

Éléments compatibles
cloudkms.googleapis.com/CryptoKey

Corriger ce résultat

Vérifie les stratégies d'autorisation IAM pour détecter les trousseaux de clés, les projets et les organisations, puis récupère les comptes principaux dotés de rôles leur permettant de chiffrer, déchiffrer ou signer des données à l'aide de clés Cloud KMS : roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer et roles/cloudkms.signerVerifier.
  • Entrées supplémentaires : lit les versions d'une clé cryptographique à partir de l'espace de stockage et ne consigne les résultats que pour les clés ayant des versions actives. Le détecteur lit également les stratégies d'autorisation IAM du trousseau de clés, du projet et de l'organisation à partir de l'espace de stockage.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

PCI-DSS v3.2.1 : 3.5.2

ISO-27001 : A.9.2.3

Résultats de failles de journalisation

Les failles de ce type de détecteur sont toutes liées aux configurations de journalisation et appartiennent au type de détecteur LOGGING_SCANNER.

Tableau 11. Outil d'analyse de journalisation
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Audit logging disabled

Nom de la catégorie dans l'API : AUDIT_LOGGING_DISABLED

Description du résultat : la journalisation d'audit a été désactivée pour cette ressource.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie l'existence d'un objet auditLogConfigs dans la stratégie d'autorisation IAM des métadonnées de ressource.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 2.1

CIS GCP Foundation 1.1 : 2.1

CIS GCP Foundation 1.2 : 2.1

PCI-DSS v3.2.1 : 10.1, 10.2

NIST 800-53 : AC-2, AU-2

ISO-27001 : A.12.4.1, A.16.1.7

Bucket logging disabled

Nom de la catégorie dans l'API : BUCKET_LOGGING_DISABLED

Description du résultat : il existe un bucket de stockage sans la journalisation activée.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie si le champ logBucket de la propriété logging du bucket est vide.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GCP Foundation 1.0 : 5.3
Locked retention policy not set

Nom de la catégorie dans l'API : LOCKED_RETENTION_POLICY_NOT_SET

Description du résultat : une règle de conservation verrouillée n'est pas configurée pour les journaux.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie si le champ isLocked de la propriété retentionPolicy du bucket est défini sur true.

  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 2.3

CIS GCP Foundation 1.2 : 2.3

PCI-DSS v3.2.1 : 10.5

NIST 800-53 : AU-11

ISO-27001 : A.12.4.2, A.18.1.3

Log not exported

Nom de la catégorie dans l'API : LOG_NOT_EXPORTED

Description du résultat : une ressource n'a pas de récepteur de journaux approprié configuré.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Récupère un objet logSink dans un projet en vérifiant que le champ includeChildren est défini sur true, que le champ destination inclut l'emplacement dans lequel écrire les journaux et que le champ filter est renseigné.

  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui, mais uniquement lors des modifications de projet et non si l'exportation des journaux est configurée sur un dossier ou une organisation

CIS GCP Foundation 1.0 : 2.2

CIS GCP Foundation 1.1 : 2.2

CIS GCP Foundation 1.2 : 2.2

ISO-27001 : A.18.1.3

Object versioning disabled

Nom de la catégorie dans l'API : OBJECT_VERSIONING_DISABLED

Description du résultat : la gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie si le champ enabled de la propriété versioning du bucket est défini sur true.

  • Éléments exclus des analyses : buckets Cloud Storage avec une règle de conservation verrouillée
  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement si la gestion des versions d'objets est modifiée et pas lors de la création de buckets de journaux.

CIS GCP Foundation 1.0 : 2.3

PCI-DSS v3.2.1 : 10.5

NIST 800-53 : AU-11

ISO-27001 : A.12.4.2, A.18.1.3

Résultats de failles de surveillance

Les failles de ce type de détecteur sont toutes liées aux configurations de surveillance et appartiennent au type MONITORING_SCANNER. Toutes les propriétés des données de détection Monitoring incluent :

  • La valeur RecommendedLogFilter à utiliser pour créer les statistiques de journal.
  • La valeur QualifiedLogMetricNames qui couvre les conditions répertoriées dans le filtre de journal recommandé.
  • La valeur AlertPolicyFailureReasons, qui indique si le projet ne possède pas de règles d'alerte créées pour l'une des statistiques de journal qualifiées, ou si les règles d'alerte existantes ne possèdent pas les paramètres recommandés.
Tableau 12. Outil d'analyse de surveillance
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Audit config not monitored

Nom de la catégorie dans l'API : AUDIT_CONFIG_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* et, si resource.type est spécifié, que cette valeur est global. Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.5

CIS GCP Foundation 1.1 : 2.5

CIS GCP Foundation 1.2 : 2.5

Bucket IAM not monitored

Nom de la catégorie dans l'API : BUCKET_IAM_NOT_MONITORED

Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications des autorisations IAM Cloud Storage.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions". Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.10

CIS GCP Foundation 1.1 : 2.10

CIS GCP Foundation 1.2 : 2.10

Custom role not monitored

Nom de la catégorie dans l'API : CUSTOM_ROLE_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type="iam_role" AND protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole". Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.6

CIS GCP Foundation 1.1 : 2.6

CIS GCP Foundation 1.2 : 2.6

Firewall not monitored

Nom de la catégorie dans l'API : FIREWALL_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à règle de pare-feu du réseau VPC.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete"). Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.7

CIS GCP Foundation 1.1 : 2.7

CIS GCP Foundation 1.2 : 2.7

Network not monitored

Nom de la catégorie dans l'API : NETWORK_NOT_MONITORED

Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications du réseau VPC.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering"). Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.9

CIS GCP Foundation 1.1 : 2.9

CIS GCP Foundation 1.2 : 2.9

Owner not monitored

Nom de la catégorie dans l'API : OWNER_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ni les modifications de propriété du projet.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") et, si resource.type est spécifié, que cette valeur est global. Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.4

CIS GCP Foundation 1.1 : 2.4

CIS GCP Foundation 1.2 : 2.4

Route not monitored

Nom de la catégorie dans l'API : ROUTE_NOT_MONITORED

Description du résultat : les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert"). Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.8

CIS GCP Foundation 1.1 : 2.8

CIS GCP Foundation 1.2 : 2.8

SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

Description du résultat : les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration des instances Cloud SQL.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat

Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete" et, si resource.type est spécifié, que cette valeur est global. Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte

CIS GCP Foundation 1.0 : 2.11

CIS GCP Foundation 1.1 : 2.11

CIS GCP Foundation 1.2 : 2.11

Résultats de l'authentification multifacteur

Le détecteur MFA_SCANNER identifie les failles liées à l'authentification multifacteur pour les utilisateurs.

Tableau 13. Analyseur d'authentification multifacteur
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
MFA not enforced

Nom de la catégorie dans l'API : MFA_NOT_ENFORCED

Certains utilisateurs n'utilisent pas la validation en deux étapes.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization

Corriger ce résultat

Évalue les règles de gestion des identités dans les organisations et les paramètres utilisateur des comptes gérés dans Cloud Identity.

  • Éléments exclus des analyses : unités organisationnelles auxquelles sont accordées des exceptions à la règle.
  • Entrées supplémentaires : lit les données à partir de Google Workspace.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 1.2

CIS GCP Foundation 1.1 : 1.2

CIS GCP Foundation 1.2 : 1.2

PCI-DSS v3.2.1 : 8.3

NIST 800-53 : IA-2

ISO-27001 : A.9.4.2

Résultats de failles de réseau

Les failles de ce type de détecteur sont toutes liées aux configurations de réseau d'une organisation et appartiennent au typeNETWORK_SCANNER.

Tableau 14. Outil d'analyse de réseau
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Default network

Nom de la catégorie dans l'API : DEFAULT_NETWORK

Description du résultat : le réseau par défaut existe dans un projet.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Network

Corriger ce résultat

Vérifie si la propriété name dans les métadonnées du réseau est définie sur default.

  • Éléments exclus des analyses : projets pour lesquels l'API Compute Engine est désactivée et les ressources Compute Engine sont bloquées.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.1

CIS GCP Foundation 1.1 : 3.1

CIS GCP Foundation 1.2 : 3.1

DNS logging disabled

Nom de la catégorie dans l'API : DNS_LOGGING_DISABLED

Description du résultat : la journalisation DNS sur un réseau VPC n'est pas activée.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Network
dns.googleapis.com/Policy

Corriger ce résultat

Vérifie toutes les règles (policies) associées à un réseau VPC via le champ networks[].networkUrl et recherche au moins une règle pour laquelle enableLogging est défini sur true.

  • Éléments exclus des analyses : projets pour lesquels l'API Compute Engine est désactivée et les ressources Compute Engine sont bloquées.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 2.12

Legacy network

Nom de la catégorie dans l'API : LEGACY_NETWORK

Description du résultat : un ancien réseau existe dans un projet.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Network

Corriger ce résultat

Vérifie l'existence de la propriété IPv4Range dans les métadonnées réseau.

  • Éléments exclus des analyses : projets pour lesquels l'API Compute Engine est désactivée et les ressources Compute Engine sont bloquées.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.2

CIS GCP Foundation 1.1 : 3.2

CIS GCP Foundation 1.2 : 3.2

Résultats de failles liées aux règles d'administration

Les failles de ce type de détecteur sont toutes liées aux configurations des contraintes des règles d'administration et appartiennent au type ORG_POLICY.

Tableau 15. Analyseur de règles d'administration
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Org policy Confidential VM policy

Nom de la catégorie dans l'API : ORG_POLICY_CONFIDENTIAL_VM_POLICY

Description du résultat : une ressource Compute Engine n'est pas conforme à la règle d'administration constraints/compute.restrictNonConfidentialComputing. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration sur les VM Confidential VM.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété enableConfidentialCompute d'une instance Compute Engine est définie sur true.

  • Éléments exclus des analyses : instances GKE
  • Autorisations IAM supplémentaires : permissions/orgpolicy.policy.get
  • Entrées supplémentaires : lit la règle d'organisation effective à partir du service de règles d'organisation.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non
Org policy location restriction

Nom de la catégorie dans l'API : ORG_POLICY_LOCATION_RESTRICTION

Description du résultat : une ressource Compute Engine ne respecte pas la contrainte constraints/gcp.resourceLocations. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration.

Niveau de tarification : Premium

Éléments compatibles
Voir ci-dessous

Corriger ce résultat

Vérifie la propriété listPolicy dans les métadonnées des ressources compatibles pour obtenir la liste des emplacements autorisés ou refusés.

  • Autorisations IAM supplémentaires : permissions/orgpolicy.policy.get
  • Entrées supplémentaires : lit la règle d'organisation effective à partir du service de règles d'organisation.
  • Analyses par lots : toutes les 12 heures
  • Analyses en temps réel : Non

Éléments compatibles avec ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Logging
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/DataLabelingJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 Étant donné que les éléments Cloud KMS ne peuvent pas être supprimés, ils ne sont pas considérés comme hors région si leurs données ont été détruites.

2 Étant donné que les tâches d'importation Cloud KMS ont un cycle de vie contrôlé et ne peuvent pas être arrêtées en amont, une tâche d'importation n'est pas considérée comme hors région si elle est arrivée à expiration et ne peut plus être utilisée pour importer des clés.

3 Étant donné que le cycle de vie des tâches Dataflow ne peut pas être géré, une tâche n'est pas considérée comme hors région une fois qu'elle a atteint un état final (arrêt ou drainage) dans lequel elle ne sera plus utilisées pour traiter des données.

Résultats de failles Pub/Sub

Les failles de ce type de détecteur sont toutes liées aux configurations Pub/Sub et appartiennent au type PUBSUB_SCANNER.

Tableau 16. Analyseur Pub/Sub
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Pubsub CMEK disabled

Nom de la catégorie dans l'API : PUBSUB_CMEK_DISABLED

Description du résultat : Un sujet Pub/Sub n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
pubsub.googleapis.com/Topic

Corriger ce résultat

Dans le champ kmsKeyName, vérifie le nom de ressource de votre clé CMEK.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

Résultats de failles SQL

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud SQL et appartiennent au type SQL_SCANNER.

Tableau 17. Outil d'analyse SQL
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Auto backup disabled

Nom de la catégorie dans l'API : AUTO_BACKUP_DISABLED

Description du résultat : les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété backupConfiguration.enabled d'une donnée Cloud SQL est définie sur true.

  • Éléments exclus des analyses : instances dupliquées Cloud SQL
  • Entrées supplémentaires : lit les stratégies d'autorisation IAM des ancêtres à partir du stockage des éléments Security Health Analytics.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.7

CIS GCP Foundation 1.2 : 6.7

NIST 800-53 : CP-9

ISO-27001 : A.12.3.1

Public SQL instance

Nom de la catégorie dans l'API : PUBLIC_SQL_INSTANCE

Description du résultat : une instance de base de données Cloud SQL accepte les connexions de toutes les adresses IP.

Niveau de tarification : Premium ou Standard

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété authorizedNetworks des instances Cloud SQL est définie sur une adresse IP unique ou sur une plage d'adresses IP.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 6.2

CIS GCP Foundation 1.1 : 6.5

CIS GCP Foundation 1.2 : 6.5

PCI-DSS v3.2.1 : 1.2.1

NIST 800-53 : CA-3, SC-7

ISO-27001 : A.8.2.3, A.13.1.3, A.14.1.3

SSL not enforced

Nom de la catégorie dans l'API : SSL_NOT_ENFORCED

Description du résultat : une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL.

Niveau de tarification : Premium ou Standard

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété requireSsl de l'instance Cloud SQL est définie sur true.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 6.1

CIS GCP Foundation 1.1 : 6.4

CIS GCP Foundation 1.2 : 6.4

PCI-DSS v3.2.1 : 4.1

NIST 800-53 : SC-7

ISO-27001 : A.8.2.3, A.13.2.1, A.14.1.3

SQL CMEK disabled

Nom de la catégorie dans l'API : SQL_CMEK_DISABLED

Description du résultat : une instance de base de données SQL n'est pas chiffrée avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie le champ kmsKeyName de l'objet diskEncryptionKey, dans les métadonnées d'instance, pour trouver le nom de ressource de votre CMEK.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
SQL contained database authentication

Nom de la catégorie dans l'API : SQL_CONTAINED_DATABASE_AUTHENTICATION

Description du résultat : l'option de base de données contained database authentication pour une instance Cloud SQL pour SQL Server n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur, "name" : "contained database authentication", "value" : "on" ou si elle est activée par défaut.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.3.2

CIS GCP Foundation 1.2 : 6.3.7

SQL cross DB ownership chaining

Nom de la catégorie dans l'API : SQL_CROSS_DB_OWNERSHIP_CHAINING

Description du résultat : l'option de base de données cross_db_ownership_chaining d'une instance Cloud SQL pour SQL Server n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "cross_db_ownership_chaining", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.3.1

CIS GCP Foundation 1.2 : 6.3.2

SQL external scripts enabled

Nom de la catégorie dans l'API : SQL_EXTERNAL_SCRIPTS_ENABLED

Description du résultat : l'option de base de données external scripts enabled d'une instance Cloud SQL pour SQL Server n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "external scripts enabled", "value": "off".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.3.1

SQL local infile

Nom de la catégorie dans l'API : SQL_LOCAL_INFILE

Description du résultat : l'option de base de données local_infile d'une instance Cloud SQL pour MySQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "local_infile", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.1.2

CIS GCP Foundation 1.2 : 6.1.3

SQL log checkpoints disabled

Nom de la catégorie dans l'API : SQL_LOG_CHECKPOINTS_DISABLED

Description du résultat : l'option de base de données log_checkpoints pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_checkpoints", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.1

CIS GCP Foundation 1.2 : 6.2.1

SQL log connections disabled

Nom de la catégorie dans l'API : SQL_LOG_CONNECTIONS_DISABLED

Description du résultat : l'option de base de données log_connections pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_connections", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.2

CIS GCP Foundation 1.2 : 6.2.3

SQL log disconnections disabled

Nom de la catégorie dans l'API : SQL_LOG_DISCONNECTIONS_DISABLED

Description du résultat : l'option de base de données log_disconnections pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_disconnections", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.3

CIS GCP Foundation 1.2 : 6.2.4

SQL log duration disabled

Nom de la catégorie dans l'API : SQL_LOG_DURATION_DISABLED

Description du résultat : l'option de base de données log_duration pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_duration", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.2.5

SQL log error verbosity

Nom de la catégorie dans l'API : SQL_LOG_ERROR_VERBOSITY

Description du résultat : l'option de base de données log_error_verbosity d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur default ou une valeur plus stricte.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_error_verbosity est définie sur default ou terse.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.2.2

SQL log lock waits disabled

Nom de la catégorie dans l'API : SQL_LOG_LOCK_WAITS_DISABLED

Description du résultat : l'option de base de données log_lock_waits pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_lock_waits", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.4

CIS GCP Foundation 1.2 : 6.2.6

SQL log min duration statement enabled

Nom de la catégorie dans l'API : SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Description du résultat : l'option log_min_duration_statement de la base de données pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur "-1".

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_min_duration_statement", "value": "-1".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.7

CIS GCP Foundation 1.2 : 6.2.16

SQL log min error statement

Nom de la catégorie dans l'API : SQL_LOG_MIN_ERROR_STATEMENT

Description du résultat : l'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL n'est pas définie de manière appropriée.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si le champ log_min_error_statement de databaseFlags est défini sur l'une des valeurs suivantes : debug5 ,debug4 ,debug3 ,debug2 ,debug1 ,info ,notice ,warning ou la valeur par défaut error.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.5

SQL log min error statement severity

Nom de la catégorie dans l'API : SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Description du résultat : l'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL ne possède pas le niveau de gravité approprié.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si le champ log_min_error_statement de la propriété databaseFlags est défini sur l'une des valeurs suivantes : error, log, fatal ou panic.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.2.14

SQL log min messages

Nom de la catégorie dans l'API : SQL_LOG_MIN_MESSAGES

Description du résultat : l'option de base de données log_min_messages pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur warning.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si le champ log_min_messages de la propriété databaseFlags est défini sur warning.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.2.13

SQL log executor stats enabled

Nom de la catégorie dans l'API : SQL_LOG_EXECUTOR_STATS_ENABLED

Description du résultat : l'option de base de données log_executor_status pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_executor_status est définie sur on.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.2.11

SQL log hostname enabled

Nom de la catégorie dans l'API : SQL_LOG_HOSTNAME_ENABLED

Description du résultat : l'option de base de données log_hostname pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_hostname est définie sur on.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.2.8

SQL log parser stats enabled

Nom de la catégorie dans l'API : SQL_LOG_PARSER_STATS_ENABLED

Description du résultat : l'option de base de données log_parser_stats pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_parser_stats est définie sur on.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.2.9

SQL log planner stats enabled

Nom de la catégorie dans l'API : SQL_LOG_PLANNER_STATS_ENABLED

Description du résultat : l'option de base de données log_planner_stats pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_planner_stats est définie sur on.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.2.10

SQL log statement

Nom de la catégorie dans l'API : SQL_LOG_STATEMENT

Description du résultat : l'option de base de données log_statement d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur Ddl (toutes les instructions de définition de données).

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_statement est définie sur Ddl.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.2.7

SQL log statement stats enabled

Nom de la catégorie dans l'API : SQL_LOG_STATEMENT_STATS_ENABLED

Description du résultat : l'option de base de données log_statement_stats pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_statement_stats est définie sur on.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.2.12

SQL log temp files

Nom de la catégorie dans l'API : SQL_LOG_TEMP_FILES

Description du résultat : l'option log_temp_files de la base de données pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur "0".

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_temp_files", "value": "0".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.2.6

CIS GCP Foundation 1.2 : 6.2.15

SQL no root password

Nom de la catégorie dans l'API : SQL_NO_ROOT_PASSWORD

Description du résultat : une base de données Cloud SQL n'a pas de mot de passe configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si la propriété rootPassword du compte racine est vide.

  • Autorisations IAM supplémentaires : roles/cloudsql.client
  • Entrées supplémentaires : interroge les instances actives
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non

CIS GCP Foundation 1.0 : 6.3

CIS GCP Foundation 1.1 : 6.1.1

CIS GCP Foundation 1.2 : 6.1.1

PCI-DSS v3.2.1 : 2.1

NIST 800-53 : AC-3

ISO-27001 : A.8.2.3, A.9.4.2

SQL public IP

Nom de la catégorie dans l'API : SQL_PUBLIC_IP

Description du résultat : une base de données Cloud SQL possède une adresse IP publique.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie si le type d'adresse IP d'une base de données Cloud SQL est défini sur Primary, ce qui indique qu'elle est publique.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.1 : 6.6

CIS GCP Foundation 1.2 : 6.6

SQL remote access enabled

Nom de la catégorie dans l'API : SQL_REMOTE_ACCESS_ENABLED

Description du résultat : l'option de base de données remote access d'une instance Cloud SQL pour SQL Server n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "remote access", "value": "off".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.3.5

SQL skip show database disabled

Nom de la catégorie dans l'API : SQL_SKIP_SHOW_DATABASE_DISABLED

Description du résultat : l'option de base de données skip_show_database d'une instance Cloud SQL pour MySQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "skip_show_database", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.1.2

SQL trace flag 3625

Nom de la catégorie dans l'API : SQL_TRACE_FLAG_3625

Description du résultat : l'option de base de données 3625 (trace flag) d'une instance Cloud SQL pour SQL Server n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "3625 (trace flag)", "value": "on".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.3.6

SQL user connections configured

Nom de la catégorie dans l'API : SQL_USER_CONNECTIONS_CONFIGURED

Description du résultat : l'option de base de données user connections d'une instance Cloud SQL pour SQL Server est configurée.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "user connections", "value": "0".

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.3.3

SQL user options configured

Nom de la catégorie dans l'API : SQL_USER_OPTIONS_CONFIGURED

Description du résultat : l'option de base de données user options d'une instance Cloud SQL pour SQL Server est configurée.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Vérifie la propriété databaseFlags des métadonnées d'instance pour la paire clé/valeur "name" : "user options", "value": "" (vide).

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.2 : 6.3.4

SQL weak root password

Nom de la catégorie dans l'API : SQL_WEAK_ROOT_PASSWORD

Description du résultat : une base de données Cloud SQL possède un mot de passe faible configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat

Compare le mot de passe du compte racine de votre base de données Cloud SQL à une liste de mots de passe courants.

  • Autorisations IAM supplémentaires : roles/cloudsql.client
  • Entrées supplémentaires : interroge les instances actives
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Non

Résultats de failles de stockage

Les failles de ce type de détecteur sont toutes liées aux configurations de buckets Cloud Storage et appartiennent au typeSTORAGE_SCANNER.

Tableau 18. Outil d'analyse de stockage
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Bucket CMEK disabled

Nom de la catégorie dans l'API : BUCKET_CMEK_DISABLED

Description du résultat : un bucket n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver les détecteurs.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie le champ encryption dans les métadonnées du bucket pour trouver le nom de ressource de votre clé CMEK.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
Bucket policy only disabled

Nom de la catégorie dans l'API : BUCKET_POLICY_ONLY_DISABLED

Description du résultat : l'accès uniforme au niveau du bucket, précédemment appelé "Stratégie du bucket seulement", n'est pas configuré.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie si la propriété uniformBucketLevelAccess d'un bucket est définie sur "enabled":false.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
Public bucket ACL

Nom de la catégorie dans l'API : PUBLIC_BUCKET_ACL

Description du résultat : un bucket Cloud Storage est accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie la stratégie d'autorisation IAM d'un bucket pour détecter les rôles publics (allUsers ou allAuthenticatedUsers) avec des droits d'administrateur ou d'éditeur.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 5.1

CIS GCP Foundation 1.1 : 5.1

CIS GCP Foundation 1.2 : 5.1

PCI-DSS v3.2.1 : 7.1

NIST 800-53 : AC-2

ISO-27001 : A.8.2.3, A.14.1.3

Public log bucket

Nom de la catégorie dans l'API : PUBLIC_LOG_BUCKET

Description du résultat : un bucket de stockage utilisé comme récepteur de journaux est accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat

Vérifie la stratégie d'autorisation IAM d'un bucket pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : oui, mais uniquement si la stratégie IAM sur le bucket change et pas si le récepteur de journaux est modifié.

PCI-DSS v3.2.1 : 10.5

NIST 800-53 : AU-9

ISO-27001 : A.8.2.3, A.12.4.2, A.18.1.3

Résultats de failles de sous-réseau

Les failles de ce type de détecteur sont toutes liées aux configurations de sous-réseau d'une organisation et appartiennent au typeSUBNETWORK_SCANNER.

Tableau 19. Outil d'analyse de sous-réseau
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
Flow logs disabled

Nom de la catégorie dans l'API : FLOW_LOGS_DISABLED

Description du résultat : il existe un sous-réseau VPC dans lequel les journaux de flux sont désactivés.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Subnetwork

Corriger ce résultat

Vérifie si la propriété enableFlowLogs des sous-réseaux Compute Engine est manquante ou définie sur false.

  • Éléments exclus des analyses : accès au VPC sans serveur, sous-réseaux d'équilibreur de charge
  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui

CIS GCP Foundation 1.0 : 3.9

CIS GCP Foundation 1.1 : 3.8

CIS GCP Foundation 1.2 : 3.8

PCI-DSS v3.2.1 : 10.1, 10.2

NIST 800-53 : SI-4

ISO-27001 : A.13.1.1

Private Google access disabled

Nom de la catégorie dans l'API : PRIVATE_GOOGLE_ACCESS_DISABLED

Description du résultat : il existe des sous-réseaux privés sans accès aux API publiques Google.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Corriger ce résultat

Vérifie si la propriété privateIpGoogleAccess des sous-réseaux Compute Engine est définie sur false.

  • Analyses par lot : toutes les 6 heures
  • Analyses en temps réel : Oui
CIS GCP Foundation 1.0 : 3.8

VM Manager

VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.

Si vous activez VM Manager et que vous êtes abonné au niveau Premium de Security Command Center, VM Manager écrit les résultats dans ses rapports de failles en version bêta dans Security Command Center. Les rapports identifient les failles dans les systèmes d'exploitation installés sur les VM, y compris les failles CVE courantes (Common Vulnerabilities and Exposures).

Les rapports de failles ne sont pas disponibles dans le niveau Standard de Security Command Center.

Les résultats simplifient l'utilisation de la fonctionnalité de conformité des correctifs de VM Manager, qui est en version bêta. Cette fonctionnalité vous permet de gérer les correctifs au niveau de l'organisation dans tous vos projets. Actuellement, VM Manager ne permet de gérer les correctifs qu'au niveau du projet.

Résultats de VM Manager

Les failles de ce type concernent toutes les packages de système d'exploitation installés dans les VM Compute Engine compatibles.

Tableau 20. Rapports de failles de VM Manager
Détecteur Résumé Paramètres d'analyse des éléments Normes de conformité
OS vulnerability

Nom de la catégorie dans l'API : OS_VULNERABILITY

Description du résultat : VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat

Failles consignées dans les rapports de failles de VM Manager dans les packages de système d'exploitation installés pour les VM Compute Engine, y compris les failles CVE courantes.

  • Éléments exclus des analyses : SUSE Linux Enterprise Server (SLES), systèmes d'exploitation Windows

Des résultats s'affichent dans Security Command Center peu de temps après la détection de failles. Dans VM Manager, les rapports de failles sont générés comme suit :

  • Pour la plupart des failles du package d'OS installé, l'API OS Config génère un rapport de failles dans les minutes qui suivent le changement.
  • En cas de failles CVE, l'API OS Config génère le rapport de failles dans un délai de trois à quatre heures après la publication des failles CVE sur le système d'exploitation.

Corriger les résultats de VM Manager

Un résultat OS_VULNERABILITY indique que VM Manager a détecté une faille dans les packages du système d'exploitation installés dans une VM Compute Engine.

Pour corriger ce résultat, procédez comme suit :

Examiner les résultats

Pour examiner les menaces détectées, procédez comme suit :

Ancienne page de résultats

  1. Accédez à la page Résultats de Security Command Center.

    Accéder

  2. À côté de Afficher par, sélectionnez Type de source.

  3. Dans la liste Type de source, sélectionnez VM Manager.

    La table présente les résultats correspondant au type de source que vous avez sélectionné.

  4. Sous Catégorie, cliquez sur le nom d'un résultat.

  5. Dans le panneau Résultats détaillés, sélectionnez Propriétés sources.

  6. Pour en savoir plus sur la faille, consultez les champs suivants :

    1. properties : contient une description de la faille et des options d'atténuation.
    2. severity : niveau de risque attribué au résultat.
    3. vulnerability : contient un lien vers un dépôt CVE public comprenant plus de détails sur la faille.
    4. references : contient des liens d'informations supplémentaires, y compris vers des sources du secteur.
    5. id : ID de la faille CVE, par exemple, CVE-2021-33200, permettant de filtrer les résultats et de rechercher d'autres VM concernées par cette faille CVE.
  7. Pour créer une tâche d'application de correctifs pour l'OS dans Cloud Console, cliquez sur le lien dans external_uri.

Page de résultats (Bêta)

Si vous avez choisi de passer à la version améliorée du workflow de résultats, procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.

    Sélecteur de projet

  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez VM Manager.

    La table contient les résultats de VM Manager.

  4. Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Category. Le volet de détails du résultat se développe pour afficher les attributs du résultat.

  5. Cliquez sur l'onglet JSON. Pour en savoir plus sur la faille, consultez les champs suivants :

    • properties : contient une description de la faille et des options d'atténuation.
    • severity : niveau de risque attribué au résultat.
    • vulnerability : contient un lien vers un dépôt CVE public comprenant plus de détails sur la faille.
    • references : contient des liens d'informations supplémentaires, y compris vers des sources du secteur.
    • id : ID de la faille CVE, par exemple, CVE-2021-33200, permettant de filtrer les résultats et de rechercher d'autres VM concernées par cette faille CVE.
  6. Pour créer une tâche d'application de correctifs pour l'OS dans Cloud Console, accédez à l'URL de la propriété external_uri.

Pour obtenir des instructions sur le déploiement des correctifs, consultez la page OS Patch Management.

En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Désactiver les rapports de failles de VM Manager

Pour empêcher l'écriture des rapports de failles dans Security Command Center, vous pouvez désactiver l'API du service OS Config pour vos projets.

  1. Accédez à la page API OS Config de Cloud Console.

    Accéder à l'API OS Config

  2. Si nécessaire, sélectionnez votre projet.

  3. Cliquez sur Désactiver l'API, puis sur Désactiver dans la boîte de dialogue.

Résultats de Web Security Scanner

Les analyses personnalisées et gérées de Web Security Scanner identifient les types de résultats suivants. Au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL et des adresses IP publiques qui ne sont pas protégées par un pare-feu.

Tableau 21. Résultats de Web Security Scanner
Catégorie Description du résultat OWASP 2017 Top 10 OWASP 2021 Top 10
Accessible Git repository

Nom de la catégorie dans l'API : ACCESSIBLE_GIT_REPOSITORY

Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT.

Niveau de tarification : Standard

Corriger ce résultat

A5 A01
Accessible SVN repository

Nom de la catégorie dans l'API : ACCESSIBLE_SVN_REPOSITORY

Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN.

Niveau de tarification : Standard

Corriger ce résultat

A5 A01
Cacheable password input

Nom de la catégorie dans l'API : CACHEABLE_PASSWORD_INPUT

Les mots de passe saisis dans l'application Web peuvent être mis en cache dans un cache de navigateur standard au lieu d'un espace de stockage sécurisé.

Niveau de tarification : Premium

Corriger ce résultat

A3 A04
Clear text password

Nom de la catégorie dans l'API : CLEAR_TEXT_PASSWORD

Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau.

Niveau de tarification : Standard

Corriger ce résultat

A3 A02
Insecure allow origin ends with validation

Nom de la catégorie dans l'API : INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour corriger ce résultat, vérifiez que le domaine racine attendu fait partie de la valeur d'en-tête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour les caractères génériques de sous-domaine, ajoutez le point au domaine racine, par exemple .endsWith(".google.com").

Niveau de tarification : Premium

Corriger ce résultat

A5 A01
Insecure allow origin starts with validation

Nom de la catégorie dans l'API : INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour corriger ce résultat, vérifiez que le domaine attendu correspond entièrement à la valeur de l'en-tête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin (par exemple, .equals(".google.com")).

Niveau de tarification : Premium

Corriger ce résultat

A5 A01
Invalid content type

Nom de la catégorie dans l'API : INVALID_CONTENT_TYPE

Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour corriger ce résultat, définissez l'en-tête HTTP X-Content-Type-Options sur la valeur correcte.

Niveau de tarification : Standard

Corriger ce résultat

A6 A05
Invalid header

Nom de la catégorie dans l'API : INVALID_HEADER

Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.

Niveau de tarification : Standard

Corriger ce résultat

A6 A05
Mismatching security header values

Nom de la catégorie dans l'API : MISMATCHING_SECURITY_HEADER_VALUES

Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.

Niveau de tarification : Standard

Corriger ce résultat

A6 A05
Misspelled security header name

Nom de la catégorie dans l'API : MISSPELLED_SECURITY_HEADER_NAME

Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP.

Niveau de tarification : Standard

Corriger ce résultat

A6 A05
Mixed content

Nom de la catégorie dans l'API : MIXED_CONTENT

Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS.

Niveau de tarification : Standard

Corriger ce résultat

A6 A05
Outdated library

Nom de la catégorie dans l'API : OUTDATED_LIBRARY

Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente.

Niveau de tarification : Standard

Corriger ce résultat

A9 A06
Server side request forgery

Nom de la catégorie dans l'API : SERVER_SIDE_REQUEST_FORGERY

Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utilisez une liste d'autorisation pour limiter les domaines et les adresses IP auxquels l'application Web peut envoyer des requêtes.

Niveau de tarification : Standard

Corriger ce résultat

Non applicable A10
Session ID leak

Nom de la catégorie dans l'API : SESSION_ID_LEAK

Lors d'une requête interdomaine, l'application Web inclut l'identifiant de session de l'utilisateur dans son en-tête de requête Referer. Cette faille donne au domaine destinataire la possibilité d'accéder à l'identifiant de session, qui peut servir à emprunter l'identité de l'utilisateur ou à l'identifier de manière unique.

Niveau de tarification : Premium

Corriger ce résultat

A2 A07
SQL injection

Nom de la catégorie dans l'API : SQL_INJECTION

Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce résultat, utilisez des requêtes paramétrées afin d'empêcher les entrées utilisateur d'affecter la structure de la requête SQL.

Niveau de tarification : Premium

Corriger ce résultat

A1 A03
Struts insecure deserialization

Nom de la catégorie dans l'API : STRUTS_INSECURE_DESERIALIZATION

L'utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version.

Niveau de tarification : Premium

Corriger ce résultat

A8 A08
XSS

Nom de la catégorie dans l'API : XSS

Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.

Niveau de tarification : Standard

Corriger ce résultat

A7 A03
XSS angular callback

Nom de la catégorie dans l'API : XSS_ANGULAR_CALLBACK

Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper.

Niveau de tarification : Standard

Corriger ce résultat

A7 A03
XSS error

Nom de la catégorie dans l'API : XSS_ERROR

Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.

Niveau de tarification : Standard

Corriger ce résultat

A7 A03
XXE reflected file leakage

Nom de la catégorie dans l'API : XXE_REFLECTED_FILE_LEAKAGE

Une faille XML External Entity (XXE) a été détectée. Elle peut entraîner la fuite d'un fichier sur l'hôte par l'application Web. Pour corriger ce résultat, configurez vos analyseurs XML de manière à interdire les entités externes.

Niveau de tarification : Premium

Corriger ce résultat

A4 A05

Benchmarks CIS

Le CIS (Center for Internet Security) inclut les benchmarks suivants qui ne sont actuellement pas compatibles avec Web Security Scanner ou avec les détecteurs de Security Health Analytics :

Table 22. Benchmarks CIS
Catégorie Description du résultat CIS GCP Foundation 1.0 NIST 800-53 ISO-27001
Basic authentication enabled

Nom de la catégorie dans l'API : BASIC_AUTHENTICATION_ENABLED

Vous devez activer l'authentification via le certificat client ou IAM sur les clusters Kubernetes. 7.10
Client cert authentication disabled

Nom de la catégorie dans l'API : CLIENT_CERT_AUTHENTICATION_DISABLED

Vous devez activer l'option "Certificat client" lors de la création des clusters Kubernetes. 7.12
Labels not used

Nom de la catégorie dans l'API : LABELS_NOT_USED

Des libellés peuvent être utilisés pour répartir les informations de facturation. 7.5
Public storage object

Nom de la catégorie dans l'API : PUBLIC_STORAGE_OBJECT

La LCA de stockage d'objet ne doit pas accorder l'accès à **allUsers**. 5,2
SQL broad root login

Nom de la catégorie dans l'API : SQL_BROAD_ROOT_LOGIN

L'accès root à une base de données SQL doit être limité aux adresses IP approuvées répertoriées 6,4

Étape suivante