Résultats concernant les failles

>

Les détecteurs Security Health Analytics et Web Security Scanner génèrent des types de détection de failles disponibles dans Security Command Center.

Détecteurs et conformité

Les tableaux suivants décrivent les types de détecteurs et les types de résultats de faille spécifiques que Security Health Analytics et Web Security Scanner peuvent générer. Vous pouvez filtrer les résultats par nom de détecteur et par type de résultat à l'aide de l'onglet "Failles" de Security Command Center dans Google Cloud Console.

Ces tableaux incluent une description de la mise en correspondance entre les détecteurs compatibles et la meilleure mise en correspondance avec les régimes de conformité pertinents.

Les mises en correspondance de Google Cloud Foundation 1.0 de la CI ont été examinées et certifiées par le Centre de sécurité Internet pour l'alignement de la version 1.0.0 du benchmark Google Cloud Computing Foundations CI. Des mises en correspondance de conformité supplémentaires sont incluses pour référence. Elles ne sont pas fournies ni examinées par la norme de sécurité des données de l'industrie des cartes de paiement ou la OWASP Foundation. Consultez la version 1.0.0 du benchmark Google Cloud Computing Foundations du CIS (CIS Google Cloud Foundation 1.0), la version 3.2.1 de la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS v3.2.1), le projet Top 10 de l'OWASP, la norme 800-53 du National Institute of Standards and Technology (NIST 800-53) et la norme 27001 de l'Organisation internationale de la normalisation (ISO 27001) pour savoir comment vérifier manuellement ces violations.

Cette fonctionnalité est uniquement destinée à vous permettre de surveiller les cas de non-respect des contrôles de conformité. Les mises en correspondance ne sont pas fournies pour être utilisées comme base ou substitut de l'audit, du certificat ou du rapport de conformité de vos produits ou services par rapport à des benchmarks ou des normes industriels ou du secteur.

Analyse de l'état de la sécurité

Vous trouverez ci-dessous les types de résultats identifiés par les détecteurs Security Health Analytics.

Résultats de la validation en deux étapes

Le détecteur 2SV_SCANNER identifie automatiquement les failles liées à la validation en deux étapes.

Tableau 1. Outil d'analyse de la validation en deux étapes
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
2SV_NOT_ENFORCED Certains utilisateurs n'utilisent pas la validation en deux étapes. 1.2 IA-2 A.9.4.2

Résultats de failles de clé API

Le détecteur API_KEY_SCANNER identifie les failles liées aux clés API utilisées dans votre déploiement cloud.

Tableau 2. Outil d'analyse de clés API
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
API_KEY_APIS_UNRESTRICTED Certaines clés API sont utilisées à trop grande échelle. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application. 1.11
API_KEY_APPS_UNRESTRICTED Des clés API sont utilisées de manière non restreinte, autorisant une utilisation par n'importe quelle application non approuvée.
API_KEY_EXISTS Un projet utilise des clés API au lieu de l'authentification standard. 1.10
API_KEY_NOT_ROTATED La clé API n'a pas subi de rotation depuis plus de 90 jours. 1.13

Résultats de failles d'images Compute

Le détecteur COMPUTE_IMAGE_SCANNER identifie les failles liées aux configurations d'image Google Cloud.

Tableau 3. Outil d'analyse d'images Compute
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
PUBLIC_COMPUTE_IMAGE Une image Compute Engine est accessible au public.

Résultats de failles d'instance Compute

Le détecteur COMPUTE_INSTANCE_SCANNER identifie les failles liées aux configurations d'instance Google Cloud.

Notez que le détecteur COMPUTE_INSTANCE_SCANNER ne signale pas les résultats sur les instances Compute créées par GKE. Les noms de ces instances commencent par "gke-" et elles ne peuvent pas être modifiées directement par les utilisateurs. Pour sécuriser ces instances, reportez-vous à la section "Résultats de failles de conteneur".

Tableau 4. Outil d'analyse d'instances Compute
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED Les clés SSH à l'échelle du projet permettent de se connecter à toutes les instances du projet. 4,2
COMPUTE_SECURE_BOOT_DISABLED Le démarrage sécurisé n'est pas activé pour cette VM protégée. L'utilisation du démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits. 4,8
COMPUTE_SERIAL_PORTS_ENABLED Les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance. 4.4
DISK_CSEK_DISABLED Les disques de cette VM ne sont pas chiffrés avec des clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour activer ce détecteur, appliquez la marque de sécurité enforce_customer_supplied_disk_encryption_keys en ajoutant la valeur true aux éléments que vous souhaitez surveiller. 4.6
FULL_API_ACCESS Une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud. 4,1 AC-6 A.9.2.3
IP_FORWARDING_ENABLED Le transfert IP est activé sur les instances. 4,5
OS_LOGIN_DISABLED OS Login est désactivé sur cette instance. 4.3
PUBLIC_IP_ADDRESS Une instance possède une adresse IP publique. 1.2.1
1.3.5
CA-3
SC-7
WEAK_SSL_POLICY Une instance a une stratégie SSL faible. SC-7 A.14.1.3

Résultats de failles de conteneur

Ces types de résultats sont tous liés aux configurations de conteneurs GKE et appartiennent au type de détecteur CONTAINER_SCANNER.

Tableau 5. Outil d'analyse de conteneur
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
AUTO_REPAIR_DISABLED La fonctionnalité de réparation automatique de cluster GKE, qui permet de maintenir les nœuds dans un état sain et d'exécution, est désactivée. 7.7
AUTO_UPGRADE_DISABLED La fonctionnalité de mise à niveau automatique de cluster GKE, qui permet de conserver les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée. 7.8
CLUSTER_LOGGING_DISABLED La journalisation n'est pas activée pour un cluster GKE. 7.1
CLUSTER_MONITORING_DISABLED Cloud Monitoring est désactivé sur les clusters GKE. 7,2 10.2.2
10.2.7
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED Les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées afin d'accéder aux API Google. 7.16 1,3
COS_NOT_USED Les VM Compute Engine n'utilisent pas le système d'exploitation optimisé par conteneur conçu pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité. 7.9 2.2
IP_ALIAS_DISABLED Un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées. 7.13 1.3.4
1.3.7
LEGACY_AUTHORIZATION_ENABLED L'ancienne autorisation est activée sur les clusters GKE. 7,3 4,1
LEGACY_METADATA_ENABLED Les anciennes métadonnées sont activées sur les clusters GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED Les réseaux autorisés maîtres ne sont pas activés sur les clusters GKE. 7.4
NETWORK_POLICY_DISABLED La stratégie de réseau est désactivée sur les clusters GKE. 7.11 1,3 SC-7 A.13.1.1
OVER_PRIVILEGED_ACCOUNT Un compte de service possède un accès trop étendu au projet d'un cluster. 7.17 2.1 AC-6
SC-7
A.9.2.3
OVER_PRIVILEGED_SCOPES Un compte de service de nœud possède des niveaux d'accès étendus. 7.18
POD_SECURITY_POLICY_DISABLED Cet objet PodSecurityPolicy est désactivé sur un cluster GKE. 7.14
PRIVATE_CLUSTER_DISABLED Un cluster GKE possède un cluster privé désactivé. 7.15
WEB_UI_ENABLED L'interface utilisateur Web de GKE (tableau de bord) est activée. 7,6 6.5.8
6.6
WORKLOAD_IDENTITY_DISABLED Workload Identity est désactivé sur un cluster GKE.

Résultats de failles d'ensemble de données

Les failles de ce type de détecteur sont toutes liées aux configurations de l'ensemble de données BigQuery et appartiennent au type de détecteur DATASET_SCANNER.

Tableau 6. Outil d'analyse d'ensemble de données
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
PUBLIC_DATASET Un ensemble de données est configuré pour être accessible au public. AC-3 A.8.2.3
A.14.1.3

Résultats de failles DNS

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud DNS et appartiennent au type de détecteur DNS_SCANNER.

Tableau 7. Outil d'analyse DNS
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
DNSSEC_DISABLED DNSSEC est désactivé pour les zones Cloud DNS. 3,3 A.8.2.3
RSASHA1_FOR_SIGNING RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS. 3.4
3.5

Résultats de failles de pare-feu

Les failles de ce type de détecteur sont toutes liées aux configurations de pare-feu et appartiennent au type de détecteur FIREWALL_SCANNER.

Tableau 8. Outil d'analyse de pare-feu
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
FIREWALL_RULE_LOGGING_DISABLED La journalisation des règles de pare-feu est désactivée. Activez la journalisation des règles de pare-feu pour pouvoir auditer les accès au réseau. 10.1 SI-4 A.13.1.1
OPEN_FIREWALL Un pare-feu est configuré pour être accessible au public. 1.2.1
OPEN_RDP_PORT Un pare-feu est configuré de manière à disposer d'un port RDP ouvert qui autorise l'accès générique. 3.7 1.2.1 SC-7 A.13.1.1
OPEN_SSH_PORT Un pare-feu est configuré de manière à disposer d'un port SSH ouvert qui autorise l'accès générique. 3.6 1.2.1 SC-7 A.13.1.1

Résultats de failles IAM

Les failles de ce type de détecteur sont toutes liées à la configuration de la gestion de l'authentification et des accès (IAM) et appartiennent au type de détecteur IAM_SCANNER.

Tableau 9. Outil d'analyse IAM
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
ADMIN_SERVICE_ACCOUNT Un compte de service est configuré avec des rôles d'administrateur. 1.4
KMS_PROJECT_HAS_OWNER Un utilisateur dispose des autorisations "Propriétaire" sur un projet disposant de clés cryptographiques. 3,5 AC-6
SC-12
A.9.2.3
A.10.1.2
KMS_ROLE_SEPARATION La séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles suivants : Cloud Key Management Service (Cloud KMS) Chiffrement/Déchiffrement CryptoKey, Chiffrement ou Déchiffrement. 1.9 AC-5 A.9.2.3
A.10.1.2
NON_ORG_IAM_MEMBER Un utilisateur n'utilise pas d'identifiants d'organisation. 1,1 7.1.2 AC-3 A.9.2.3
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER Un utilisateur dispose du rôle d'utilisateur de compte de service au niveau du projet, plutôt qu'au niveau d'un compte de service spécifique. 1.5 7.1.2 AC-6 A.9.2.3
PRIMITIVE_ROLES_USED Un utilisateur dispose du rôle primitif "Propriétaire", "Rédacteur" ou "Lecteur". Ces rôles sont trop permissifs et ne doivent pas être utilisés. 7.1.2 AC-6 A.9.2.3
REDIS_ROLE_USED_ON_ORG Un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier. 8.7 A.9.2.3
SERVICE_ACCOUNT_ROLE_SEPARATION Un utilisateur a été affecté aux rôles d'administrateur de compte de service et d'utilisateur de compte de service. Cela enfreint le principe de "séparation des tâches". 1,7 AC-5
SERVICE_ACCOUNT_KEY_NOT_ROTATED La clé d'un compte de service n'a pas subi de rotation depuis plus de 90 jours. 1,6
USER_MANAGED_SERVICE_ACCOUNT_KEY Une clé de compte de service est gérée par un utilisateur. 1,3

Résultats de failles KMS

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud KMS et appartiennent au type de détecteur KMS_SCANNER.

Tableau 10. Outil d'analyse KMS
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
KMS_KEY_NOT_ROTATED La rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. 1.8 SC-12 A.10.1.2
TOO_MANY_KMS_USERS Il existe plus de 3 utilisateurs de clés cryptographiques. 3.5.2 A.9.2.3

Résultats de failles de journalisation

Les failles de ce type de détecteur sont toutes liées aux configurations de journalisation et appartiennent au type de détecteur LOGGING_SCANNER.

Tableau 11. Outil d'analyse de journalisation
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
AUDIT_LOGGING_DISABLED Les journaux d'audit ont été désactivés pour cette ressource. 2.1 10.2.3 AU-2 A.12.4.1
A.16.1.7
BUCKET_LOGGING_DISABLED La journalisation est désactivée dans un bucket de stockage. 5,3
LOG_NOT_EXPORTED Aucun récepteur de journaux approprié n'est configuré sur une ressource. 2.2 10.2.3 A.18.1.3
OBJECT_VERSIONING_DISABLED La gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés. 2,3 10.2.3
PUBLIC_LOG_BUCKET Les buckets de stockage utilisés comme récepteurs de journaux ne doivent pas être accessibles au public. 10.5 AU-9 A.8.2.3
A.12.4.2
A.18.1.3

Résultats de failles de surveillance

Les failles de ce type de détecteur sont toutes liées aux configurations de surveillance et appartiennent au type MONITORING_SCANNER. Toutes les propriétés de résultats de détecteurs de surveillance incluent :

  • La valeur RecommendedLogFilter à utiliser pour créer les statistiques de journal.
  • La valeur QualifiedLogMetricNames qui couvre les conditions répertoriées dans le filtre de journal recommandé.
  • La valeur AlertPolicyFailureReasons, qui indique si le projet ne possède pas de règles d'alerte créées pour l'une des statistiques de journal qualifiées, ou si les règles d'alerte existantes ne possèdent pas les paramètres recommandés.
Tableau 12. Outil d'analyse de surveillance
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
AUDIT_CONFIG_NOT_MONITORED Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit. 2.5
BUCKET_IAM_NOT_MONITORED Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux autorisations IAM Cloud Storage. 2.10 1.3.2
CUSTOM_ROLE_NOT_MONITORED Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé. 2.6
FIREWALL_NOT_MONITORED Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu de réseau VPC. 2.7
NETWORK_NOT_MONITORED Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au réseau VPC. 2,9
OWNER_NOT_MONITORED Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les attributions ou les modifications de propriétaire de projet. 2.4
ROUTE_NOT_MONITORED Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC. 2.8
SQL_INSTANCE_NOT_MONITORED Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à l'instance Cloud SQL. 2.11

Résultats de failles de réseau

Les failles de ce type de détecteur sont toutes liées aux configurations de réseau d'une organisation et appartiennent au typeNETWORK_SCANNER.

Tableau 13. Outil d'analyse de réseau
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
DEFAULT_NETWORK Le réseau par défaut est appliqué dans un projet. 3.1
LEGACY_NETWORK Un ancien réseau existe dans un projet. 3.2

Résultats de failles de mot de passe SSH

Les failles de ce type de détecteur sont toutes liées aux mots de passe et appartiennent au type SSH_PASSWORD.

Tableau 14. Outil d'analyse de mot de passe SSH
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
WEAK_SSH_PASSWORD Une ressource possède un mot de passe SSH faible.

Résultats de failles SQL

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud SQL et appartiennent au type SQL_SCANNER.

Tableau 15. Outil d'analyse SQL
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
AUTO_BACKUP_DISABLED Les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL. 10.2.1 CA-3 A.12.3.1
PUBLIC_SQL_INSTANCE Une instance de base de données Cloud SQL accepte les connexions à partir de toutes les adresses IP. 6,2 1.2.1 CA-3
SC-7
A.8.2.3
A.13.1.3
A.14.1.3
SSL_NOT_ENFORCED Une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL. 6,1 2,3 SC-7 A.8.2.3
A.13.2.1
A.14.1.3
SQL_NO_ROOT_PASSWORD Une base de données Cloud SQL ne possède pas de mot de passe configuré pour le compte racine.
SQL_WEAK_ROOT_PASSWORD Une base de données Cloud SQL possède un mot de passe faible configuré pour le compte racine.

Résultats de failles de stockage

Les failles de ce type de détecteur sont toutes liées aux configurations de buckets Cloud Storage et appartiennent au typeSTORAGE_SCANNER.

Tableau 16. Outil d'analyse de stockage
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
BUCKET_POLICY_ONLY_DISABLED La valeur Uniform bucket-level access, précédemment appelée Bucket Policy Only, n'est pas configurée.
LOGGING_DISABLED La journalisation est désactivée pour un bucket Cloud Storage.
PUBLIC_BUCKET_ACL Un bucket Cloud Storage est accessible au public. 5,1 7.1 AC-2 A.8.2.3
A.14.1.3

Résultats de failles de sous-réseau

Les failles de ce type de détecteur sont toutes liées aux configurations de sous-réseau d'une organisation et appartiennent au typeSUBNETWORK_SCANNER.

Tableau 17. Outil d'analyse de sous-réseau
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
FLOW_LOGS_DISABLED Les journaux de flux sont désactivés dans un sous-réseau VPC. 3.9 SI-4 A.13.1.1
PRIVATE_GOOGLE_ACCESS_DISABLED Il existe des sous-réseaux privés sans accès aux API publiques Google. 3.8

Résultats de Web Security Scanner

Vous trouverez ci-dessous les types de résultat identifiés par les analyses personnalisées et gérées de Web Security Scanner.

Tableau 18.Résultats de Web Security Scanner
Category Description du résultat CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT. A3
ACCESSIBLE_SVN_REPOSITORY Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN. A3
CLEAR_TEXT_PASSWORD Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau. A3
INVALID_CONTENT_TYPE Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP "X-Content-Type-Options" sur la valeur correcte. A6
INVALID_HEADER Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. A6
MISMATCHING_SECURITY_HEADER_VALUES Un en-tête de sécurité contient des valeurs en double incompatibles, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. A6
MISSPELLED_SECURITY_HEADER_NAME Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. A6
MIXED_CONTENT Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS. A6
OUTDATED_LIBRARY Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à jour la bibliothèque vers une version plus récente. A9
XSS Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. A7
XSS_ANGULAR_CALLBACK Une chaîne fournie par l'utilisateur n'est pas échappée et peut être interpolée par AngularJS. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées gérées par le framework Angular et faites-les échapper. A7
XSS_ERROR Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. A7

Benchmarks CIS

Le Centre de sécurité Internet inclut les benchmarks suivants qui ne sont actuellement pas compatibles avec les détecteurs de Web Security Scanner et Security Health Analytics.

Tableau 19. Benchmarks CIS
Category Description du résultat CIS GCP Foundation 1.0 NIST 800-53 ISO-27001
BASIC_AUTHENTICATION_ENABLED Vous devez activer l'authentification via le certificat client ou IAM sur les clusters Kubernetes. 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED Vous devez activer l'option "Certificat client" lors de la création des clusters Kubernetes. 7.12
LABELS_NOT_USED Des libellés peuvent être utilisés pour répartir les informations de facturation. 7,5
PUBLIC_STORAGE_OBJECT La LCA de stockage d'objet ne doit pas accorder l'accès à AllUsers. 5,2
SQL_BROAD_ROOT_LOGIN L'accès root à une base de données SQL doit être limité aux adresses IP approuvées répertoriées. 6,4

Étape suivante