Résultats concernant les failles

Les détecteurs de Security Health Analytics et de Web Security Scanner génèrent des résultats de failles disponibles dans Security Command Center. Votre capacité à afficher et à modifier les résultats est déterminée par les rôles et autorisations IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM dans Security Command Center, consultez la page Contrôle des accès.

Détecteurs et conformité

Cette section décrit la mise en correspondance entre les détecteurs compatibles et la meilleure mise en correspondance avec les normes de conformité pertinentes.

Benchmarks CIS

Security Command Center est compatible avec les versions suivantes des benchmarks CIS Google Cloud Platform Foundation :

Benchmark CIS Google Cloud Computing Foundations v1.2.0 (CIS Google Cloud Foundation 1.2)
Benchmark CIS Google Cloud Computing Foundations v1.1.0 (CIS Google Cloud Foundation 1.1)
Benchmark CIS Google Cloud Computing Foundations v1.0.0 (CIS Google Cloud Foundation 1.0)

Les mises en correspondance de CIS Google Cloud Foundation 1.2, 1.1 et 1.0 ont été examinées et certifiées par le Center for Internet Security pour s'assurer qu'elles sont conformes aux benchmarks CIS de Google Cloud Computing Foundations v1.2.0, v1.1.0 et v1.0.0.

Bien que les versions CIS 1.0 et CIS 1.1 soient toujours compatibles, elles seront abandonnées à terme. Nous vous recommandons d'utiliser le dernier benchmark CIS 1.2 ou de migrer vers celui-ci.

Certains détecteurs sont mappés au benchmark CIS Google Kubernetes Engine (GKE) v1.0.0 (CIS GKE 1.0). La compatibilité avec ce benchmark est limitée ; il ne doit pas être utilisé comme base pour les audits ou la conformité des rapports.

Normes supplémentaires

Des mises en correspondance de conformité supplémentaires sont incluses pour référence. Elles ne sont pas fournies ni examinées par la norme de sécurité des données de l'industrie des cartes de paiement ou la OWASP Foundation. Vous devez vous reporter à la norme de sécurité des données de l'industrie des cartes de paiement 3.2.1 (PCI-DSS v3.2.1), au Top 10 de la fondation OWASP, à la norme National Institute of Standards and Technology 800-53 (NIST 800-53), et à la norme Organisation internationale de normalisation 27001 (ISO 27001) afin de vérifier manuellement ces cas de non-respect.

Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.

Pour savoir comment afficher et exporter des rapports de conformité, consultez la section Conformité du tableau de bord Security Command Center.

Security Health Analytics

Les détecteurs de Security Health Analytics surveillent un sous-ensemble de ressources de l'inventaire des éléments cloud (CAI) et reçoivent des notifications concernant les modifications apportées aux règles de gestion des ressources et de gestion de l'authentification et des accès (IAM). Certains détecteurs récupèrent les données en appelant directement les API Google Cloud, comme indiqué dans les tableaux plus loin sur cette page.

Security Health Analytics s'exécute dans trois modes :

Analyse par lots : tous les détecteurs sont programmés pour s'exécuter pour toutes les organisations enregistrées, deux fois ou plus par jour. Les détecteurs s'exécutent selon un calendrier différent afin d'atteindre des objectifs de niveau de service (SLO) spécifiques. Pour respecter les SLO de 12 et 24 heures, les détecteurs exécutent des analyses par lot toutes les six heures ou toutes les douze heures, respectivement. Les modifications de ressources et de règles effectuées entre deux analyses par lot ne sont pas immédiatement capturées et sont appliquées à la prochaine analyse par lot. Remarque : les planifications d'analyse par lot sont des objectifs de performances et non des garanties de service.
Analyse en temps réel : Les détecteurs compatibles lancent des analyses chaque fois que l'outil CAI signale une modification dans la configuration d'un élément. Les résultats sont immédiatement écrits dans Security Command Center.
Mode mixte : certains détecteurs compatibles avec les analyses en temps réel peuvent ne pas détecter les modifications en temps réel dans tous les éléments compatibles. Dans ce cas, les modifications de configuration de certains éléments sont capturées immédiatement, tandis que d'autres sont capturées lors des analyses par lot. Les exceptions sont indiquées dans les tableaux de cette page.

Les tableaux suivants décrivent les détecteurs de Security Health Analytics, les éléments et les normes de conformité qu'ils acceptent, les paramètres qu'ils utilisent pour les analyses et les types de résultats qu'ils génèrent. Vous pouvez filtrer les résultats par nom et type de résultat de détecteur à l'aide de l'onglet Vulnerabilities (Vulnérabilités) de Security Command Center dans Google Cloud Console.

Pour obtenir des instructions sur la résolution des problèmes et la protection de vos ressources, consultez la page Corriger les résultats de Security Health Analytics.

Résultats de failles de clé API

Le détecteur API_KEY_SCANNER identifie les failles liées aux clés API utilisées dans votre déploiement cloud.

**Tableau 1.** Outil d'analyse de clés API
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`API key APIs unrestricted` Nom de la catégorie dans l'API : `API_KEY_APIS_UNRESTRICTED`	Description du résultat : Certaines clés API sont utilisées de manière trop large. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Récupère la propriété `restrictions` de toutes les clés API d'un projet, en vérifiant si l'une d'entre elles est définie sur `cloudapis.googleapis.com`. Analyses par lots : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 1.12 CIS GCP Foundation 1.1 : 1.14 CIS GCP Foundation 1.2 : 1.14
`API key apps unrestricted` Nom de la catégorie dans l'API : `API_KEY_APPS_UNRESTRICTED`	Description du résultat : certaines clés API sont utilisées de manière illimitée, ce qui permet leur utilisation par toute application non approuvée. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Récupère la propriété `restrictions` de toutes les clés API d'un projet, en vérifiant si `browserKeyRestrictions`, `serverKeyRestrictions`, `androidKeyRestrictions` ou `iosKeyRestrictions` est défini. Analyses par lots : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 1.11 CIS GCP Foundation 1.1 : 1.13 CIS GCP Foundation 1.2 : 1.13
`API key exists` Nom de la catégorie dans l'API : `API_KEY_EXISTS`	Description du résultat : un projet utilise des clés API au lieu de l'authentification standard. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Récupère toutes les clés API appartenant à un projet. Analyses par lots : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 1.10 CIS GCP Foundation 1.1 : 1.12 CIS GCP Foundation 1.2 : 1.12
`API key not rotated` Nom de la catégorie dans l'API : `API_KEY_NOT_ROTATED`	Description du résultat : La clé API n'a pas été alternée depuis plus de 90 jours. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Récupère l'horodatage contenu dans la propriété `createTime` de toutes les clés API, en vérifiant si 90 jours se sont écoulés. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 1.13 CIS GCP Foundation 1.1 : 1.15 CIS GCP Foundation 1.2 : 1.15

Résultats de failles d'images Compute

Le détecteur COMPUTE_IMAGE_SCANNER identifie les failles liées aux configurations d'image Google Cloud.

**Tableau 2.** Outil d'analyse d'images Compute
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Public Compute image` Nom de la catégorie dans l'API : `PUBLIC_COMPUTE_IMAGE`	Description du résultat : une image Compute Engine est accessible au public. Niveau de tarification : Premium ou Standard Éléments compatibles compute.googleapis.com/Image Corriger ce résultat	Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux `allUsers` ou `allAuthenticatedUsers`, qui accordent un accès public. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui

Résultats de failles d'instance Compute

Le détecteur COMPUTE_INSTANCE_SCANNER identifie les failles liées aux configurations d'instance Compute Engine.

Les détecteurs COMPUTE_INSTANCE_SCANNER ne signalent pas les résultats sur les instances Compute Engine créées par GKE. Les noms de ces instances commencent par "gke-", et les utilisateurs ne peuvent pas modifier cette convention. Pour sécuriser ces instances, reportez-vous à la section "Résultats de failles de conteneur".

**Tableau 3.** Analyseur d'instances Compute
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Confidential Computing disabled` Nom de la catégorie dans l'API : `CONFIDENTIAL_COMPUTING_DISABLED`	Description du résultat : l'informatique confidentielle est désactivée sur une instance Compute Engine. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `confidentialInstanceConfig` des métadonnées d'instance pour la paire clé/valeur `"enableConfidentialCompute":true`. Éléments exclus des analyses : instances GKE, accès au VPC sans serveur, instances Compute Engine de type N2D. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 4.11
`Compute project wide SSH keys allowed` Nom de la catégorie dans l'API : `COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Description du résultat : les clés SSH au niveau du projet sont utilisées. Elles permettent de se connecter à toutes les instances du projet. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Instance Corriger ce résultat	Vérifie l'objet `metadata.items[]` dans les métadonnées d'instance pour la paire clé-valeur `"key": "block-project-ssh-keys", "value": TRUE`. Éléments exclus des analyses : instances GKE, tâche Dataflow, instance Windows Autorisations IAM supplémentaires : `roles/compute.Viewer` Entrées supplémentaires : lit les métadonnées de Compute Engine. Analyses par lots : toutes les 12 heures Analyses en temps réel : Non	CIS GCP Foundation 1.0 : 4.2 CIS GCP Foundation 1.1 : 4.3 CIS GCP Foundation 1.2 : 4.3
`Compute Secure Boot disabled` Nom de la catégorie dans l'API : `COMPUTE_SECURE_BOOT_DISABLED`	Description du résultat : Le démarrage sécurisé n'est pas activé sur cette VM protégée. L'utilisation du démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Instance Corriger ce résultat	Il vérifie la propriété `shieldedInstanceConfig` sur les instances Compute Engine pour déterminer si `enableIntegrityMonitoring`, `enableSecureBoot` et `enableVtpm` sont tous définis sur `true`. Les champs indiquent si les disques associés sont compatibles avec le démarrage sécurisé et si la VM protégée est activée. Éléments exclus des analyses : instances GKE, disques Compute Engine disposant d'accélérateurs GPU mais n'utilisant pas Container-Optimized OS, accès au VPC sans serveur Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui
`Compute serial ports enabled` Nom de la catégorie dans l'API : `COMPUTE_SERIAL_PORTS_ENABLED`	Description du résultat : les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Instance Corriger ce résultat	Vérifie l'objet `metadata.items[]` dans les métadonnées d'instance pour la paire clé/valeur `"key": "serial-port-enable", "value": TRUE`. Éléments exclus des analyses : instances GKE Autorisations IAM supplémentaires : `roles/compute.Viewer` Entrées supplémentaires : lit les métadonnées de Compute Engine. Analyses par lots : toutes les 12 heures Analyses en temps réel : Non	CIS GCP Foundation 1.0 : 4.4 CIS GCP Foundation 1.1 : 4.5 CIS GCP Foundation 1.2 : 4.5
`Default service account used` Nom de la catégorie dans l'API : `DEFAULT_SERVICE_ACCOUNT_USED`	Description du résultat : une instance est configurée pour utiliser le compte de service par défaut. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `serviceAccounts` dans les métadonnées de l'instance pour rechercher les adresses e-mail du compte de service avec le préfixe `PROJECT_NUMBER-compute@developer.gserviceaccount.com`, qui indique le compte de service par défaut créé par Google. Éléments exclus des analyses : instances GKE, tâches Dataflow Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 4.1 CIS GCP Foundation 1.2 : 4.1
`Disk CMEK disabled` Nom de la catégorie dans l'API : `DISK_CMEK_DISABLED`	Description du résultat : les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Disk Corriger ce résultat	Vérifie le champ `kmsKeyName` dans l'objet `diskEncryptionKey`, dans les métadonnées du disque, pour le nom de ressource de votre CMEK. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui
`Disk CSEK disabled` Nom de la catégorie dans l'API : `DISK_CSEK_DISABLED`	Description du résultat : Les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Détecteur de cas particuliers. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Disk Corriger ce résultat	Vérifie le champ `kmsKeyName` dans l'objet `diskEncryptionKey` pour connaître le nom de ressource de votre CSEK. Éléments exclus des analyses : disques Compute Engine sans marque de sécurité enforce_customer_supplied_disk_encryption_keys définie sur `true`. Autorisations IAM supplémentaires : `roles/compute.Viewer` Entrées supplémentaires : lit les métadonnées depuis Compute Engine. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 4.6 CIS GCP Foundation 1.1 : 4.7 CIS GCP Foundation 1.2 : 4.7
`Full API access` Nom de la catégorie dans l'API : `FULL_API_ACCESS`	Description du résultat : une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Instance Corriger ce résultat	Récupère le champ `scopes` de la propriété `serviceAccounts` pour vérifier si un compte de service par défaut est utilisé et si le champ d'application `cloud-platform` lui est attribué. Éléments exclus des analyses : instances GKE, tâches Dataflow Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 4.1 CIS GCP Foundation 1.1 : 4.2 CIS GCP Foundation 1.2 : 4.2 PCI-DSS v3.2.1 : 7.1.2 NIST 800-53 : AC-6 ISO-27001 : A.9.2.3
`HTTP load balancer` Nom de la catégorie dans l'API : `HTTP_LOAD_BALANCER`	Description du résultat : une instance utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/TargetHttpProxy Corriger ce résultat	Détermine si la propriété `selfLink` de la ressource `targetHttpProxy` correspond à l'attribut `target` de la règle de transfert et si la règle de transfert contient un champ `loadBalancingScheme` défini sur `External`. Autorisations IAM supplémentaires : `roles/compute.Viewer` Entrées supplémentaires : lit les règles de transfert d'un proxy HTTP cible depuis Compute Engine, en recherchant les règles externes. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 2.3
`IP forwarding enabled` Nom de la catégorie dans l'API : `IP_FORWARDING_ENABLED`	Description du résultat : Le transfert IP est activé sur les instances. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `canIpForward` de l'instance est définie sur `true`. Éléments exclus des analyses : instances GKE, accès au VPC sans serveur Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 4.5 CIS GCP Foundation 1.1 : 4.6 CIS GCP Foundation 1.2 : 4.6
`OS login disabled` Nom de la catégorie dans l'API : `OS_LOGIN_DISABLED`	Description du résultat : OS Login est désactivé sur cette instance. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Project Corriger ce résultat	Vérifie l'objet `commonInstanceMetadata.items[]` dans les métadonnées du projet pour la paire clé/valeur, `"key"` : `"enable-oslogin"`, `"value"` : `TRUE`. Le détecteur vérifie également toutes les instances d'un projet Compute Engine pour déterminer si OS Login est désactivé pour des instances individuelles. Éléments exclus des analyses : instances GKE Autorisations IAM supplémentaires : `roles/compute.Viewer` Entrées supplémentaires : lit les métadonnées depuis Compute Engine. Le détecteur examine également les instances Compute Engine dans le projet. Analyses par lots : toutes les 12 heures Analyses en temps réel : Non	CIS GCP Foundation 1.0 : 4.3 CIS GCP Foundation 1.1 : 4.4 CIS GCP Foundation 1.2 : 4.4
`Public IP address` Nom de la catégorie dans l'API : `PUBLIC_IP_ADDRESS`	Description du résultat : une instance possède une adresse IP publique. Niveau de tarification : Premium ou Standard Éléments compatibles compute.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `networkInterfaces` contient un champ `accessConfigs`, ce qui indique qu'elle est configurée pour utiliser une adresse IP publique. Éléments exclus des analyses : instances GKE Analyses par lot : toutes les 6 heures Analyses en temps réel : Non	CIS GCP Foundation 1.1 : 4.9 CIS GCP Foundation 1.2 : 4.9 PCI-DSS v3.2.1 : 1.2.1, 1.3.5 NIST 800-53 : CA-3, SC-7
`Shielded VM disabled` Nom de la catégorie dans l'API : `SHIELDED_VM_DISABLED`	Description du résultat : La VM protégée est désactivée sur cette instance. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `shieldedInstanceConfig` dans les instances Compute Engine pour déterminer si les champs `enableIntegrityMonitoring`, `enableSecureBoot` et `enableVtpm` sont tous définis sur `true`. Les champs indiquent si les disques associés sont compatibles avec le démarrage sécurisé et si la VM protégée est activée. Éléments exclus des analyses : instances GKE, disques Compute Engine disposant d'accélérateurs GPU mais n'utilisant pas Container-Optimized OS, accès au VPC sans serveur Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 4.8 CIS GCP Foundation 1.2 : 4.8
`Weak SSL policy` Nom de la catégorie dans l'API : `WEAK_SSL_POLICY`	Description du résultat : une instance a une règle SSL faible. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/TargetHttpsProxy compute.googleapis.com/TargetSslProxy Corriger ce résultat	Vérifie si `sslPolicy` dans les métadonnées d'élément est vide et, pour la ressource `sslPolicies` associée, vérifie si `profile` est défini sur `Restricted` ou `Modern`, si `minTlsVersion` est défini sur `TLS 1.2` et si `customFeatures` est vide ou ne contient pas les algorithmes de chiffrement suivants :`TLS_RSA_WITH_AES_128_GCM_SHA256` ,`TLS_RSA_WITH_AES_256_GCM_SHA384` ,`TLS_RSA_WITH_AES_128_CBC_SHA` ,`TLS_RSA_WITH_AES_256_CBC_SHA` ,`TLS_RSA_WITH_3DES_EDE_CBC_SHA`. Autorisations IAM supplémentaires : `roles/compute.Viewer` Entrées supplémentaires : lit les règles SSL pour le stockage des proxys cibles et recherche les règles faibles. Analyses par lot : toutes les 6 heures Analyses en temps réel : oui, mais uniquement lorsque le TargetHttpsProxy du TargetSslProxy est mis à jour, et non lorsque la règle SSL est mise à jour.	CIS GCP Foundation 1.1 : 3.9 CIS GCP Foundation 1.2 : 3.9 PCI-DSS v3.2.1 : 4.1 NIST 800-53 : SC-7 ISO-27001 : A.14.1.3

Résultats de failles de conteneur

Ces types de résultats sont tous liés aux configurations de conteneurs GKE et appartiennent au type de détecteur CONTAINER_SCANNER.

**Tableau 4.** Outil d'analyse de conteneur
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Alpha cluster enabled` Nom de la catégorie dans l'API : `ALPHA_CLUSTER_ENABLED`	Description du résultat : les fonctionnalités du cluster alpha sont activées pour un cluster GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie si la propriété `enableKubernetesAlpha` d'un cluster est définie sur `true`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GKE 1.0 : 6.10.2
`Auto repair disabled` Nom de la catégorie dans l'API : `AUTO_REPAIR_DISABLED`	Description du résultat : la fonctionnalité de réparation automatique d'un cluster GKE, qui maintient les nœuds en bon état de fonctionnement, est désactivée. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `management` d'un pool de nœuds pour détecter la paire clé/valeur, `"key":`, `"autoRepair"`, `"value":` `true`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.7 CIS GKE 1.0 : 6.5.2 PCI-DSS v3.2.1 : 2.2
`Auto upgrade disabled` Nom de la catégorie dans l'API : `AUTO_UPGRADE_DISABLED`	Description du résultat : La fonctionnalité de mise à niveau automatique des clusters GKE, qui conserve les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `management` d'un pool de nœuds pour détecter la paire clé/valeur, `"key":`, `"autoUpgrade"`, `"value":` `true`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.8 CIS GKE 1.0 : 6.5.3 PCI-DSS v3.2.1 : 2.2
`Binary authorization disabled` Nom de la catégorie dans l'API : `BINARY_AUTHORIZATION_DISABLED`	Description du résultat : l'autorisation binaire est désactivée sur un cluster GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie si la propriété `binaryAuthorization` contient la paire clé-valeur `"enabled": true`, et si `defaultAdmissionRule` contient la paire clé-valeur `evaluationMode: ALWAYS_ALLOW`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GKE 1.0 : 6.10.5
`Cluster logging disabled` Nom de la catégorie dans l'API : `CLUSTER_LOGGING_DISABLED`	Description du résultat : La journalisation n'est pas activée pour un cluster GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie si la propriété `loggingService` d'un cluster contient l'emplacement que Cloud Logging doit utiliser pour écrire des journaux. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.7.1 PCI-DSS v3.2.1 : 10.2.2, 10.2.7
`Cluster monitoring disabled` Nom de la catégorie dans l'API : `CLUSTER_MONITORING_DISABLED`	Description du résultat : Monitoring est désactivé sur les clusters GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie si la propriété `monitoringService` d'un cluster contient l'emplacement que Cloud Monitoring doit utiliser pour écrire des métriques. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.2 CIS GKE 1.0 : 6.7.1 PCI-DSS v3.2.1 : 10.1, 10.2
`Cluster private Google access disabled` Nom de la catégorie dans l'API : `CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Description du résultat : les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées pour accéder aux API Google. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie si la propriété `privateIpGoogleAccess` d'un sous-réseau est définie sur `false`. Entrées supplémentaires : lit les sous-réseaux à partir de l'espace de stockage et ne renvoie des résultats que pour les clusters avec sous-réseaux. Analyses par lot : toutes les 6 heures Analyses en temps réel : oui, mais uniquement si le cluster est mis à jour et pas pour les mises à jour du sous-réseau.	CIS GCP Foundation 1.0 : 7.1 PCI-DSS v3.2.1 : 1.3
`Cluster secrets encryption disabled` Nom de la catégorie dans l'API : `CLUSTER_SECRETS_ENCRYPTION_DISABLED`	Description du résultat : le chiffrement des secrets au niveau de la couche d'application est désactivé sur un cluster GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `keyName` de l'objet `databaseEncryption` pour la paire clé-valeur `"state": ENCRYPTED`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GKE 1.0 : 6.3.1
`Cluster shielded nodes disabled` Nom de la catégorie dans l'API : `CLUSTER_SHIELDED_NODES_DISABLED`	Description du résultat : les nœuds GKE protégés ne sont pas activés pour un cluster. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `shieldedNodes` pour la paire clé-valeur `"enabled": true`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GKE 1.0 : 6.5.5
`COS not used` Nom de la catégorie dans l'API : `COS_NOT_USED`	Description du résultat : Les VM Compute Engine n'utilisent pas la version de Container-Optimized OS conçue pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `config` d'un pool de nœuds pour détecter la paire clé/valeur, `"imageType":` `"COS"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.9 CIS GKE 1.0 : 6.5.1 PCI-DSS v3.2.1 : 2.2
`Integrity monitoring disabled` Nom de la catégorie dans l'API : `INTEGRITY_MONITORING_DISABLED`	Description du résultat : la surveillance de l'intégrité est désactivée pour un cluster GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `shieldedInstanceConfig` de l'objet `nodeConfig` pour la paire clé-valeur `"enableIntegrityMonitoring": true`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GKE 1.0 : 6.5.6
`Intranode visibility disabled` Nom de la catégorie dans l'API : `INTRANODE_VISIBILITY_DISABLED`	Description du résultat : la visibilité intranœud est désactivée pour un cluster GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `networkConfig` pour la paire clé-valeur `"enableIntraNodeVisibility": true`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GKE 1.0 : 6.6.1
`IP alias disabled` Nom de la catégorie dans l'API : `IP_ALIAS_DISABLED`	Description du résultat : un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie si le champ `useIPAliases` de `ipAllocationPolicy` dans un cluster est défini sur `false`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.6.2 PCI-DSS v3.2.1 : 1.3.4, 1.3.7
`Legacy authorization enabled` Nom de la catégorie dans l'API : `LEGACY_AUTHORIZATION_ENABLED`	Description du résultat : l'ancienne autorisation est activée sur les clusters GKE. Niveau de tarification : Premium ou Standard Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `legacyAbac` d'un pool de nœuds pour détecter la paire clé/valeur, `"enabled"` : `true`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.3 CIS GKE 1.0 : 6.8.3 PCI-DSS v3.2.1 : 4.1
`Legacy metadata enabled` Nom de la catégorie dans l'API : `LEGACY_METADATA_ENABLED`	Description du résultat Les anciennes métadonnées sont activées sur les clusters GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `config` d'un pool de nœuds pour détecter la paire clé/valeur, `"disable-legacy-endpoints"` : `"false"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GKE 1.0 : 6.4.1
`Master authorized networks disabled` Nom de la catégorie dans l'API : `MASTER_AUTHORIZED_NETWORKS_DISABLED`	Description du résultat : Les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `masterAuthorizedNetworksConfig` d'un pool de nœuds pour détecter la paire clé/valeur, `"enabled"` : `false`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.4 CIS GKE 1.0 : 6.6.3 PCI-DSS v3.2.1 : 1.2.1, 1.3.2
`Network policy disabled` Nom de la catégorie dans l'API : `NETWORK_POLICY_DISABLED`	Description du résultat : La règle de réseau est désactivée sur les clusters GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie le champ `networkPolicy` de la propriété `addonsConfig` pour détecter la paire clé/valeur `"disabled"` : `true`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.6.7 PCI-DSS v3.2.1 : 1.3 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Nodepool boot CMEK disabled` Nom de la catégorie dans l'API : `NODEPOOL_BOOT_CMEK_DISABLED`	Description du résultat : Les disques de démarrage de ce pool de nœuds ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `bootDiskKmsKey` des pools de nœuds pour identifier le nom de ressource de votre CMEK. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui
`Nodepool secure boot disabled` Nom de la catégorie dans l'API : `NODEPOOL_SECURE_BOOT_DISABLED`	Description du résultat : le démarrage sécurisé est désactivé pour un cluster GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `shieldedInstanceConfig` de l'objet `nodeConfig` pour la paire clé-valeur `"enableSecureBoot": true`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GKE 1.0 : 6.5.7
`Over privileged account` Nom de la catégorie dans l'API : `OVER_PRIVILEGED_ACCOUNT`	Description du résultat : Un compte de service bénéficie d'un accès aux projets trop étendu dans un cluster. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Évalue la propriété `config` d'un pool de nœuds pour vérifier si aucun compte de service n'est spécifié ou si le compte de service par défaut est utilisé. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.2.1 PCI-DSS v3.2.1 : 2.1, 7.1.2 NIST 800-53 : AC-6, SC-7 ISO-27001 : A.9.2.3
`Over privileged scopes` Nom de la catégorie dans l'API : `OVER_PRIVILEGED_SCOPES`	Description du résultat : un compte de service de nœud possède des champs d'application d'accès étendus. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie si le niveau d'accès répertorié dans la propriété `config.oauthScopes` d'un pool de nœuds est un niveau d'accès limité au compte de service : `https://www.googleapis.com/auth/devstorage.read_only`, `https://www.googleapis.com/auth/logging.write`, ou `https://www.googleapis.com/auth/monitoring`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.2.1
`Pod security policy disabled` Nom de la catégorie dans l'API : `POD_SECURITY_POLICY_DISABLED`	Description du résultat : PodSecurityPolicy est désactivé sur un cluster GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `podSecurityPolicyConfig` d'un cluster pour détecter la paire clé-valeur `"enabled"` : `false`. Autorisations IAM supplémentaires : `roles/container.clusterViewer` Entrées supplémentaires : lit les informations de cluster à partir de GKE car les règles de sécurité des pods sont une fonctionnalité bêta. PodSecurityPolicy de Kubernetes est officiellement obsolète dans la version 1.21. PodSecurityPolicy sera arrêté dans la version 1.25. Pour en savoir plus sur les alternatives, consultez la page Obsolescence de PodSecurityPolicy. Analyses par lots : toutes les 12 heures Analyses en temps réel : Non	CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.10.3
`Private cluster disabled` Nom de la catégorie dans l'API : `PRIVATE_CLUSTER_DISABLED`	Description du résultat : Un cluster GKE possède un cluster privé désactivé. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie si le champ `enablePrivateNodes` de la propriété `privateClusterConfig` est défini sur `false`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.1 CIS GKE 1.0 : 6.6.5 PCI-DSS v3.2.1 : 1.3.2
`Release channel disabled` Nom de la catégorie dans l'API : `RELEASE_CHANNEL_DISABLED`	Description du résultat : un cluster GKE n'est pas abonné à un canal de publication. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie la propriété `releaseChannel` pour la paire clé-valeur `"channel": UNSPECIFIED`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GKE 1.0 : 6.5.4
`Web UI enabled` Nom de la catégorie dans l'API : `WEB_UI_ENABLED`	Description du résultat : L'UI Web (tableau de bord) de GKE est activée. Niveau de tarification : Premium ou Standard Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie le champ `kubernetesDashboard` de la propriété `addonsConfig` pour détecter la paire clé/valeur `"disabled": false`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 7.6 CIS GKE 1.0 : 6.10.1 PCI-DSS v3.2.1 : 6.6
`Workload Identity disabled` Nom de la catégorie dans l'API : `WORKLOAD_IDENTITY_DISABLED`	Description du résultat : Workload Identity est désactivé sur un cluster GKE. Niveau de tarification : Premium Éléments compatibles container.googleapis.com/Cluster Corriger ce résultat	Vérifie si la propriété `workloadIdentityConfig` d'un cluster est définie. Le détecteur vérifie également si la propriété `workloadMetadataConfig` d'un pool de nœuds est définie sur `GKE_METADATA`. Autorisations IAM supplémentaires : `roles/container.clusterViewer` Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GKE 1.0 : 6.2.2

Résultats de failles Dataproc

Les failles de ce type de détecteur sont toutes liées à Dataproc et appartiennent au type de détecteur DATAPROC_SCANNER.

**Tableau 5.** Outil d'analyse Dataproc
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Dataproc image outdated` Nom de la catégorie dans l'API : `DATAPROC_IMAGE_OUTDATED`	Description du résultat : Un cluster Dataproc a été créé avec une version d'image Dataproc affectée par les failles de sécurité dans l'utilitaire Apache Log4j 2 (CVE-2021-44228). et CVE-2021-45046. Niveau de tarification : Premium ou Standard Éléments compatibles dataproc.googleapis.com/Cluster Corriger ce résultat	Vérifie si le champ `softwareConfig.imageVersion` de la propriété `config` d'un objet `Cluster` est antérieur à la version 1.3.95. ou est une version de correction des images antérieure à 1.4.77, 1.5.53 ou 2.0.27. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui

Résultats de failles d'ensemble de données

Les failles de ce type de détecteur sont toutes liées aux configurations de l'ensemble de données BigQuery et appartiennent au type de détecteur DATASET_SCANNER.

**Tableau 6.** Outil d'analyse d'ensemble de données
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`BigQuery table CMEK disabled` Nom de la catégorie dans l'API : `BIGQUERY_TABLE_CMEK_DISABLED`	Description du résultat : une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium Éléments compatibles bigquery.googleapis.com/Table Corriger ce résultat	Vérifie si le champ `kmsKeyName` de la propriété `encryptionConfiguration` est vide. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 7.2
`Dataset CMEK disabled` Nom de la catégorie dans l'API : `DATASET_CMEK_DISABLED`	Description du résultat : un ensemble de données BigQuery n'est pas configuré pour utiliser une clé CMEK par défaut. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium Éléments compatibles bigquery.googleapis.com/Dataset Corriger ce résultat	Vérifie si le champ `kmsKeyName` de la propriété `defaultEncryptionConfiguration` est vide. Analyses par lot : toutes les 6 heures Analyses en temps réel : Non
`Public dataset` Nom de la catégorie dans l'API : `PUBLIC_DATASET`	Description du résultat : Un ensemble de données est configuré pour être accessible au public. Niveau de tarification : Premium ou Standard Éléments compatibles bigquery.googleapis.com/Dataset Corriger ce résultat	Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux `allUsers` ou `allAuthenticatedUsers`, qui accordent un accès public. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 7.1 CIS GCP Foundation 1.2 : 7.1 PCI-DSS v3.2.1 : 7.1 NIST 800-53 : AC-2 ISO-27001 : A.8.2.3, A.14.1.3

Résultats de failles DNS

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud DNS et appartiennent au type de détecteur DNS_SCANNER.

**Tableau 7.** Outil d'analyse DNS
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`DNSSEC disabled` Nom de la catégorie dans l'API : `DNSSEC_DISABLED`	Description du résultat : DNSSEC est désactivé pour les zones Cloud DNS. Niveau de tarification : Premium Éléments compatibles dns.googleapis.com/ManagedZone Corriger ce résultat	Vérifie si le champ `state` de la propriété `dnssecConfig` est défini sur `off`. Éléments exclus des analyses : zones Cloud DNS qui ne sont pas publiques Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 3.3 CIS GCP Foundation 1.1 : 3.3 CIS GCP Foundation 1.2 : 3.3 ISO-27001 : A.8.2.3
`RSASHA1 for signing` Nom de la catégorie dans l'API : `RSASHA1_FOR_SIGNING`	Description du résultat : RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS. Niveau de tarification : Premium Éléments compatibles dns.googleapis.com/ManagedZone Corriger ce résultat	Vérifie si l'objet `defaultKeySpecs.algorithm` de la propriété `dnssecConfig` est défini sur `rsasha1`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 3.4, 3.5 CIS GCP Foundation 1.1 : 3.4, 3.5 CIS GCP Foundation 1.2 : 3.4, 3.5

Résultats de failles de pare-feu

Les failles de ce type de détecteur sont toutes liées aux configurations de pare-feu et appartiennent au type de détecteur FIREWALL_SCANNER.

**Tableau 8.** Outil d'analyse de pare-feu
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Egress deny rule not set` Nom de la catégorie dans l'API : `EGRESS_DENY_RULE_NOT_SET`	Description du résultat : Une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Vous devez définir des règles de refus du trafic sortant pour bloquer le trafic sortant indésirable. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie si la propriété `destinationRanges` du pare-feu est définie sur `0.0.0.0/0` et si la propriété `denied` contient la paire clé/valeur `"IPProtocol"` : `"all"`. Entrées supplémentaires : lit les pare-feu de sortie pour un projet à partir de l'espace de stockage. Analyses par lot : toutes les 6 heures Analyses en temps réel : oui, mais uniquement lors des modifications de projet et pas lors des modifications de règles de pare-feu.	PCI-DSS v3.2.1 : 7.2
`Firewall rule logging disabled` Nom de la catégorie dans l'API : `FIREWALL_RULE_LOGGING_DISABLED`	Description du résultat : la journalisation des règles de pare-feu est désactivée. Activez la journalisation des règles de pare-feu pour pouvoir auditer les accès au réseau. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie la propriété `logConfig` dans les métadonnées de pare-feu pour voir si elle est vide ou si elle contient la paire clé/valeur `"enable"` : `false`. Éléments exclus des analyses : instances GKE, règles de pare-feu créées par GKE, accès au VPC sans serveur Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 10.1, 10.2 NIST 800-53 : SI-4 ISO-27001 : A.13.1.1
`Open Cassandra port` Nom de la catégorie dans l'API : `OPEN_CASSANDRA_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port CASSANDRA ouvert qui autorise un accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Il vérifie la propriété `allowed` dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : `TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open ciscosecure websm port` Nom de la catégorie dans l'API : `OPEN_CISCOSECURE_WEBSM_PORT`	Description du résultat : un pare-feu est configuré de manière à disposer d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique. Niveau de tarification : Premium ou Standard Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Il vérifie la propriété `allowed` dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : `TCP:9090`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open directory services port` Nom de la catégorie dans l'API : `OPEN_DIRECTORY_SERVICES_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port ouvert DIRECTORY_SERVICES permettant un accès générique. Niveau de tarification : Premium ou Standard Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Il vérifie la propriété `allowed` dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : `TCP:445` et `UDP:445`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open DNS port` Nom de la catégorie dans l'API : `OPEN_DNS_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port DNS ouvert autorisant les accès génériques. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Il vérifie la propriété `allowed` dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : `TCP:53` et `UDP:53`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open elasticsearch port` Nom de la catégorie dans l'API : `OPEN_ELASTICSEARCH_PORT`	Description du résultat : un pare-feu est configuré de manière à disposer d'un port ELASTICSEARCH ouvert qui autorise l'accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Il vérifie la propriété `allowed` dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : `TCP:9200, 9300`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open firewall` Nom de la catégorie dans l'API : `OPEN_FIREWALL`	Description du résultat : un pare-feu est configuré pour être accessible au public. Niveau de tarification : Premium ou Standard Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie les propriétés `sourceRanges` et `allowed` de l'une des deux configurations : La propriété `sourceRanges` contient `0.0.0.0/0` et la propriété `allowed` contient une combinaison de règles incluant tous les éléments `protocol` ou `protocol:port`, à l'exception des suivants : icmp tcp:22 tcp:443 tcp:3389 udp:3389 sctp:22 La propriété `sourceRanges` contient une combinaison de plages d'adresses IP qui inclut toutes les adresses IP non privées, et la propriété `allowed` contient une combinaison de règles qui autorisent tous les ports TCP ou UDP. Éléments exclus des analyses : règles de pare-feu créées par GKE Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1
`Open FTP port` Nom de la catégorie dans l'API : `OPEN_FTP_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port FTP ouvert autorisant l'accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Il vérifie la propriété `allowed` dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : `TCP:21`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open HTTP port` Nom de la catégorie dans l'API : `OPEN_HTTP_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port HTTP ouvert qui autorise l'accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Il vérifie la propriété `allowed` dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : `TCP:80`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open LDAP port` Nom de la catégorie dans l'API : `OPEN_LDAP_PORT`	Description du résultat : un pare-feu est configuré de manière à disposer d'un port LDAP ouvert qui autorise l'accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie la propriété `allowed` dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : `TCP:389, 636` et `UDP:389`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open Memcached port` Nom de la catégorie dans l'API : `OPEN_MEMCACHED_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port MEMCACHED ouvert qui autorise un accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie la propriété `allowed` dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : `TCP:11211, 11214-11215` et `UDP:11211, 11214-11215`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open MongoDB port` Nom de la catégorie dans l'API : `OPEN_MONGODB_PORT`	Description du résultat : un pare-feu est configuré de manière à disposer d'un port MONGODB ouvert qui autorise l'accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Il vérifie la propriété `allowed` dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : `TCP:27017-27019`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open MySQL port` Nom de la catégorie dans l'API : `OPEN_MYSQL_PORT`	Description du résultat : un pare-feu est configuré de manière à disposer d'un port MYSQL ouvert qui autorise l'accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Il vérifie la propriété `allowed` dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : `TCP:3306`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open NetBIOS port` Nom de la catégorie dans l'API : `OPEN_NETBIOS_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port NETBIOS ouvert autorisant un accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie la propriété `allowed` dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : `TCP:137-139` et `UDP:137-139`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open OracleDB port` Nom de la catégorie dans l'API : `OPEN_ORACLEDB_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port ORACLEDB ouvert qui autorise un accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie la propriété `allowed` dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : `TCP:1521, 2483-2484` et `UDP:2483-2484`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open pop3 port` Nom de la catégorie dans l'API : `OPEN_POP3_PORT`	Description du résultat : un pare-feu est configuré de manière à disposer d'un port POP3 ouvert qui autorise l'accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Il vérifie la propriété `allowed` dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : `TCP:110`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open PostgreSQL port` Nom de la catégorie dans l'API : `OPEN_POSTGRESQL_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port PostgreSQL ouvert qui autorise l'accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie la propriété `allowed` dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : `TCP:5432` et `UDP:5432`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open RDP port` Nom de la catégorie dans l'API : `OPEN_RDP_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port RDP ouvert autorisant l'accès générique. Niveau de tarification : Premium ou Standard Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie la propriété `allowed` dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : `TCP:3389` et `UDP:3389`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 3.7 CIS GCP Foundation 1.1 : 3.7 CIS GCP Foundation 1.2 : 3.7 PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open Redis port` Nom de la catégorie dans l'API : `OPEN_REDIS_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port REDIS ouvert autorisant l'accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie si la propriété `allowed` dans les métadonnées de pare-feu contient le protocole et le port suivants : `TCP:6379`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open SMTP port` Nom de la catégorie dans l'API : `OPEN_SMTP_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port SMTP ouvert autorisant l'accès générique. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie si la propriété `allowed` dans les métadonnées de pare-feu contient le protocole et le port suivants : `TCP:25`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open SSH port` Nom de la catégorie dans l'API : `OPEN_SSH_PORT`	Description du résultat : un pare-feu est configuré pour disposer d'un port SSH ouvert permettant un accès générique. Niveau de tarification : Premium ou Standard Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie si la propriété `allowed` dans les métadonnées de pare-feu contient les protocoles et ports suivants : `TCP:22` et `SCTP:22`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 3.6 CIS GCP Foundation 1.1 : 3.6 CIS GCP Foundation 1.2 : 3.6 PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1
`Open Telnet port` Nom de la catégorie dans l'API : `OPEN_TELNET_PORT`	Description du résultat : un pare-feu est configuré de manière à disposer d'un port TELNET ouvert qui autorise l'accès générique. Niveau de tarification : Premium ou Standard Éléments compatibles compute.googleapis.com/Firewall Corriger ce résultat	Vérifie si la propriété `allowed` dans les métadonnées de pare-feu contient le protocole et le port suivants : `TCP:23`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : SC-7 ISO-27001 : A.13.1.1

Résultats de failles IAM

Les failles de ce type de détecteur sont toutes liées à la configuration de la gestion de l'authentification et des accès (IAM) et appartiennent au type de détecteur IAM_SCANNER.

**Tableau 9.** Outil d'analyse IAM
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Admin service account` Nom de la catégorie dans l'API : `ADMIN_SERVICE_ACCOUNT`	Description du résultat : un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource de tous les comptes de service créés par l'utilisateur (indiqués par le préfixe *iam.gserviceaccount.com) qui se voient attribuer `roles/Owner` ou `roles/Editor`, ou un ID de rôle contenant `admin`. Éléments exclus des analyses* : compte de service Container Registry (*containerregistry.iam.gserviceaccount.com) et compte de service Security Command Center (security-center-api.iam.gserviceaccount.com) Analyses par lot* : toutes les 6 heures Analyses en temps réel : oui, sauf si la mise à jour IAM est effectuée sur un dossier.	CIS GCP Foundation 1.0 : 1.4 CIS GCP Foundation 1.1 : 1.5 CIS GCP Foundation 1.2 : 1.5
`KMS role separation` Nom de la catégorie dans l'API : `KMS_ROLE_SEPARATION`	Description du résultat : la séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service (Cloud KMS) : Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie les stratégies d'autorisation IAM dans les métadonnées de ressource et récupère les comptes principaux attribués à l'un des rôles suivants en même temps : `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter`, `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer`, `roles/cloudkms.signerVerifier`, `roles/cloudkms.publicKeyViewer`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 1.9 CIS GCP Foundation 1.1 : 1.11 NIST 800-53 : AC-5 ISO-27001 : A.9.2.3, A.10.1.2
`Non org IAM member` Nom de la catégorie dans l'API : `NON_ORG_IAM_MEMBER`	Description du résultat : un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS GCP Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent actuellement ce détecteur. Niveau de tarification : Premium ou Standard Éléments compatibles cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Compare les adresses e-mail @gmail.com dans le champ `user` des métadonnées d'une stratégie d'autorisation IAM à une liste d'identités approuvées pour votre organisation. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 1.1 CIS GCP Foundation 1.1 : 1.1 CIS GCP Foundation 1.2 : 1.1 PCI-DSS v3.2.1 : 7.1.2 NIST 800-53 : AC-3 ISO-27001 : A.9.2.3
`Open group IAM member` Nom de la catégorie dans l'API : `OPEN_GROUP_IAM_MEMBER`	Description du résultat : Un compte Google Groupes pouvant être associé sans approbation est utilisé comme compte principal de stratégie d'autorisation IAM. Niveau de tarification : Premium ou Standard Éléments compatibles cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie la stratégie IAM dans les métadonnées de ressource pour toutes les liaisons contenant un membre (entité principale) préfixé par `group`. Si le groupe est un groupe ouvert, Security Health Analytics génère ce résultat. Entrées supplémentaires : lit les métadonnées Google Groupes pour vérifier si le groupe identifié est un groupe ouvert. Analyses par lot : toutes les 6 heures Analyses en temps réel : Non
`Over privileged service account user` Nom de la catégorie dans l'API : `OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Description du résultat : un utilisateur possède le rôle Utilisateur du compte de service ou Créateur de jetons du compte de service au niveau du projet, plutôt que pour un compte de service spécifique. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels `roles/iam.serviceAccountUser` ou `roles/iam.serviceAccountTokenCreator` est attribué au niveau du projet. Éléments exclus des analyses : comptes de service Cloud Build. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 1.5 CIS GCP Foundation 1.1 : 1.6 CIS GCP Foundation 1.2 : 1.6 PCI-DSS v3.2.1 : 7.1.2 NIST 800-53 : AC-6 ISO-27001 : A.9.2.3
`Primitive roles used` Nom de la catégorie dans l'API : `PRIMITIVE_ROLES_USED`	Description du résultat : un utilisateur possède le rôle de base Propriétaire, Rédacteur ou Lecteur. Ces rôles sont trop permissifs et ne doivent pas être utilisés. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels `roles/Owner`, `roles/Writer` ou `roles/Reader` est affecté. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 7.1.2 NIST 800-53 : AC-6 ISO-27001 : A.9.2.3
`Redis role used on org` Nom de la catégorie dans l'API : `REDIS_ROLE_USED_ON_ORG`	Description du résultat : un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Organisation Corriger ce résultat	Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour les comptes principaux auxquels `roles/redis.admin`, `roles/redis.editor`, `roles/redis.viewer` est affecté au niveau de l'organisation ou du dossier. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 7.1.2 ISO-27001 : A.9.2.3
`Service account role separation` Nom de la catégorie dans l'API : `SERVICE_ACCOUNT_ROLE_SEPARATION`	Description du résultat : les rôles Administrateur de compte de service et Utilisateur du compte de service ont été attribués à un utilisateur. Cela enfreint le principe de "séparation des tâches". Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Il vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels `roles/iam.serviceAccountUser` et `roles/iam.serviceAccountAdmin` sont affectés simultanément. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 1.7 CIS GCP Foundation 1.1 : 1.8 CIS GCP Foundation 1.2 : 1.8 NIST 800-53 : AC-5 ISO-27001 : A.9.2.3
`Service account key not rotated` Nom de la catégorie dans l'API : `SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Description du résultat : une clé de compte de service n'a pas été alternée depuis plus de 90 jours. Niveau de tarification : Premium Éléments compatibles iam.googleapis.com/ServiceAccountKey Corriger ce résultat	Évalue l'horodatage de la création de clé capturé dans la propriété `validAfterTime` des métadonnées de clé des comptes de service. Éléments exclus des analyses : clés de compte de service expirées et clés non gérées par les utilisateurs Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 1.6	CIS GCP Foundation 1.1 : 1.7	CIS GCP Foundation 1.2 : 1.7
`User managed service account key` Nom de la catégorie dans l'API : `USER_MANAGED_SERVICE_ACCOUNT_KEY`	Description du résultat : un utilisateur gère une clé de compte de service. Niveau de tarification : Premium Éléments compatibles iam.googleapis.com/ServiceAccountKey Corriger ce résultat	Vérifie si la propriété `keyType` dans les métadonnées de clé de compte de service est définie sur `User_Managed`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 1.3	CIS GCP Foundation 1.1 : 1.4	CIS GCP Foundation 1.2 : 1.4

Résultats de failles KMS

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud KMS et appartiennent au type de détecteur KMS_SCANNER.

**Tableau 10.** Outil d'analyse KMS
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`KMS key not rotated` Nom de la catégorie dans l'API : `KMS_KEY_NOT_ROTATED`	Description du résultat : la rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. Alternez les clés de chiffrement tous les 90 jours. Niveau de tarification : Premium Éléments compatibles cloudkms.googleapis.com/CryptoKey Corriger ce résultat	Vérifie l'existence de propriétés `rotationPeriod` ou `nextRotationTime` dans les métadonnées de ressources. Éléments exclus des analyses : clés asymétriques et clés dont les versions principales sont désactivées ou détruites Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 1.8 CIS GCP Foundation 1.1 : 1.10 CIS GCP Foundation 1.2 : 1.10 PCI-DSS v3.2.1 : 3.5 NIST 800-53 : SC-12 ISO-27001 : A.10.1.2
`KMS project has owner` Nom de la catégorie dans l'API : `KMS_PROJECT_HAS_OWNER`	Description du résultat : un utilisateur dispose des autorisations Propriétaire sur un projet disposant de clés cryptographiques. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie la stratégie d'autorisation IAM dans les métadonnées du projet pour les comptes principaux attribués à `roles/Owner`. Entrées supplémentaires : lit les clés cryptographiques d'un projet à partir de l'espace de stockage et ne consigne que les résultats des projets comportant des clés cryptographiques. Analyses par lot : toutes les 6 heures Analyses en temps réel : oui, mais uniquement sur les modifications apportées aux stratégies d'autorisation IAM et pas sur les modifications apportées aux clés KMS	CIS GCP Foundation 1.1 : 1.11 CIS GCP Foundation 1.2 : 1.11 PCI-DSS v3.2.1 : 3.5 NIST 800-53 : AC-6, SC-12 ISO-27001 : A.9.2.3, A.10.1.2
`KMS public key` Nom de la catégorie dans l'API : `KMS_PUBLIC_KEY`	Description du résultat : une clé cryptographique Cloud KMS est accessible au public. Niveau de tarification : Premium Éléments compatibles cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing Corriger ce résultat	Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux `allUsers` ou `allAuthenticatedUsers`, qui accordent un accès public. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 1.9 CIS GCP Foundation 1.2 : 1.9
`Too many KMS users` Nom de la catégorie dans l'API : `TOO_MANY_KMS_USERS`	Description du résultat : il existe plus de trois utilisateurs de clés cryptographiques. Niveau de tarification : Premium Éléments compatibles cloudkms.googleapis.com/CryptoKey Corriger ce résultat	Vérifie les stratégies d'autorisation IAM pour les trousseaux, les projets et les organisations, et récupère les comptes principaux dotés de rôles permettant de chiffrer, déchiffrer ou signer les données à l'aide de clés Cloud KMS: `roles/owner`, `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter`, `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer` et `roles/cloudkms.signerVerifier`. Entrées supplémentaires : lit les versions d'une clé cryptographique à partir de l'espace de stockage et ne consigne les résultats que pour les clés ayant des versions actives. Le détecteur lit également les stratégies d'autorisation IAM du trousseau de clés, du projet et de l'organisation à partir de l'espace de stockage. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	PCI-DSS v3.2.1 : 3.5.2 ISO-27001 : A.9.2.3

Résultats de failles de journalisation

Les failles de ce type de détecteur sont toutes liées aux configurations de journalisation et appartiennent au type de détecteur LOGGING_SCANNER.

**Tableau 11.** Outil d'analyse de journalisation
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Audit logging disabled` Nom de la catégorie dans l'API : `AUDIT_LOGGING_DISABLED`	Description du résultat : la journalisation d'audit a été désactivée pour cette ressource. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie l'existence d'un objet `auditLogConfigs` dans la stratégie d'autorisation IAM des métadonnées de ressource. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 2.1 CIS GCP Foundation 1.1 : 2.1 CIS GCP Foundation 1.2 : 2.1 PCI-DSS v3.2.1 : 10.1, 10.2 NIST 800-53 : AC-2, AU-2 ISO-27001 : A.12.4.1, A.16.1.7
`Bucket logging disabled` Nom de la catégorie dans l'API : `BUCKET_LOGGING_DISABLED`	Description du résultat : il existe un bucket de stockage sans la journalisation activée. Niveau de tarification : Premium Éléments compatibles storage.googleapis.com/Bucket Corriger ce résultat	Vérifie si le champ `logBucket` de la propriété `logging` du bucket est vide. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 5.3
`Locked retention policy not set` Nom de la catégorie dans l'API : `LOCKED_RETENTION_POLICY_NOT_SET`	Description du résultat : une règle de conservation verrouillée n'est pas configurée pour les journaux. Niveau de tarification : Premium Éléments compatibles storage.googleapis.com/Bucket Corriger ce résultat	Vérifie si le champ `isLocked` de la propriété `retentionPolicy` du bucket est défini sur `true`. Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 2.3 CIS GCP Foundation 1.2 : 2.3 PCI-DSS v3.2.1 : 10.5 NIST 800-53 : AU-11 ISO-27001 : A.12.4.2, A.18.1.3
`Log not exported` Nom de la catégorie dans l'API : `LOG_NOT_EXPORTED`	Description du résultat : une ressource n'a pas de récepteur de journaux approprié configuré. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Récupère un objet `logSink` dans un projet en vérifiant que le champ `includeChildren` est défini sur `true`, que le champ `destination` inclut l'emplacement dans lequel écrire les journaux et que le champ `filter` est renseigné. Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui, mais uniquement lors des modifications de projet et non si l'exportation des journaux est configurée sur un dossier ou une organisation	CIS GCP Foundation 1.0 : 2.2 CIS GCP Foundation 1.1 : 2.2 CIS GCP Foundation 1.2 : 2.2 ISO-27001 : A.18.1.3
`Object versioning disabled` Nom de la catégorie dans l'API : `OBJECT_VERSIONING_DISABLED`	Description du résultat : la gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés. Niveau de tarification : Premium Éléments compatibles storage.googleapis.com/Bucket Corriger ce résultat	Vérifie si le champ `enabled` de la propriété `versioning` du bucket est défini sur `true`. Éléments exclus des analyses : buckets Cloud Storage avec une règle de conservation verrouillée Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux. Analyses par lot : toutes les 6 heures Analyses en temps réel : oui, mais uniquement si la gestion des versions d'objets est modifiée et pas lors de la création de buckets de journaux.	CIS GCP Foundation 1.0 : 2.3 PCI-DSS v3.2.1 : 10.5 NIST 800-53 : AU-11 ISO-27001 : A.12.4.2, A.18.1.3

Résultats de failles de surveillance

Les failles de ce type de détecteur sont toutes liées aux configurations de surveillance et appartiennent au type MONITORING_SCANNER. Toutes les propriétés des données de détection Monitoring incluent :

RecommendedLogFilter à utiliser pour créer les métriques de journal.
QualifiedLogMetricNames qui couvre les conditions répertoriées dans le filtre de journal recommandé.
Les AlertPolicyFailureReasons qui indiquent si le projet n'a pas créé de règles d'alerte pour l'une des métriques de journaux qualifiées ou si les règles d'alerte existantes ne disposent pas des paramètres recommandés.

**Tableau 12.** Outil d'analyse de surveillance
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Audit config not monitored` Nom de la catégorie dans l'API : `AUDIT_CONFIG_NOT_MONITORED`	Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie si la propriété `filter` de la ressource `LogsMetric` du projet est définie sur `protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:` et, si `resource.type` est spécifié, que cette valeur est `global`. Le détecteur recherche également une ressource `alertPolicy` correspondante, en vérifiant que les propriétés `conditions` et `notificationChannels` sont correctement configurées. Autorisations IAM supplémentaires* : `roles/monitoring.alertPolicyViewer` Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs Analyses par lots : toutes les 12 heures Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte	CIS GCP Foundation 1.0 : 2.5 CIS GCP Foundation 1.1 : 2.5 CIS GCP Foundation 1.2 : 2.5
`Bucket IAM not monitored` Nom de la catégorie dans l'API : `BUCKET_IAM_NOT_MONITORED`	Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications des autorisations IAM Cloud Storage. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie si la propriété `filter` de la ressource `LogsMetric` du projet est définie sur `resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"`. Le détecteur recherche également une ressource `alertPolicy` correspondante, en vérifiant que les propriétés `conditions` et `notificationChannels` sont correctement configurées. Autorisations IAM supplémentaires : `roles/monitoring.alertPolicyViewer` Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs Analyses par lots : toutes les 12 heures Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte	CIS GCP Foundation 1.0 : 2.10 CIS GCP Foundation 1.1 : 2.10 CIS GCP Foundation 1.2 : 2.10
`Custom role not monitored` Nom de la catégorie dans l'API : `CUSTOM_ROLE_NOT_MONITORED`	Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie si la propriété `filter` de la ressource `LogsMetric` du projet est définie sur `resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")`. Le détecteur recherche également une ressource `alertPolicy` correspondante, en vérifiant que les propriétés `conditions` et `notificationChannels` sont correctement configurées. Autorisations IAM supplémentaires : `roles/monitoring.alertPolicyViewer` Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs Analyses par lots : toutes les 12 heures Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte	CIS GCP Foundation 1.0 : 2.6 CIS GCP Foundation 1.1 : 2.6 CIS GCP Foundation 1.2 : 2.6
`Firewall not monitored` Nom de la catégorie dans l'API : `FIREWALL_NOT_MONITORED`	Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à règle de pare-feu du réseau VPC. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie si la propriété `filter` de la ressource `LogsMetric` du projet est définie sur `resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")`. Le détecteur recherche également une ressource `alertPolicy` correspondante, en vérifiant que les propriétés `conditions` et `notificationChannels` sont correctement configurées. Autorisations IAM supplémentaires : `roles/monitoring.alertPolicyViewer` Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs Analyses par lots : toutes les 12 heures Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte	CIS GCP Foundation 1.0 : 2.7 CIS GCP Foundation 1.1 : 2.7 CIS GCP Foundation 1.2 : 2.7
`Network not monitored` Nom de la catégorie dans l'API : `NETWORK_NOT_MONITORED`	Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications du réseau VPC. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie si la propriété `filter` de la ressource `LogsMetric` du projet est définie sur `resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")`. Le détecteur recherche également une ressource `alertPolicy` correspondante, en vérifiant que les propriétés `conditions` et `notificationChannels` sont correctement configurées. Autorisations IAM supplémentaires : `roles/monitoring.alertPolicyViewer` Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs Analyses par lots : toutes les 12 heures Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte	CIS GCP Foundation 1.0 : 2.9 CIS GCP Foundation 1.1 : 2.9 CIS GCP Foundation 1.2 : 2.9
`Owner not monitored` Nom de la catégorie dans l'API : `OWNER_NOT_MONITORED`	Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ni les modifications de propriété du projet. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie si la propriété `filter` de la ressource `LogsMetric` du projet est définie sur `(protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")` et, si `resource.type` est spécifié, que cette valeur est `global`. Le détecteur recherche également une ressource `alertPolicy` correspondante, en vérifiant que les propriétés `conditions` et `notificationChannels` sont correctement configurées. Autorisations IAM supplémentaires : `roles/monitoring.alertPolicyViewer` Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs Analyses par lots : toutes les 12 heures Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte	CIS GCP Foundation 1.0 : 2.4 CIS GCP Foundation 1.1 : 2.4 CIS GCP Foundation 1.2 : 2.4
`Route not monitored` Nom de la catégorie dans l'API : `ROUTE_NOT_MONITORED`	Description du résultat : les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie si la propriété `filter` de la ressource `LogsMetric` du projet est définie sur `resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")`. Le détecteur recherche également une ressource `alertPolicy` correspondante, en vérifiant que les propriétés `conditions` et `notificationChannels` sont correctement configurées. Autorisations IAM supplémentaires : `roles/monitoring.alertPolicyViewer` Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs Analyses par lots : toutes les 12 heures Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte	CIS GCP Foundation 1.0 : 2.8 CIS GCP Foundation 1.1 : 2.8 CIS GCP Foundation 1.2 : 2.8
`SQL instance not monitored` `SQL_INSTANCE_NOT_MONITORED`	Description du résultat : les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration des instances Cloud SQL. Niveau de tarification : Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Corriger ce résultat	Vérifie si la propriété `filter` de la ressource `LogsMetric` du projet est définie sur `protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"` et, si `resource.type` est spécifié, que cette valeur est `global`. Le détecteur recherche également une ressource `alertPolicy` correspondante, en vérifiant que les propriétés `conditions` et `notificationChannels` sont correctement configurées. Autorisations IAM supplémentaires : `roles/monitoring.alertPolicyViewer` Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte de la suite Google Cloud Operations à partir de la suite Google Cloud Operations, afin de consigner uniquement les résultats des projets ayant des comptes actifs Analyses par lots : toutes les 12 heures Analyses en temps réel : oui, mais uniquement pour les modifications de projet et pas pour les métriques de journal et les modifications d'alerte	CIS GCP Foundation 1.0 : 2.11 CIS GCP Foundation 1.1 : 2.11 CIS GCP Foundation 1.2 : 2.11

Résultats de l'authentification multifacteur

Le détecteur MFA_SCANNER identifie les failles liées à l'authentification multifacteur pour les utilisateurs.

**Tableau 13.** Analyseur d'authentification multifacteur
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`MFA not enforced` Nom de la catégorie dans l'API : `MFA_NOT_ENFORCED`	Certains utilisateurs n'utilisent pas la validation en deux étapes. Niveau de tarification : Premium ou Standard Éléments compatibles cloudresourcemanager.googleapis.com/Organization Corriger ce résultat	Évalue les règles de gestion des identités dans les organisations et les paramètres utilisateur des comptes gérés dans Cloud Identity. Éléments exclus des analyses : unités organisationnelles auxquelles sont accordées des exceptions à la règle. Entrées supplémentaires : lit les données à partir de Google Workspace. Analyses par lots : toutes les 12 heures Analyses en temps réel : Non	CIS GCP Foundation 1.0 : 1.2 CIS GCP Foundation 1.1 : 1.2 CIS GCP Foundation 1.2 : 1.2 PCI-DSS v3.2.1 : 8.3 NIST 800-53 : IA-2 ISO-27001 : A.9.4.2

Résultats de failles de réseau

Les failles de ce type de détecteur sont toutes liées aux configurations de réseau d'une organisation et appartiennent au typeNETWORK_SCANNER.

**Tableau 14.** Outil d'analyse de réseau
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Default network` Nom de la catégorie dans l'API : `DEFAULT_NETWORK`	Description du résultat : le réseau par défaut existe dans un projet. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Network Corriger ce résultat	Vérifie si la propriété `name` dans les métadonnées du réseau est définie sur `default`. Éléments exclus des analyses : projets pour lesquels l'API Compute Engine est désactivée et les ressources Compute Engine sont bloquées. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 3.1 CIS GCP Foundation 1.1 : 3.1 CIS GCP Foundation 1.2 : 3.1
`DNS logging disabled` Nom de la catégorie dans l'API : `DNS_LOGGING_DISABLED`	Description du résultat : la journalisation DNS sur un réseau VPC n'est pas activée. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Network dns.googleapis.com/Policy Corriger ce résultat	Vérifie toutes les règles (`policies`) associées à un réseau VPC via le champ `networks[].networkUrl` et recherche au moins une règle pour laquelle `enableLogging` est défini sur `true`. Éléments exclus des analyses : projets pour lesquels l'API Compute Engine est désactivée et les ressources Compute Engine sont bloquées. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 2.12
`Legacy network` Nom de la catégorie dans l'API : `LEGACY_NETWORK`	Description du résultat : un ancien réseau existe dans un projet. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Network Corriger ce résultat	Vérifie l'existence de la propriété `IPv4Range` dans les métadonnées réseau. Éléments exclus des analyses : projets pour lesquels l'API Compute Engine est désactivée et les ressources Compute Engine sont bloquées. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 3.2 CIS GCP Foundation 1.1 : 3.2 CIS GCP Foundation 1.2 : 3.2

Résultats de failles liées aux règles d'administration

Les failles de ce type de détecteur sont toutes liées aux configurations des contraintes des règles d'administration et appartiennent au type ORG_POLICY.

**Tableau 15.** Analyseur de règles d'administration
Détecteur	Résumé	Paramètres d'analyse des éléments
`Org policy Confidential VM policy` Nom de la catégorie dans l'API : `ORG_POLICY_CONFIDENTIAL_VM_POLICY`	Description du résultat : une ressource Compute Engine n'est pas conforme à la règle d'administration `constraints/compute.restrictNonConfidentialComputing`. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration sur les VM Confidential VM. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `enableConfidentialCompute` d'une instance Compute Engine est définie sur `true`. Éléments exclus des analyses : instances GKE Autorisations IAM supplémentaires : `permissions/orgpolicy.policy.get` Entrées supplémentaires : lit la règle d'organisation effective à partir du service de règles d'organisation. Analyses par lots : toutes les 12 heures Analyses en temps réel : Non
`Org policy location restriction` Nom de la catégorie dans l'API : `ORG_POLICY_LOCATION_RESTRICTION`	Description du résultat : une ressource Compute Engine ne respecte pas la contrainte `constraints/gcp.resourceLocations`. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration. Niveau de tarification : Premium Éléments compatibles Voir ci-dessous Corriger ce résultat	Vérifie la propriété `listPolicy` dans les métadonnées des ressources compatibles pour obtenir la liste des emplacements autorisés ou refusés. Autorisations IAM supplémentaires : `permissions/orgpolicy.policy.get` Entrées supplémentaires : lit la règle d'organisation effective à partir du service de règles d'organisation. Analyses par lots : toutes les 12 heures Analyses en temps réel : Non
Éléments compatibles avec ORG_POLICY_LOCATION_RESTRICTION Compute Engine compute.googleapis.com/Autoscaler compute.googleapis.com/Address compute.googleapis.com/Commitment compute.googleapis.com/Disk compute.googleapis.com/ForwardingRule compute.googleapis.com/HealthCheck compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/InstanceGroup compute.googleapis.com/InstanceGroupManager compute.googleapis.com/InterconnectAttachment compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NodeGroup compute.googleapis.com/NodeTemplate compute.googleapis.com/PacketMirroring compute.googleapis.com/RegionBackendService compute.googleapis.com/RegionDisk compute.googleapis.com/ResourcePolicy compute.googleapis.com/Reservation compute.googleapis.com/Router compute.googleapis.com/Snapshot compute.googleapis.com/SslCertificate compute.googleapis.com/Subnetwork compute.googleapis.com/TargetHttpProxy compute.google.apis.com/TargetHttpsProxy compute.googleapis.com/TargetInstance compute.googleapis.com/TargetPool compute.googleapis.com/TargetVpnGateway compute.googleapis.com/UrlMap compute.googleapis.com/VpnGateway compute.googleapis.com/VpnTunnel GKE container.googleapis.com/Cluster container.googleapis.com/NodePool Cloud Storage storage.googleapis.com/Bucket Cloud KMS cloudkms.googleapis.com/CryptoKey¹ cloudkms.googleapis.com/CryptoKeyVersion¹ cloudkms.googleapis.com/ImportJob² cloudkms.googleapis.com/KeyRing¹ Dataproc dataproc.googleapis.com/Cluster BigQuery bigquery.googleapis.com/Dataset Dataflow dataflow.googleapis.com/Job³ Cloud SQL sqladmin.googleapis.com/Instance Cloud Composer composer.googleapis.com/Environment Logging logging.googleapis.com/LogBucket Pub/Sub pubsub.googleapis.com/Topic Vertex AI aiplatform.googleapis.com/BatchPredictionJob aiplatform.googleapis.com/CustomJob aiplatform.googleapis.com/DataLabelingJob aiplatform.googleapis.com/Dataset aiplatform.googleapis.com/Endpoint aiplatform.googleapis.com/HyperparameterTuningJob aiplatform.googleapis.com/Model aiplatform.googleapis.com/SpecialistPool aiplatform.googleapis.com/TrainingPipeline Artifact Registry artifactregistry.googleapis.com/Repository ¹ Étant donné que les éléments Cloud KMS ne peuvent pas être supprimés, ils ne sont pas considérés comme hors région si leurs données ont été détruites. ² Étant donné que les tâches d'importation Cloud KMS ont un cycle de vie contrôlé et ne peuvent pas être arrêtées en amont, une tâche d'importation n'est pas considérée comme hors région si elle est arrivée à expiration et ne peut plus être utilisée pour importer des clés. ³ Étant donné que le cycle de vie des tâches Dataflow ne peut pas être géré, une tâche n'est pas considérée comme hors région une fois qu'elle a atteint un état final (arrêt ou drainage) dans lequel elle ne sera plus utilisées pour traiter des données.

Résultats de failles Pub/Sub

Les failles de ce type de détecteur sont toutes liées aux configurations Pub/Sub et appartiennent au type PUBSUB_SCANNER.

**Tableau 16.** Analyseur Pub/Sub
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Pubsub CMEK disabled` Nom de la catégorie dans l'API : `PUBSUB_CMEK_DISABLED`	Description du résultat : Un sujet Pub/Sub n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium Éléments compatibles pubsub.googleapis.com/Topic Corriger ce résultat	Dans le champ `kmsKeyName`, vérifie le nom de ressource de votre clé CMEK. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui

Résultats de failles SQL

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud SQL et appartiennent au type SQL_SCANNER.

**Tableau 17.** Outil d'analyse SQL
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Auto backup disabled` Nom de la catégorie dans l'API : `AUTO_BACKUP_DISABLED`	Description du résultat : les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `backupConfiguration.enabled` d'une donnée Cloud SQL est définie sur `true`. Éléments exclus des analyses : instances dupliquées Cloud SQL Entrées supplémentaires : lit les stratégies d'autorisation IAM des ancêtres à partir du stockage des éléments Security Health Analytics. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 6.7 CIS GCP Foundation 1.2 : 6.7 NIST 800-53 : CP-9 ISO-27001 : A.12.3.1
`Public SQL instance` Nom de la catégorie dans l'API : `PUBLIC_SQL_INSTANCE`	Description du résultat : une instance de base de données Cloud SQL accepte les connexions de toutes les adresses IP. Niveau de tarification : Premium ou Standard Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `authorizedNetworks` des instances Cloud SQL est définie sur une adresse IP unique ou sur une plage d'adresses IP. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 6.2 CIS GCP Foundation 1.1 : 6.5 CIS GCP Foundation 1.2 : 6.5 PCI-DSS v3.2.1 : 1.2.1 NIST 800-53 : CA-3, SC-7 ISO-27001 : A.8.2.3, A.13.1.3, A.14.1.3
`SSL not enforced` Nom de la catégorie dans l'API : `SSL_NOT_ENFORCED`	Description du résultat : une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL. Niveau de tarification : Premium ou Standard Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `requireSsl` de l'instance Cloud SQL est définie sur `true`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 6.1 CIS GCP Foundation 1.1 : 6.4 CIS GCP Foundation 1.2 : 6.4 PCI-DSS v3.2.1 : 4.1 NIST 800-53 : SC-7 ISO-27001 : A.8.2.3, A.13.2.1, A.14.1.3
`SQL CMEK disabled` Nom de la catégorie dans l'API : `SQL_CMEK_DISABLED`	Description du résultat : une instance de base de données SQL n'est pas chiffrée avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie le champ `kmsKeyName` de l'objet `diskEncryptionKey`, dans les métadonnées d'instance, pour trouver le nom de ressource de votre CMEK. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui
`SQL contained database authentication` Nom de la catégorie dans l'API : `SQL_CONTAINED_DATABASE_AUTHENTICATION`	Description du résultat : l'option de base de données `contained database authentication` pour une instance Cloud SQL pour SQL Server n'est pas définie sur `off`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur, `"name"` : `"contained database authentication"`, `"value"` : `"on"` ou si elle est activée par défaut. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 6.3.2 CIS GCP Foundation 1.2 : 6.3.7
`SQL cross DB ownership chaining` Nom de la catégorie dans l'API : `SQL_CROSS_DB_OWNERSHIP_CHAINING`	Description du résultat : l'option de base de données `cross_db_ownership_chaining` d'une instance Cloud SQL pour SQL Server n'est pas définie sur `off`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"cross_db_ownership_chaining"`, `"value": "on"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 6.3.1 CIS GCP Foundation 1.2 : 6.3.2
`SQL external scripts enabled` Nom de la catégorie dans l'API : `SQL_EXTERNAL_SCRIPTS_ENABLED`	Description du résultat : l'option de base de données `external scripts enabled` d'une instance Cloud SQL pour SQL Server n'est pas définie sur `off`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"external scripts enabled"`, `"value": "off"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.3.1
`SQL local infile` Nom de la catégorie dans l'API : `SQL_LOCAL_INFILE`	Description du résultat : l'option de base de données `local_infile` d'une instance Cloud SQL pour MySQL n'est pas définie sur `off`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"local_infile"`, `"value": "on"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 6.1.2 CIS GCP Foundation 1.2 : 6.1.3
`SQL log checkpoints disabled` Nom de la catégorie dans l'API : `SQL_LOG_CHECKPOINTS_DISABLED`	Description du résultat : l'option de base de données `log_checkpoints` pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur `on`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"log_checkpoints"`, `"value": "on"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 6.2.1 CIS GCP Foundation 1.2 : 6.2.1
`SQL log connections disabled` Nom de la catégorie dans l'API : `SQL_LOG_CONNECTIONS_DISABLED`	Description du résultat : l'option de base de données `log_connections` pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur `on`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"log_connections"`, `"value": "on"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 6.2.2 CIS GCP Foundation 1.2 : 6.2.3
`SQL log disconnections disabled` Nom de la catégorie dans l'API : `SQL_LOG_DISCONNECTIONS_DISABLED`	Description du résultat : l'option de base de données `log_disconnections` pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur `on`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"log_disconnections"`, `"value": "on"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 6.2.3 CIS GCP Foundation 1.2 : 6.2.4
`SQL log duration disabled` Nom de la catégorie dans l'API : `SQL_LOG_DURATION_DISABLED`	Description du résultat : l'option de base de données `log_duration` pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur `on`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"log_duration"`, `"value": "on"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.2.5
`SQL log error verbosity` Nom de la catégorie dans l'API : `SQL_LOG_ERROR_VERBOSITY`	Description du résultat : l'option de base de données `log_error_verbosity` d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur `default` ou une valeur plus stricte. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `databaseFlags` des métadonnées d'instance pour le champ `log_error_verbosity` est définie sur `default` ou `terse`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.2.2
`SQL log lock waits disabled` Nom de la catégorie dans l'API : `SQL_LOG_LOCK_WAITS_DISABLED`	Description du résultat : l'option de base de données `log_lock_waits` pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur `on`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"log_lock_waits"`, `"value": "on"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 6.2.4 CIS GCP Foundation 1.2 : 6.2.6
`SQL log min duration statement enabled` Nom de la catégorie dans l'API : `SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Description du résultat : l'option `log_min_duration_statement` de la base de données pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur "-1". Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"log_min_duration_statement"`, `"value": "-1"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 6.2.7 CIS GCP Foundation 1.2 : 6.2.16
`SQL log min error statement` Nom de la catégorie dans l'API : `SQL_LOG_MIN_ERROR_STATEMENT`	Description du résultat : l'option de base de données `log_min_error_statement` d'une instance Cloud SQL pour PostgreSQL n'est pas définie de manière appropriée. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si le champ `log_min_error_statement` de `databaseFlags` est défini sur l'une des valeurs suivantes : `debug5` ,`debug4` ,`debug3` ,`debug2` ,`debug1` ,`info` ,`notice` ,`warning` ou la valeur par défaut `error`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 6.2.5
`SQL log min error statement severity` Nom de la catégorie dans l'API : `SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Description du résultat : l'option de base de données `log_min_error_statement` d'une instance Cloud SQL pour PostgreSQL ne possède pas le niveau de gravité approprié. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si le champ `log_min_error_statement` de la propriété `databaseFlags` est défini sur l'une des valeurs suivantes : `error`, `log`, `fatal` ou `panic`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.2.14
`SQL log min messages` Nom de la catégorie dans l'API : `SQL_LOG_MIN_MESSAGES`	Description du résultat : l'option de base de données `log_min_messages` pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur `warning`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si le champ `log_min_messages` de la propriété `databaseFlags` est défini sur `warning`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.2.13
`SQL log executor stats enabled` Nom de la catégorie dans l'API : `SQL_LOG_EXECUTOR_STATS_ENABLED`	Description du résultat : l'option de base de données `log_executor_status` pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur `off`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `databaseFlags` des métadonnées d'instance pour le champ `log_executor_status` est définie sur `on`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.2.11
`SQL log hostname enabled` Nom de la catégorie dans l'API : `SQL_LOG_HOSTNAME_ENABLED`	Description du résultat : l'option de base de données `log_hostname` pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur `off`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `databaseFlags` des métadonnées d'instance pour le champ `log_hostname` est définie sur `on`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.2.8
`SQL log parser stats enabled` Nom de la catégorie dans l'API : `SQL_LOG_PARSER_STATS_ENABLED`	Description du résultat : l'option de base de données `log_parser_stats` pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur `off`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `databaseFlags` des métadonnées d'instance pour le champ `log_parser_stats` est définie sur `on`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.2.9
`SQL log planner stats enabled` Nom de la catégorie dans l'API : `SQL_LOG_PLANNER_STATS_ENABLED`	Description du résultat : l'option de base de données `log_planner_stats` pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur `off`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `databaseFlags` des métadonnées d'instance pour le champ `log_planner_stats` est définie sur `on`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.2.10
`SQL log statement` Nom de la catégorie dans l'API : `SQL_LOG_STATEMENT`	Description du résultat : l'option de base de données `log_statement` d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur `Ddl` (toutes les instructions de définition de données). Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `databaseFlags` des métadonnées d'instance pour le champ `log_statement` est définie sur `Ddl`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.2.7
`SQL log statement stats enabled` Nom de la catégorie dans l'API : `SQL_LOG_STATEMENT_STATS_ENABLED`	Description du résultat : l'option de base de données `log_statement_stats` pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur `off`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `databaseFlags` des métadonnées d'instance pour le champ `log_statement_stats` est définie sur `on`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.2.12
`SQL log temp files` Nom de la catégorie dans l'API : `SQL_LOG_TEMP_FILES`	Description du résultat : l'option `log_temp_files` de la base de données pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur "0". Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"log_temp_files"`, `"value": "0"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 6.2.6 CIS GCP Foundation 1.2 : 6.2.15
`SQL no root password` Nom de la catégorie dans l'API : `SQL_NO_ROOT_PASSWORD`	Description du résultat : une base de données Cloud SQL n'a pas de mot de passe configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si la propriété `rootPassword` du compte racine est vide. Autorisations IAM supplémentaires : `roles/cloudsql.client` Entrées supplémentaires : interroge les instances actives Analyses par lot : toutes les 6 heures Analyses en temps réel : Non	CIS GCP Foundation 1.0 : 6.3 CIS GCP Foundation 1.1 : 6.1.1 CIS GCP Foundation 1.2 : 6.1.1 PCI-DSS v3.2.1 : 2.1 NIST 800-53 : AC-3 ISO-27001 : A.8.2.3, A.9.4.2
`SQL public IP` Nom de la catégorie dans l'API : `SQL_PUBLIC_IP`	Description du résultat : une base de données Cloud SQL possède une adresse IP publique. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie si le type d'adresse IP d'une base de données Cloud SQL est défini sur `Primary`, ce qui indique qu'elle est publique. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.1 : 6.6 CIS GCP Foundation 1.2 : 6.6
`SQL remote access enabled` Nom de la catégorie dans l'API : `SQL_REMOTE_ACCESS_ENABLED`	Description du résultat : L'option de base de données `remote access` pour une instance Cloud SQL pour SQL Server n'est pas définie sur `off`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"remote access"`, `"value": "off"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.3.5
`SQL skip show database disabled` Nom de la catégorie dans l'API : `SQL_SKIP_SHOW_DATABASE_DISABLED`	Description du résultat : l'option de base de données `skip_show_database` d'une instance Cloud SQL pour MySQL n'est pas définie sur `on`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"skip_show_database"`, `"value": "on"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.1.2
`SQL trace flag 3625` Nom de la catégorie dans l'API : `SQL_TRACE_FLAG_3625`	Description du résultat : L'option de base de données `3625 (trace flag)` pour une instance Cloud SQL pour SQL Server n'est pas définie sur `on`. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"3625 (trace flag)"`, `"value": "on"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.3.6
`SQL user connections configured` Nom de la catégorie dans l'API : `SQL_USER_CONNECTIONS_CONFIGURED`	Description du résultat : l'option de base de données `user connections` d'une instance Cloud SQL pour SQL Server est configurée. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour détecter la paire clé/valeur `"name"` : `"user connections"`, `"value": "0"`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.3.3
`SQL user options configured` Nom de la catégorie dans l'API : `SQL_USER_OPTIONS_CONFIGURED`	Description du résultat : l'option de base de données `user options` d'une instance Cloud SQL pour SQL Server est configurée. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Vérifie la propriété `databaseFlags` des métadonnées d'instance pour la paire clé/valeur `"name"` : `"user options"`, `"value": ""` (vide). Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.2 : 6.3.4
`SQL weak root password` Nom de la catégorie dans l'API : `SQL_WEAK_ROOT_PASSWORD`	Description du résultat : une base de données Cloud SQL possède un mot de passe faible configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium Éléments compatibles sqladmin.googleapis.com/Instance Corriger ce résultat	Compare le mot de passe du compte racine de votre base de données Cloud SQL à une liste de mots de passe courants. Autorisations IAM supplémentaires : `roles/cloudsql.client` Entrées supplémentaires : interroge les instances actives Analyses par lot : toutes les 6 heures Analyses en temps réel : Non

Résultats de failles de stockage

Les failles de ce type de détecteur sont toutes liées aux configurations de buckets Cloud Storage et appartiennent au typeSTORAGE_SCANNER.

**Tableau 18.** Outil d'analyse de stockage
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Bucket CMEK disabled` Nom de la catégorie dans l'API : `BUCKET_CMEK_DISABLED`	Description du résultat : un bucket n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver les détecteurs. Niveau de tarification : Premium Éléments compatibles storage.googleapis.com/Bucket Corriger ce résultat	Vérifie le champ `encryption` dans les métadonnées du bucket pour trouver le nom de ressource de votre clé CMEK. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui
`Bucket policy only disabled` Nom de la catégorie dans l'API : `BUCKET_POLICY_ONLY_DISABLED`	Description du résultat : l'accès uniforme au niveau du bucket, précédemment appelé "Stratégie du bucket seulement", n'est pas configuré. Niveau de tarification : Premium Éléments compatibles storage.googleapis.com/Bucket Corriger ce résultat	Vérifie si la propriété `uniformBucketLevelAccess` d'un bucket est définie sur `"enabled":false`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui
`Public bucket ACL` Nom de la catégorie dans l'API : `PUBLIC_BUCKET_ACL`	Description du résultat : un bucket Cloud Storage est accessible au public. Niveau de tarification : Premium ou Standard Éléments compatibles storage.googleapis.com/Bucket Corriger ce résultat	Vérifie la stratégie d'autorisation IAM d'un bucket pour détecter les rôles publics (`allUsers` ou `allAuthenticatedUsers`) avec des droits d'administrateur ou d'éditeur. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 5.1 CIS GCP Foundation 1.1 : 5.1 CIS GCP Foundation 1.2 : 5.1 PCI-DSS v3.2.1 : 7.1 NIST 800-53 : AC-2 ISO-27001 : A.8.2.3, A.14.1.3
`Public log bucket` Nom de la catégorie dans l'API : `PUBLIC_LOG_BUCKET`	Description du résultat : un bucket de stockage utilisé comme récepteur de journaux est accessible au public. Niveau de tarification : Premium ou Standard Éléments compatibles storage.googleapis.com/Bucket Corriger ce résultat	Vérifie la stratégie d'autorisation IAM d'un bucket pour les comptes principaux `allUsers` ou `allAuthenticatedUsers`, qui accordent un accès public. Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux. Analyses par lot : toutes les 6 heures Analyses en temps réel : oui, mais uniquement si la stratégie IAM sur le bucket change et pas si le récepteur de journaux est modifié.	PCI-DSS v3.2.1 : 10.5 NIST 800-53 : AU-9 ISO-27001 : A.8.2.3, A.12.4.2, A.18.1.3

Résultats de failles de sous-réseau

Les failles de ce type de détecteur sont toutes liées aux configurations de sous-réseau d'une organisation et appartiennent au typeSUBNETWORK_SCANNER.

**Tableau 19.** Outil d'analyse de sous-réseau
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`Flow logs disabled` Nom de la catégorie dans l'API : `FLOW_LOGS_DISABLED`	Description du résultat : il existe un sous-réseau VPC dans lequel les journaux de flux sont désactivés. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Subnetwork Corriger ce résultat	Vérifie si la propriété `enableFlowLogs` des sous-réseaux Compute Engine est manquante ou définie sur `false`. Éléments exclus des analyses : accès au VPC sans serveur, sous-réseaux d'équilibreur de charge Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 3.9 CIS GCP Foundation 1.1 : 3.8 CIS GCP Foundation 1.2 : 3.8 PCI-DSS v3.2.1 : 10.1, 10.2 NIST 800-53 : SI-4 ISO-27001 : A.13.1.1
`Private Google access disabled` Nom de la catégorie dans l'API : `PRIVATE_GOOGLE_ACCESS_DISABLED`	Description du résultat : il existe des sous-réseaux privés sans accès aux API publiques Google. Niveau de tarification : Premium Éléments compatibles storage.googleapis.com/Bucket compute.googleapis.com/Subnetwork Corriger ce résultat	Vérifie si la propriété `privateIpGoogleAccess` des sous-réseaux Compute Engine est définie sur `false`. Analyses par lot : toutes les 6 heures Analyses en temps réel : Oui	CIS GCP Foundation 1.0 : 3.8

VM Manager

VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.

Si vous activez VM Manager et que vous êtes abonné au niveau Premium de Security Command Center, VM Manager écrit les résultats dans ses rapports de failles en version bêta dans Security Command Center. Les rapports identifient les failles dans les systèmes d'exploitation installés sur les VM, y compris les failles CVE courantes (Common Vulnerabilities and Exposures).

Les rapports de failles ne sont pas disponibles dans le niveau Standard de Security Command Center.

Les résultats simplifient l'utilisation de la fonctionnalité de conformité des correctifs de VM Manager, qui est en version bêta. Cette fonctionnalité vous permet de gérer les correctifs au niveau de l'organisation dans tous vos projets. Actuellement, VM Manager ne permet de gérer les correctifs qu'au niveau du projet.

Résultats de VM Manager

Les failles de ce type concernent toutes les packages de système d'exploitation installés dans les VM Compute Engine compatibles.

**Tableau 20.** Rapports de failles de VM Manager
Détecteur	Résumé	Paramètres d'analyse des éléments	Normes de conformité
`OS vulnerability` Nom de la catégorie dans l'API : `OS_VULNERABILITY`	Description du résultat : VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine. Niveau de tarification : Premium Éléments compatibles compute.googleapis.com/Instance Corriger ce résultat	Failles consignées dans les rapports de failles de VM Manager dans les packages de système d'exploitation installés pour les VM Compute Engine, y compris les failles CVE courantes. Éléments exclus des analyses : SUSE Linux Enterprise Server (SLES), systèmes d'exploitation Windows Des résultats s'affichent dans Security Command Center peu de temps après la détection de failles. Dans VM Manager, les rapports de failles sont générés comme suit : Pour la plupart des failles du package d'OS installé, l'API OS Config génère un rapport de failles quelques minutes après la modification. En cas de failles CVE, l'API OS Config génère le rapport de failles dans un délai de trois à quatre heures après la publication des failles CVE sur le système d'exploitation.

Corriger les résultats de VM Manager

Un résultat OS_VULNERABILITY indique que VM Manager a détecté une faille dans les packages du système d'exploitation installés dans une VM Compute Engine.

Pour corriger ce résultat, procédez comme suit :

Examiner les résultats

Pour examiner les menaces détectées, procédez comme suit :

Ancienne page de résultats

Accédez à la page Résultats de Security Command Center.

Accéder
À côté de Afficher par, sélectionnez Type de source.
Dans la liste Type de source, sélectionnez VM Manager.

La table présente les résultats correspondant au type de source que vous avez sélectionné.
Sous Catégorie, cliquez sur le nom d'un résultat.
Dans le panneau Résultats détaillés, sélectionnez Propriétés sources.
Pour en savoir plus sur la faille, consultez les champs suivants :
1. properties : contient une description de la faille et des options d'atténuation.
2. severity : niveau de risque attribué au résultat.
3. vulnerability : contient un lien vers un dépôt CVE public comprenant plus de détails sur la faille.
4. references : contient des liens d'informations supplémentaires, y compris vers des sources du secteur.
5. id : ID de la faille CVE, par exemple, CVE-2021-33200, permettant de filtrer les résultats et de rechercher d'autres VM concernées par cette faille CVE.
Pour créer une tâche d'application de correctifs pour l'OS dans la console Google Cloud, cliquez sur le lien dans external_uri.

Page de résultats (Bêta)

Si vous avez choisi de passer à la version améliorée du workflow de résultats, procédez comme suit :

Dans Google Cloud Console, accédez à la page Résultats de Security Command Center.
Accéder
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez VM Manager.

La table contient les résultats de VM Manager.
Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Category. Le volet de détails du résultat se développe pour afficher les attributs du résultat.
Cliquez sur l'onglet JSON. Pour en savoir plus sur la faille, consultez les champs suivants :
- properties : contient une description de la faille et des options d'atténuation.
- severity : niveau de risque attribué au résultat.
- vulnerability : contient un lien vers un dépôt CVE public comprenant plus de détails sur la faille.
- references : contient des liens d'informations supplémentaires, y compris vers des sources du secteur.
- id : ID de la faille CVE, par exemple, CVE-2021-33200, permettant de filtrer les résultats et de rechercher d'autres VM concernées par cette faille CVE.
Pour créer une tâche d'application de correctifs pour l'OS dans la console Google Cloud, accédez à l'URL de la propriété external_uri.

Pour obtenir des instructions sur le déploiement des correctifs, consultez la page OS Patch Management.

En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Désactiver les rapports de failles de VM Manager

Pour empêcher l'écriture des rapports de failles dans Security Command Center, vous pouvez désactiver l'API du service OS Config pour vos projets.

Accédez à la page API OS Config dans la console Google Cloud.

Accéder à l'API OS Config
Si nécessaire, sélectionnez votre projet.
Cliquez sur Désactiver l'API, puis sur Désactiver dans la boîte de dialogue.

Résultats de Web Security Scanner

Les analyses personnalisées et gérées de Web Security Scanner identifient les types de résultats suivants. Au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL et des adresses IP publiques qui ne sont pas protégées par un pare-feu.

**Tableau 21.** Résultats de Web Security Scanner
Catégorie	Description du résultat	OWASP 2017 Top 10	OWASP 2021 Top 10
`Accessible Git repository` Nom de la catégorie dans l'API : `ACCESSIBLE_GIT_REPOSITORY`	Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT. Niveau de tarification : Standard Corriger ce résultat	A5	A01
`Accessible SVN repository` Nom de la catégorie dans l'API : `ACCESSIBLE_SVN_REPOSITORY`	Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN. Niveau de tarification : Standard Corriger ce résultat	A5	A01
`Cacheable password input` Nom de la catégorie dans l'API : `CACHEABLE_PASSWORD_INPUT`	Les mots de passe saisis dans l'application Web peuvent être mis en cache dans un cache de navigateur standard au lieu d'un espace de stockage sécurisé. Niveau de tarification : Premium Corriger ce résultat	A3	A04
`Clear text password` Nom de la catégorie dans l'API : `CLEAR_TEXT_PASSWORD`	Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau. Niveau de tarification : Standard Corriger ce résultat	A3	A02
`Insecure allow origin ends with validation` Nom de la catégorie dans l'API : `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête `Origin` avant de le refléter dans l'en-tête de réponse `Access-Control-Allow-Origin`. Pour corriger ce résultat, vérifiez que le domaine racine attendu fait partie de la valeur d'en-tête `Origin` avant de le refléter dans l'en-tête de réponse `Access-Control-Allow-Origin`. Pour les caractères génériques de sous-domaine, ajoutez le point au domaine racine, par exemple `.endsWith(".google.com")`. Niveau de tarification : Premium Corriger ce résultat	A5	A01
`Insecure allow origin starts with validation` Nom de la catégorie dans l'API : `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête `Origin` avant de le refléter dans l'en-tête de réponse `Access-Control-Allow-Origin`. Pour corriger ce résultat, vérifiez que le domaine attendu correspond entièrement à la valeur de l'en-tête `Origin` avant de le refléter dans l'en-tête de réponse `Access-Control-Allow-Origin` (par exemple, `.equals(".google.com")`). Niveau de tarification : Premium Corriger ce résultat	A5	A01
`Invalid content type` Nom de la catégorie dans l'API : `INVALID_CONTENT_TYPE`	Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour corriger ce résultat, définissez l'en-tête HTTP `X-Content-Type-Options` sur la valeur correcte. Niveau de tarification : Standard Corriger ce résultat	A6	A05
`Invalid header` Nom de la catégorie dans l'API : `INVALID_HEADER`	Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. Niveau de tarification : Standard Corriger ce résultat	A6	A05
`Mismatching security header values` Nom de la catégorie dans l'API : `MISMATCHING_SECURITY_HEADER_VALUES`	Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. Niveau de tarification : Standard Corriger ce résultat	A6	A05
`Misspelled security header name` Nom de la catégorie dans l'API : `MISSPELLED_SECURITY_HEADER_NAME`	Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. Niveau de tarification : Standard Corriger ce résultat	A6	A05
`Mixed content` Nom de la catégorie dans l'API : `MIXED_CONTENT`	Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS. Niveau de tarification : Standard Corriger ce résultat	A6	A05
`Outdated library` Nom de la catégorie dans l'API : `OUTDATED_LIBRARY`	Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente. Niveau de tarification : Standard Corriger ce résultat	A9	A06
`Server side request forgery` Nom de la catégorie dans l'API : `SERVER_SIDE_REQUEST_FORGERY`	Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utilisez une liste d'autorisation pour limiter les domaines et les adresses IP auxquels l'application Web peut envoyer des requêtes. Niveau de tarification : Standard Corriger ce résultat	Non applicable	A10
`Session ID leak` Nom de la catégorie dans l'API : `SESSION_ID_LEAK`	Lors d'une requête interdomaine, l'application Web inclut l'identifiant de session de l'utilisateur dans son en-tête de requête `Referer`. Cette faille donne au domaine destinataire la possibilité d'accéder à l'identifiant de session, qui peut servir à emprunter l'identité de l'utilisateur ou à l'identifier de manière unique. Niveau de tarification : Premium Corriger ce résultat	A2	A07
`SQL injection` Nom de la catégorie dans l'API : `SQL_INJECTION`	Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce résultat, utilisez des requêtes paramétrées afin d'empêcher les entrées utilisateur d'affecter la structure de la requête SQL. Niveau de tarification : Premium Corriger ce résultat	A1	A03
`Struts insecure deserialization` Nom de la catégorie dans l'API : `STRUTS_INSECURE_DESERIALIZATION`	L'utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version. Niveau de tarification : Premium Corriger ce résultat	A8	A08
`XSS` Nom de la catégorie dans l'API : `XSS`	Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. Niveau de tarification : Standard Corriger ce résultat	A7	A03
`XSS angular callback` Nom de la catégorie dans l'API : `XSS_ANGULAR_CALLBACK`	Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper. Niveau de tarification : Standard Corriger ce résultat	A7	A03
`XSS error` Nom de la catégorie dans l'API : `XSS_ERROR`	Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. Niveau de tarification : Standard Corriger ce résultat	A7	A03
`XXE reflected file leakage` Nom de la catégorie dans l'API : `XXE_REFLECTED_FILE_LEAKAGE`	Une faille XML External Entity (XXE) a été détectée. Elle peut entraîner la fuite d'un fichier sur l'hôte par l'application Web. Pour corriger ce résultat, configurez vos analyseurs XML de manière à interdire les entités externes. Niveau de tarification : Premium Corriger ce résultat	A4	A05

Benchmarks CIS

Le CIS (Center for Internet Security) inclut les benchmarks suivants qui ne sont actuellement pas compatibles avec Web Security Scanner ou avec les détecteurs de Security Health Analytics :

**Table 22.** Benchmarks CIS
Catégorie	Description du résultat	CIS GCP Foundation 1.0
`Basic authentication enabled` Nom de la catégorie dans l'API : `BASIC_AUTHENTICATION_ENABLED`	L'authentification par certificat IAM ou client doit être activée sur les clusters Kubernetes.	7.10
`Client cert authentication disabled` Nom de la catégorie dans l'API : `CLIENT_CERT_AUTHENTICATION_DISABLED`	Les certificats Kubernetes doivent être créés avec le certificat client activé.	7.12
`Labels not used` Nom de la catégorie dans l'API : `LABELS_NOT_USED`	Des libellés peuvent être utilisés pour répartir les informations de facturation.	7.5
`Public storage object` Nom de la catégorie dans l'API : `PUBLIC_STORAGE_OBJECT`	La LCA de stockage d'objet ne doit pas accorder l'accès à allUsers.	5,2
`SQL broad root login` Nom de la catégorie dans l'API : `SQL_BROAD_ROOT_LOGIN`	L'accès root à une base de données SQL doit être limité aux adresses IP approuvées répertoriées	6,4

Étapes suivantes

Découvrez comment utiliser Security Health Analytics et comment utiliser Web Security Scanner.
Consultez les suggestions pour corriger les résultats de Security Health Analytics et corriger les résultats de Web Security Scanner.