I rilevatori di Rapid Vulnerability Detection, Security Health Analytics e Web Security Scanner generano risultati di vulnerabilità disponibili in Security Command Center. Una volta abilitati in Security Command Center, anche i servizi integrati, come VM Manager, generano rilevazioni di vulnerabilità.
La tua capacità di visualizzare e modificare i risultati è determinata dai ruoli IAM (Identity and Access Management) e dalle autorizzazioni che ti vengono assegnati. Per maggiori informazioni sui ruoli IAM in Security Command Center, consulta Controllo dell'accesso.
Rilevatori e conformità
Security Command Center monitora la tua conformità con i rilevatori mappati ai controlli di un'ampia gamma di standard di sicurezza.
Per ogni standard di sicurezza supportato, Security Command Center controlla un sottoinsieme di controlli. Per i controlli selezionati, Security Command Center mostra quanti controlli vengono superati. Per i controlli che non vengono superati, Security Command Center mostra un elenco dei risultati che descrivono gli errori dei controlli.
Il CIS esamina e certifica le mappature dei rilevatori di Security Command Center a ogni versione supportata del benchmark CIS Google Cloud Foundations Benchmark. Ulteriori mapping di conformità sono inclusi solo a scopo di riferimento.
Security Command Center aggiunge periodicamente il supporto per nuovi standard e versioni di benchmark. Le versioni precedenti rimangono supportate, ma alla fine verranno ritirate. Ti consigliamo di utilizzare l'ultimo benchmark o standard supportato disponibile.
Con il servizio della postura di sicurezza, puoi mappare i criteri dell'organizzazione e i rilevatori di Security Health Analytics agli standard e ai controlli applicabili alla tua azienda. Dopo aver creato una postura di sicurezza, puoi monitorare eventuali modifiche all'ambiente che potrebbero influire sulla conformità della tua azienda.
Per maggiori informazioni sulla gestione della conformità, consulta Valutare e segnalare la conformità agli standard di sicurezza.
Standard di sicurezza supportati su Google Cloud
Security Command Center mappa i rilevatori per Google Cloud a uno o più dei seguenti standard di conformità:
- Center for Information Security (CIS) Controls 8.0
- Benchmark CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- Benchmark CIS per Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- HIPAA (Health Insurance Portability and Accountability Act)
- Organizzazione internazionale per la standardizzazione (ISO) 27001, 2022 e 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 e R4
- CSF NIST 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 e 2017
- Payment Card Industry Data Security Standard (PCI DSS) 4.0 e 3.2.1
- Controlli di sistema e dell'organizzazione (SOC) 2 Criteri per i servizi attendibili 2017 (TSC)
Standard di sicurezza supportati su AWS
Security Command Center mappa i rilevatori per Amazon Web Services (AWS) a uno o più dei seguenti standard di conformità:
- CIS Amazon Web Services Foundations 2.0.0
- Controlli CIS 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- CSF NIST 1.0
- PCI DSS 4.0 e 3.2.1
- SOC 2 TSC 2017
Per istruzioni su come visualizzare ed esportare i report di conformità, consulta la sezione Conformità in Utilizzare Security Command Center nella console Google Cloud.
Individuazione della disattivazione dopo la correzione
Dopo aver corretto un risultato di vulnerabilità o di configurazione errata, il servizio Security Command Center che ha rilevato il risultato imposta automaticamente lo stato del risultato su INACTIVE
la prossima volta che il servizio di rilevamento analizza il risultato. Il tempo necessario a Security Command Center per impostare un risultato corretto su INACTIVE
dipende dalla pianificazione della scansione che rileva il risultato.
I servizi Security Command Center impostano anche lo stato di una vulnerabilità
o di un risultato di configurazione errata su INACTIVE
quando una scansione rileva che
la risorsa interessata dal risultato viene eliminata.
Per ulteriori informazioni sugli intervalli di scansione, consulta i seguenti argomenti:
- Tipi di analisi di Security Health Analytics
- Latenza e intervallo dell'analisi di Rapid Vulnerability Detection
- Tipi di scansione di Web Security Scanner
Risultati di Security Health Analytics
I rilevatori di Security Health Analytics monitorano un sottoinsieme di risorse di Cloud Asset Inventory (CAI), ricevendo notifiche relative alle modifiche ai criteri delle risorse e di Identity and Access Management (IAM). Alcuni rilevatori recuperano i dati chiamando direttamente le API Google Cloud, come indicato nelle tabelle più avanti in questa pagina.
Per ulteriori informazioni su Security Health Analytics, sulle pianificazioni delle scansioni e sul supporto di Security Health Analytics per rilevatori di moduli sia integrati che personalizzati, consulta Panoramica di Security Health Analytics.
Le seguenti tabelle descrivono i rilevatori di Security Health Analytics, gli asset e gli standard di conformità supportati, le impostazioni che utilizzano per le analisi e i tipi di rilevamento generati. Puoi filtrare i risultati in base a vari attributi utilizzando la pagina Vulnerabilità di Security Command Center nella console Google Cloud.
Per istruzioni su come risolvere i problemi e proteggere le risorse, consulta Correzione dei risultati di Security Health Analytics.
Risultati relativi alle vulnerabilità delle chiavi API
Il rilevatore API_KEY_SCANNER
identifica le vulnerabilità relative alle chiavi API utilizzate nel deployment cloud.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
API key APIs unrestricted
Nome categoria nell'API: |
Descrizione del risultato: alcune chiavi API vengono utilizzate in modo troppo ampio. Per risolvere il problema, limita l'utilizzo delle chiavi API per consentire solo le API necessarie per l'applicazione. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera la proprietà
|
API key apps unrestricted
Nome categoria nell'API: |
Ricerca della descrizione: esistono chiavi API utilizzate senza limitazioni, che consentono l'utilizzo da parte di qualsiasi app non attendibile. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera la proprietà
|
API key exists
Nome categoria nell'API: |
Descrizione del risultato: un progetto utilizza chiavi API anziché l'autenticazione standard. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera tutte le chiavi API di proprietà di un progetto.
|
API key not rotated
Nome categoria nell'API: |
Descrizione originale: la chiave API non viene ruotata per più di 90 giorni. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera il timestamp contenuto nella
proprietà
|
Risultati di vulnerabilità di Cloud Asset Inventory
Le vulnerabilità di questo tipo di rilevatore sono correlate alle configurazioni di Cloud Asset Inventory e appartengono al tipo CLOUD_ASSET_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Cloud Asset API disabled
Nome categoria nell'API: |
Descrizione della funzionalità: l'acquisizione delle risorse Google Cloud e dei criteri IAM da parte di Cloud Asset Inventory consente l'analisi della sicurezza, il monitoraggio delle modifiche delle risorse e i controlli di conformità. Ti consigliamo di abilitare il servizio Cloud Asset Inventory per tutti i progetti. Questo rilevatore richiede una configurazione aggiuntiva per essere abilitato. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se il servizio Cloud Asset Inventory è abilitato.
|
Risultati di vulnerabilità delle immagini Compute
Il rilevatore COMPUTE_IMAGE_SCANNER
identifica le vulnerabilità relative alle configurazioni delle immagini Google Cloud.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Public Compute image
Nome categoria nell'API: |
Descrizione del risultato: un'immagine Compute Engine è accessibile pubblicamente. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla il criterio di autorizzazione IAM nei metadati delle risorse per trovare le entità
|
Risultati di vulnerabilità delle istanze Compute
Il rilevatore COMPUTE_INSTANCE_SCANNER
identifica le vulnerabilità correlate alle configurazioni delle istanze Compute Engine.
I rilevatori COMPUTE_INSTANCE_SCANNER
non segnalano risultati sulle istanze di Compute Engine create da GKE. Queste istanze hanno nomi che iniziano con "gke-", che gli utenti non possono modificare. Per proteggere queste istanze, consulta la sezione Risultati relativi alle vulnerabilità dei container.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Confidential Computing disabled
Nome categoria nell'API: |
Descrizione del risultato: Confidential Computing è disabilitato su un'istanza di Compute Engine. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Compute project wide SSH keys allowed
Nome categoria nell'API: |
Descrizione del testo: vengono utilizzate chiavi SSH a livello di progetto che consentono l'accesso a tutte le istanze del progetto. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla l'oggetto
|
Compute Secure Boot disabled
Nome categoria nell'API: |
Descrizione del risultato: per questa Shielded VM non è abilitato l'avvio protetto. L'utilizzo dell'Avvio protetto consente di proteggere le istanze delle macchine virtuali da minacce avanzate come rootkit e bootkit. Livello di prezzo: Premium Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla la proprietà
|
Compute serial ports enabled
Nome categoria nell'API: |
Descrizione del risultato: le porte seriali sono abilitate per un'istanza, consentendo le connessioni alla console seriale dell'istanza. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla l'oggetto
|
Default service account used
Nome categoria nell'API: |
Descrizione del risultato: un'istanza è configurata per utilizzare l'account di servizio predefinito. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Disk CMEK disabled
Nome categoria nell'API: |
Descrizione del risultato: i dischi di questa VM non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere abilitato. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla il campo
|
Disk CSEK disabled
Nome categoria nell'API: |
Descrizione da trovare: i dischi su questa VM non sono criptati con chiavi di crittografia fornite dal cliente (CSEK). Questo rilevatore richiede una configurazione aggiuntiva per essere abilitato. Per le istruzioni, consulta Rilevamento di casi speciali. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il campo
|
Full API access
Nome categoria nell'API: |
Descrizione visualizzata: un'istanza è configurata in modo da utilizzare l'account di servizio predefinito con accesso completo a tutte le API Google Cloud. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Recupera il campo
|
HTTP load balancer
Nome categoria nell'API: |
Descrizione del risultato: un'istanza utilizza un bilanciatore del carico configurato per l'utilizzo di un proxy HTTP di destinazione anziché di un proxy HTTPS di destinazione. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Determina se la proprietà
|
IP forwarding enabled
Nome categoria nell'API: |
Ricerca della descrizione: l'IP forwarding è abilitato sulle istanze. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
OS login disabled
Nome categoria nell'API: |
Descrizione visualizzata: OS Login è disabilitato in questa istanza. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla l'oggetto
|
Public IP address
Nome categoria nell'API: |
Descrizione visualizzata: un'istanza ha un indirizzo IP pubblico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Shielded VM disabled
Nome categoria nell'API: |
Ricerca della descrizione: la Shielded VM è disabilitata su questa istanza. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Weak SSL policy
Nome categoria nell'API: |
Descrizione dell'istanza: Un'istanza ha un criterio SSL debole. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se
|
Risultati di vulnerabilità dei container
Questi tipi di risultati sono relativi tutti alle configurazioni di container GKE e appartengono al tipo di rilevatore CONTAINER_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Alpha cluster enabled
Nome categoria nell'API: |
Descrizione del risultato: le funzionalità del cluster alpha sono abilitate per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Auto repair disabled
Nome categoria nell'API: |
Descrizione visualizzata: la funzionalità di riparazione automatica di un cluster GKE, che mantiene i nodi in stato integro e in esecuzione, è disabilitata. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Auto upgrade disabled
Nome categoria nell'API: |
Descrizione visualizzata: la funzionalità di upgrade automatico di un cluster GKE, che mantiene i cluster e i pool di nodi sull'ultima versione stabile di Kubernetes, è disabilitata. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Binary authorization disabled
Nome categoria nell'API: |
Descrizione visualizzata:Autorizzazione binaria è disabilitata sul cluster GKE oppure il criterio di Autorizzazione binaria è configurato per consentire il deployment di tutte le immagini. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Verifica quanto segue:
|
Cluster logging disabled
Nome categoria nell'API: |
Descrizione del risultato: Logging non è abilitato per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Cluster monitoring disabled
Nome categoria nell'API: |
Descrizione del risultato: il monitoraggio è disabilitato sui cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Cluster private Google access disabled
Nome categoria nell'API: |
Descrizione dell'elemento: Gli host del cluster non sono configurati per utilizzare solo indirizzi IP interni privati per accedere alle API di Google. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
Cluster secrets encryption disabled
Nome categoria nell'API: |
Descrizione del risultato: la crittografia dei secret a livello di applicazione è disabilitata su un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Cluster shielded nodes disabled
Nome categoria nell'API: |
Descrizione del risultato: i nodi GKE schermati non sono abilitati per un cluster. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
COS not used
Nome categoria nell'API: |
Descrizione del testo: le VM di Compute Engine non utilizzano Container-Optimized OS, progettato per l'esecuzione sicura dei container Docker su Google Cloud. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Integrity monitoring disabled
Nome categoria nell'API: |
Descrizione del risultato: il monitoraggio dell'integrità è disabilitato per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Intranode visibility disabled
Nome categoria nell'API: |
Descrizione del risultato: la visibilità tra nodi è disabilitata per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
IP alias disabled
Nome categoria nell'API: |
Descrizione del risultato: è stato creato un cluster GKE con intervalli IP alias disabilitati. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Legacy authorization enabled
Nome categoria nell'API: |
Descrizione visualizzata: l'autorizzazione legacy è abilitata sui cluster GKE. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Legacy metadata enabled
Nome categoria nell'API: |
Descrizione del risultato: i metadati legacy sono abilitati sui cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Master authorized networks disabled
Nome categoria nell'API: |
Descrizione del risultato: le reti autorizzate del piano di controllo non sono abilitate nei cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la
proprietà
|
Network policy disabled
Nome categoria nell'API: |
Descrizione del risultato: il criterio di rete è disabilitato sui cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il campo
|
Nodepool boot CMEK disabled
Nome categoria nell'API: |
Descrizione del risultato: i dischi di avvio in questo pool di nodi non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere abilitato. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla la proprietà
|
Nodepool secure boot disabled
Nome categoria nell'API: |
Descrizione del risultato: l'avvio protetto è disabilitato per un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Over privileged account
Nome categoria nell'API: |
Descrizione finale:un account di servizio ha un accesso a progetto troppo ampio in un cluster. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Valuta la proprietà
|
Over privileged scopes
Nome categoria nell'API: |
Descrizione originale: un account di servizio nodo ha ambiti di accesso ampio. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se l'ambito di accesso elencato nella
proprietà config.oauthScopes di un pool di nodi è
un ambito di accesso limitato all'account di servizio:
https://www.googleapis.com/auth/devstorage.read_only ,
https://www.googleapis.com/auth/logging.write
o
https://www.googleapis.com/auth/monitoring .
|
Pod security policy disabled
Nome categoria nell'API: |
Descrizione visualizzata: PodSecurityPolicy è disabilitato su un cluster GKE. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Private cluster disabled
Nome categoria nell'API: |
Descrizione visualizzata: un cluster GKE ha un cluster privato disabilitato. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Release channel disabled
Nome categoria nell'API: |
Ricerca della descrizione: un cluster GKE non è iscritto a un canale di rilascio. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Web UI enabled
Nome categoria nell'API: |
Ricerca della descrizione: l'interfaccia utente web di GKE (dashboard) è abilitata. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla il campo
|
Workload Identity disabled
Nome categoria nell'API: |
Descrizione del risultato: Workload Identity è disabilitato su un cluster GKE. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se è impostata la proprietà
|
Risultati di vulnerabilità di Dataproc
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate a Dataproc e appartengono al tipo di rilevatore DATAPROC_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Dataproc CMEK disabled
Nome categoria nell'API: |
Descrizione del risultato: un cluster Dataproc è stato creato senza una CMEK di configurazione di crittografia. Con CMEK, le chiavi che crei e gestisci in Cloud Key Management Service eseguono il wrapping delle chiavi utilizzate da Google Cloud per criptare i tuoi dati, offrendoti un maggiore controllo sull'accesso ai dati. Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Dataproc image outdated
Nome categoria nell'API: |
Descrizione originale: un cluster Dataproc è stato creato con una versione immagine Dataproc interessata dalle vulnerabilità di sicurezza nell'utilità Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046). Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla se il campo
|
Risultati di vulnerabilità dei set di dati
Le vulnerabilità di questo tipo di rilevatore sono correlate alle configurazioni dei set di dati BigQuery e appartengono al tipo di rilevatore DATASET_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
BigQuery table CMEK disabled
Nome categoria nell'API: |
Descrizione del risultato: una tabella BigQuery non è configurata per l'utilizzo di una chiave di crittografia gestita dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere abilitato. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Dataset CMEK disabled
Nome categoria nell'API: |
Descrizione del risultato: un set di dati BigQuery non è configurato per l'utilizzo di una CMEK predefinita. Questo rilevatore richiede una configurazione aggiuntiva per essere abilitato. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Public dataset
Nome categoria nell'API: |
Descrizione del risultato: un set di dati è configurato per essere aperto all'accesso pubblico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati delle risorse per trovare le entità
|
Risultati di vulnerabilità DNS
Le vulnerabilità di questo tipo di rilevatore sono correlate alle configurazioni di Cloud DNS e appartengono al tipo di rilevatore DNS_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
DNSSEC disabled
Nome categoria nell'API: |
Descrizione visualizzata: DNSSEC è disabilitato per le zone Cloud DNS. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
RSASHA1 for signing
Nome categoria nell'API: |
Descrizione visualizzata: RSASHA1 viene utilizzato per la firma delle chiavi nelle zone di Cloud DNS. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se l'oggetto
|
Risultati di vulnerabilità firewall
Le vulnerabilità di questo tipo di rilevatore si riferiscono tutte alle configurazioni firewall e appartengono al tipo di rilevatore FIREWALL_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Egress deny rule not set
Nome categoria nell'API: |
Descrizione del risultato: su un firewall non è stata impostata una regola di negazione per il traffico in uscita. Le regole di negazione in uscita devono essere impostate per bloccare il traffico in uscita indesiderato. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Firewall rule logging disabled
Nome categoria nell'API: |
Descrizione del risultato: il logging delle regole firewall è disabilitato. Il logging delle regole firewall deve essere abilitato per consentirti di controllare l'accesso alla rete. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open Cassandra port
Nome categoria nell'API: |
Descrizione del problema: Un firewall è configurato con una porta Cassandra aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open ciscosecure websm port
Nome categoria nell'API: |
Descrizione del problema: Un firewall è configurato con una porta CISCOSECURE_WEBSM aperta che consente un accesso generico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open directory services port
Nome categoria nell'API: |
Descrizione del problema: Un firewall è configurato per avere una porta DIRECTORY_SERVICE aperta che consente un accesso generico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open DNS port
Nome categoria nell'API: |
Descrizione del problema: Un firewall è configurato con una porta DNS aperta che consente un accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open elasticsearch port
Nome categoria nell'API: |
Descrizione del risultato: Un firewall è configurato con una porta ELASTICSEARCH aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open firewall
Nome categoria nell'API: |
Descrizione da trovare: Un firewall è configurato per essere aperto all'accesso pubblico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla le proprietà
|
Open FTP port
Nome categoria nell'API: |
Descrizione del problema: Un firewall è configurato con una porta FTP aperta che consente un accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open HTTP port
Nome categoria nell'API: |
Descrizione del file da trovare: un firewall è configurato con una porta HTTP aperta che consente un accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open LDAP port
Nome categoria nell'API: |
Descrizione del problema: Un firewall è configurato con una porta LDAP aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open Memcached port
Nome categoria nell'API: |
Descrizione del risultato: un firewall è configurato con una porta MEMCACHED aperta che consente un accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open MongoDB port
Nome categoria nell'API: |
Descrizione del problema: Un firewall è configurato con una porta MONGODB aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open MySQL port
Nome categoria nell'API: |
Descrizione del risultato: un firewall è configurato con una porta MYSQL aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open NetBIOS port
Nome categoria nell'API: |
Descrizione del problema: Un firewall è configurato con una porta NETBIOS aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open OracleDB port
Nome categoria nell'API: |
Descrizione del risultato: un firewall è configurato con una porta ORACLEDB aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open pop3 port
Nome categoria nell'API: |
Descrizione del risultato: un firewall è configurato con una porta POP3 aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open PostgreSQL port
Nome categoria nell'API: |
Descrizione del problema: Un firewall è configurato con una porta PostgreSQL aperta che consente un accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open RDP port
Nome categoria nell'API: |
Descrizione del risultato: un firewall è configurato con una porta RDP aperta che consente l'accesso generico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
Open Redis port
Nome categoria nell'API: |
Descrizione del problema: Un firewall è configurato con una porta REDIS aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
Open SMTP port
Nome categoria nell'API: |
Descrizione del file da trovare: Un firewall è configurato con una porta SMTP aperta che consente l'accesso generico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
Open SSH port
Nome categoria nell'API: |
Descrizione da trovare: Un firewall è configurato con una porta SSH aperta che consente un accesso generico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
Open Telnet port
Nome categoria nell'API: |
Descrizione del risultato: un firewall è configurato con una porta TELNET aperta che consente l'accesso generico. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
Risultati di vulnerabilità IAM
Le vulnerabilità di questo tipo di rilevatore sono relative alla configurazione di Identity and Access Management (IAM) e appartengono al tipo di rilevatore IAM_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Access Transparency disabled
Nome categoria nell'API: |
Descrizione degli accessi:Google Cloud Access Transparency è disattivato per la tua organizzazione. Log di Access Transparency quando i dipendenti di Google Cloud accedono ai progetti della tua organizzazione per fornire assistenza. Abilita Access Transparency per registrare chi accede alle tue informazioni da Google Cloud, quando e perché. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se nell'organizzazione è attivato Access Transparency.
|
Admin service account
Nome categoria nell'API: |
Descrizione visualizzata: un account di servizio dispone dei privilegi Amministratore, Proprietario o Editor. Questi ruoli non devono essere assegnati ad account di servizio creati dall'utente. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati delle risorse per eventuali account di servizio creati dall'utente (indicati dal prefisso iam.gserviceaccount.com), a cui sono assegnati
|
Essential Contacts Not Configured
Nome categoria nell'API: |
Descrizione: la tua organizzazione non ha designato una persona o un gruppo che riceverà notifiche da Google Cloud su eventi importanti come attacchi, vulnerabilità e incidenti relativi ai dati all'interno della tua organizzazione Google Cloud. Ti consigliamo di designare come contatto necessario una o più persone o gruppi della tua organizzazione aziendale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica che un contatto sia specificato per le seguenti categorie di contatti essenziali:
|
KMS role separation
Nome categoria nell'API: |
Descrizione dei compiti:non viene applicata la separazione dei compiti ed esiste un utente che dispone contemporaneamente di uno dei seguenti ruoli di Cloud Key Management Service (Cloud KMS): Autore crittografia/decrittografia CryptoKey, Criptatore o Autore crittografia. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla i criteri di autorizzazione IAM nei metadati delle risorse e recupera le entità a cui è stato assegnato contemporaneamente uno dei seguenti ruoli: roles/cloudkms.cryptoKeyEncrypterDecrypter , roles/cloudkms.cryptoKeyEncrypter e roles/cloudkms.cryptoKeyDecrypter , roles/cloudkms.signer , roles/cloudkms.signerVerifier , roles/cloudkms.publicKeyViewer .
|
Non org IAM member
Nome categoria nell'API: |
Descrizione visualizzata: esiste un utente che non utilizza le credenziali dell'organizzazione. Per CIS GCP Foundations 1.0, attualmente, solo le identità con indirizzi email @gmail.com attivano questo rilevatore. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Confronta gli indirizzi email @gmail.com nel campo
|
Open group IAM member
Nome categoria nell'API: |
Descrizione visualizzata:un account Google Gruppi a cui è possibile partecipare senza approvazione viene utilizzato come entità del criterio di autorizzazione IAM. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla il criterio IAM nei metadati delle risorse per verificare la presenza di eventuali associazione contenenti un membro (entità) con prefisso group . Se il gruppo è un gruppo aperto, Security Health Analytics genera questo risultato.
|
Over privileged service account user
Nome categoria nell'API: |
Descrizione dell'utente: Un utente dispone del ruolo Utente account di servizio o Creatore token account di servizio a livello di progetto, anziché per un account di servizio specifico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati delle risorse per verificare la presenza di eventuali entità assegnate roles/iam.serviceAccountUser o roles/iam.serviceAccountTokenCreator a livello di progetto.
|
Primitive roles used
Nome categoria nell'API: |
Come trovare la descrizione: Un utente dispone di uno dei seguenti ruoli di base:
Questi ruoli sono troppo permissivi e non dovrebbero essere utilizzati. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati delle risorse per verificare la presenza di eventuali entità a cui è stato assegnato un ruolo
|
Redis role used on org
Nome categoria nell'API: |
Descrizione visualizzata:viene assegnato un ruolo IAM Redis a livello di organizzazione o cartella. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium
Asset supportati
Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati delle risorse per verificare la presenza delle entità assegnate a
|
Service account role separation
Nome categoria nell'API: |
Descrizione in corso: A un utente sono stati assegnati i ruoli Amministratore account di servizio e Utente account di servizio. Ciò costituisce una violazione del principio di "Separazione dei doveri". Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati delle risorse per verificare la presenza di eventuali entità assegnate sia roles/iam.serviceAccountUser sia roles/iam.serviceAccountAdmin .
|
Service account key not rotated
Nome categoria nell'API: |
Descrizione visualizzata: la chiave dell'account di servizio non viene ruotata per più di 90 giorni. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Valuta il timestamp di creazione della chiave acquisito nella proprietà
|
User managed service account key
Nome categoria nell'API: |
Descrizione visualizzata: un utente gestisce una chiave dell'account di servizio. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Risultati di vulnerabilità KMS
Le vulnerabilità di questo tipo di rilevatore sono correlate alle configurazioni di Cloud KMS e appartengono al tipo di rilevatore KMS_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
KMS key not rotated
Nome categoria nell'API: |
Descrizione del risultato: la rotazione non è configurata su una chiave di crittografia di Cloud KMS. Le chiavi devono essere ruotate entro un periodo di 90 giorni. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla l'esistenza delle proprietà
|
KMS project has owner
Nome categoria nell'API: |
Descrizione dell'elemento: Un utente dispone delle autorizzazioni di Proprietario per un progetto che dispone di chiavi di crittografia. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati del progetto per verificare la presenza di entità assegnate
|
KMS public key
Nome categoria nell'API: |
Descrizione del risultato: una chiave di crittografia Cloud KMS è accessibile pubblicamente. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM nei metadati delle risorse per trovare le entità
|
Too many KMS users
Nome categoria nell'API: |
Descrizione originale: gli utenti delle chiavi di crittografia sono più di tre. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla i criteri di autorizzazione IAM per keyring, progetti e organizzazioni e recupera le entità con ruoli che consentono loro di criptare, decriptare o firmare i dati utilizzando le chiavi Cloud KMS: roles/owner , roles/cloudkms.cryptoKeyEncrypterDecrypter , roles/cloudkms.cryptoKeyEncrypter , roles/cloudkms.cryptoKeyDecrypter , roles/cloudkms.signer e roles/cloudkms.signerVerifier .
|
Logging dei risultati di vulnerabilità
Tutte le vulnerabilità di questo tipo di rilevatore sono relative alle configurazioni di logging e appartengono al tipo di rilevatore LOGGING_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Audit logging disabled
Nome categoria nell'API: |
Descrizione del risultato: l'audit logging è stato disabilitato per questa risorsa. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica l'esistenza di un oggetto
|
Bucket logging disabled
Nome categoria nell'API: |
Descrizione: esiste un bucket di archiviazione senza logging abilitato. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se il campo
|
Locked retention policy not set
Nome categoria nell'API: |
Descrizione del processo di ricerca: non è stato impostato un criterio di conservazione bloccato per i log. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Log not exported
Nome categoria nell'API: |
Ricerca della descrizione: esiste una risorsa per cui non è stato configurato un sink di log appropriato. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati
Standard di conformità:
|
Recupera un oggetto
|
Object versioning disabled
Nome categoria nell'API: |
Descrizione degli oggetti:il controllo delle versioni degli oggetti non è abilitato in un bucket di archiviazione in cui sono configurati i sink. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
Monitoraggio dei risultati di vulnerabilità
Le vulnerabilità di questo tipo di rilevatore si riferiscono tutte alle configurazioni di monitoraggio e appartengono al tipo MONITORING_SCANNER
. Tutte le proprietà dei risultati dei rilevatori di Monitoring includono:
-
Il
RecommendedLogFilter
da utilizzare per la creazione delle metriche di log. -
Il valore
QualifiedLogMetricNames
che copre le condizioni elencate nel filtro di log consigliato. -
AlertPolicyFailureReasons
che indica se il progetto non ha criteri di avviso creati per nessuna delle metriche di log qualificate o se i criteri di avviso esistenti non hanno le impostazioni consigliate.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Audit config not monitored
Nome categoria nell'API: |
Descrizione dei dati: le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alla configurazione dell'audit. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* e, se resource.type è specificato, che il valore è global .
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Bucket IAM not monitored
Nome categoria nell'API: |
Descrizione dei dati: Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle autorizzazioni IAM di Cloud Storage. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della
risorsa LogsMetric del progetto è impostata su
resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" .
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Custom role not monitored
Nome categoria nell'API: |
Descrizione dei dati: Le metriche dei log e gli avvisi non sono configurati per monitorare le modifiche ai ruoli personalizzati. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della
risorsa LogsMetric del progetto è impostata su
resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") .
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Firewall not monitored
Nome categoria nell'API: |
Descrizione del risultato: le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall di rete Virtual Private Cloud (VPC). Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della
risorsa LogsMetric del progetto è impostata su
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") .
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Network not monitored
Nome categoria nell'API: |
Descrizione dei dati: le metriche dei log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della
risorsa LogsMetric del progetto è impostata su
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") .
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Owner not monitored
Nome categoria nell'API: |
Descrizione della descrizione: Le metriche dei log e gli avvisi non sono configurati per monitorare le assegnazioni o le modifiche alla proprietà del progetto. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") e, se resource.type è specificato, che il valore è global .
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Route not monitored
Nome categoria nell'API: |
Descrizione dei log: Le metriche dei log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della
risorsa LogsMetric del progetto è impostata su
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") .
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
SQL instance not monitored
|
Descrizione dei log: Le metriche dei log e gli avvisi non sono configurati per monitorare le modifiche alla configurazione dell'istanza Cloud SQL. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" e, se resource.type è specificato, che il valore è global .
Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
|
Risultati dell'autenticazione a più fattori
Il rilevatore MFA_SCANNER
identifica le vulnerabilità relative all'autenticazione
a più fattori per gli utenti.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
MFA not enforced
Nome categoria nell'API: |
Alcuni utenti non utilizzano la verifica in due passaggi. Google Workspace consente di specificare un periodo di tolleranza per la registrazione per i nuovi utenti durante il quale devono registrarsi per la verifica in due passaggi. Questo rilevatore crea risultati per gli utenti durante il periodo di tolleranza della registrazione. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Valuta i criteri di gestione delle identità nelle organizzazioni e nelle impostazioni utente per gli account gestiti in Cloud Identity.
|
Risultati di vulnerabilità di rete
Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di rete di un'organizzazione e appartengono al tipoNETWORK_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Default network
Nome categoria nell'API: |
Descrizione del risultato: la rete predefinita esiste in un progetto. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
DNS logging disabled
Nome categoria nell'API: |
Ricerca della descrizione: il logging DNS su una rete VPC non è abilitato. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla tutti gli elementi
|
Legacy network
Nome categoria nell'API: |
Descrizione del risultato: una rete legacy esiste in un progetto. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica l'esistenza della proprietà
|
Load balancer logging disabled
Nome categoria nell'API: |
Descrizione del risultato: il logging è disabilitato per il bilanciatore del carico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
Risultati di vulnerabilità dei criteri dell'organizzazione
Le vulnerabilità di questo tipo di rilevatore si riferiscono tutte a configurazioni di vincoli dei Criteri dell'organizzazione e appartengono al tipo ORG_POLICY
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Org policy Confidential VM policy
Nome categoria nell'API: |
Descrizione:
una risorsa Compute Engine non è conforme al
criterio dell'organizzazione
constraints/compute.restrictNonConfidentialComputing . Per maggiori informazioni su questo vincolo dei criteri dell'organizzazione, consulta Applicazione di vincoli dei criteri dell'organizzazione in Confidential VM.
Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla se la proprietà
|
Org policy location restriction
Nome categoria nell'API: |
Descrizione visualizzata:
una risorsa Compute Engine non è conforme al
vincolo constraints/gcp.resourceLocations . Per ulteriori informazioni su questo vincolo dei criteri dell'organizzazione, consulta Applicazione di vincoli dei criteri dell'organizzazione.
Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Verifica la proprietà
|
Asset supportati per ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Poiché gli asset di Cloud KMS non possono essere eliminati, l'asset non viene considerato al di fuori della regione se i dati dell'asset sono stati eliminati. 2 Poiché i job di importazione di Cloud KMS hanno un ciclo di vita controllato e non possono essere terminati prima, un ImportJob non viene considerato fuori regione se il job è scaduto e non può più essere utilizzato per importare chiavi. 3 Poiché il ciclo di vita dei job Dataflow non può essere gestito, un job non viene considerato fuori regione dopo che ha raggiunto uno stato di terminale (arresto o svuotato), in cui non può più essere utilizzato per elaborare i dati. |
Risultati di vulnerabilità di Pub/Sub
Le vulnerabilità di questo tipo di rilevatore sono correlate alle configurazioni Pub/Sub e appartengono al tipo PUBSUB_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Pubsub CMEK disabled
Nome categoria nell'API: |
Descrizione del risultato: Un argomento Pub/Sub non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere abilitato. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla il campo
|
Risultati di vulnerabilità SQL
Le vulnerabilità di questo tipo di rilevatore sono correlate alle configurazioni di Cloud SQL e appartengono al tipo SQL_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
AlloyDB auto backup disabled
Nome categoria nell'API: |
Descrizione del risultato: per un cluster AlloyDB per PostgreSQL non sono abilitati i backup automatici. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
AlloyDB log min error statement severity
Nome categoria nell'API: |
Descrizione del risultato: il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Per garantire una copertura adeguata dei tipi di messaggi nei log, genera un risultato se il campo
|
AlloyDB log min messages
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Per garantire una copertura adeguata dei tipi di messaggi nei log, genera un risultato se il campo
|
AlloyDB log error verbosity
Nome categoria nell'API: |
Descrizione del risultato: il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Per garantire una copertura adeguata dei tipi di messaggi nei log, genera un risultato se il campo
|
Auto backup disabled
Nome categoria nell'API: |
Descrizione del risultato: un database Cloud SQL non ha i backup automatici abilitati. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Public SQL instance
Nome categoria nell'API: |
Descrizione del risultato: un'istanza di database Cloud SQL accetta connessioni da tutti gli indirizzi IP. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SSL not enforced
Nome categoria nell'API: |
Descrizione del risultato: un'istanza di database Cloud SQL non richiede tutte le connessioni in entrata per utilizzare SSL. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL CMEK disabled
Nome categoria nell'API: |
Descrizione del risultato: un'istanza di database SQL non è criptata con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere abilitato. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla il campo
|
SQL contained database authentication
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL cross DB ownership chaining
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL external scripts enabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL local infile
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log checkpoints disabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log connections disabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log disconnections disabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log duration disabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log error verbosity
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log lock waits disabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log min duration statement enabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL log min error statement
Nome categoria nell'API: |
Descrizione del risultato: il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
SQL log min error statement severity
Nome categoria nell'API: |
Descrizione del risultato: il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il campo
|
SQL log min messages
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Per garantire una copertura adeguata dei tipi di messaggi nei log, genera un risultato se il campo
|
SQL log executor stats enabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log hostname enabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log parser stats enabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log planner stats enabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log statement
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log statement stats enabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL log temp files
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL no root password
Nome categoria nell'API: |
Descrizione del risultato: un database Cloud SQL con un indirizzo IP pubblico non dispone di una password configurata per l'account root. Questo rilevatore richiede una configurazione aggiuntiva per essere abilitato. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
SQL public IP
Nome categoria nell'API: |
Descrizione del risultato: un database Cloud SQL ha un indirizzo IP pubblico. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se il tipo di indirizzo IP di un database Cloud SQL è impostato su
|
SQL remote access enabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL skip show database disabled
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL trace flag 3625
Nome categoria nell'API: |
Descrizione del risultato:
il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL user connections configured
Nome categoria nell'API: |
Descrizione del risultato:
è stato configurato il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL user options configured
Nome categoria nell'API: |
Descrizione del risultato:
è stato configurato il flag di database Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla la proprietà
|
SQL weak root password
Nome categoria nell'API: |
Descrizione del problema: un database Cloud SQL con un indirizzo IP pubblico ha anche una password inefficace configurata per l'account root. Questo rilevatore richiede una configurazione aggiuntiva per essere abilitato. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Confronta la password dell'account root del tuo database Cloud SQL con un elenco di password comuni.
|
Risultati di vulnerabilità dello spazio di archiviazione
Le vulnerabilità di questo tipo di rilevatore sono correlate alle configurazioni dei bucket Cloud Storage e appartengono al tipoSTORAGE_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Bucket CMEK disabled
Nome categoria nell'API: |
Descrizione del risultato: un bucket non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla il campo
|
Bucket policy only disabled
Nome categoria nell'API: |
Descrizione del problema: L'accesso uniforme a livello di bucket, in precedenza denominato Solo criterio bucket, non è configurato. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Public bucket ACL
Nome categoria nell'API: |
Descrizione trovata: un bucket Cloud Storage è accessibile pubblicamente. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM di un bucket per individuare i ruoli pubblici,
|
Public log bucket
Nome categoria nell'API: |
Descrizione del risultato: un bucket di archiviazione utilizzato come sink di log è accessibile pubblicamente. Questo risultato non è disponibile per le attivazioni a livello di progetto. Livello di prezzo: Premium o Standard
Asset supportati Standard di conformità:
|
Controlla il criterio di autorizzazione IAM di un bucket per trovare le entità
|
Risultati di vulnerabilità delle subnet
Le vulnerabilità di questo tipo di rilevatore sono correlate alle configurazioni di subnet di un'organizzazione e appartengono al tipoSUBNETWORK_SCANNER
.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
Flow logs disabled
Nome categoria nell'API: |
Descrizione del risultato: esiste una subnet VPC in cui i log di flusso sono disabilitati. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
Flow logs settings not recommended
Nome categoria nell'API: |
Come trovare la descrizione: per una subnet VPC, i log di flusso VPC sono disattivati o non configurati in base ai suggerimenti di CIS Benchmark 1.3. Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva. Per le istruzioni, consulta Abilitare e disabilitare i rilevatori. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Verifica se la proprietà
|
Private Google access disabled
Nome categoria nell'API: |
Descrizione del file: Esistono subnet private che non consentono l'accesso alle API pubbliche di Google. Livello di prezzo: Premium
Asset supportati Standard di conformità:
|
Controlla se la proprietà
|
Risultati AWS
Rilevatore | Riepilogo | Impostazioni di scansione degli asset |
---|---|---|
AWS Cloud Shell Full Access Restricted
Nome categoria nell'API: |
Come trovare la descrizione: AWS CloudShell è un modo conveniente per eseguire i comandi dell'interfaccia a riga di comando sui servizi AWS; un criterio IAM gestito ("AWSCloudShellFullAccess") fornisce l'accesso completo a CloudShell, che consente il caricamento e la capacità di download di file tra il sistema locale dell'utente e l'ambiente CloudShell. Nell'ambiente CloudShell un utente dispone delle autorizzazioni sudo e può accedere a internet. Quindi è possibile installare un software per il trasferimento di file (ad esempio) e spostare i dati da CloudShell a server internet esterni. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che l'accesso ad AWSCloudShellFullAccess sia limitato
|
Access Keys Rotated Every 90 Days or Less
Nome categoria nell'API: |
Come trovare la descrizione: Le chiavi di accesso sono composte da un ID chiave di accesso e una chiave di accesso segreta, utilizzate per firmare le richieste programmatiche che effettui ad AWS. Gli utenti di AWS hanno bisogno delle proprie chiavi di accesso per effettuare chiamate programmatiche ad AWS da AWS Command Line Interface (AWS CLI), da strumenti per Windows PowerShell, dagli SDK AWS o da chiamate HTTP dirette utilizzando le API per i singoli servizi AWS. Ti consigliamo di ruotare regolarmente tutte le chiavi di accesso. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che le chiavi di accesso vengano ruotate ogni 90 giorni o meno
|
All Expired Ssl Tls Certificates Stored Aws Iam Removed
Nome categoria nell'API: |
Come trovare la descrizione: Per abilitare le connessioni HTTPS al tuo sito web o alla tua applicazione in AWS, è necessario un certificato server SSL/TLS. Puoi utilizzare ACM o IAM per archiviare i certificati del server ed eseguirne il deployment. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che tutti i certificati SSL/TLS scaduti archiviati in AWS IAM vengano rimossi
|
Autoscaling Group Elb Healthcheck Required
Nome categoria nell'API: |
Come trovare la descrizione: Questa operazione consente di verificare se i gruppi di scalabilità automatica associati a un bilanciatore del carico utilizzano controlli di integrità del bilanciamento del carico elastico. Ciò garantisce che il gruppo possa determinare l'integrità di un'istanza in base a test aggiuntivi forniti dal bilanciatore del carico. L'utilizzo dei controlli di integrità del bilanciamento del carico Elastic può contribuire a supportare la disponibilità di applicazioni che utilizzano gruppi di scalabilità automatica EC2. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i gruppi di scalabilità automatica associati a un bilanciatore del carico utilizzino controlli di integrità
|
Auto Minor Version Upgrade Feature Enabled Rds Instances
Nome categoria nell'API: |
Come trovare la descrizione: Assicurati che nelle istanze di database RDS sia abilitato il flag di upgrade automatico della versione secondaria per ricevere automaticamente upgrade secondari del motore durante il periodo di manutenzione specificato. Quindi, le istanze RDS possono ricevere le nuove funzionalità, le correzioni di bug e le patch di sicurezza per i rispettivi motori di database. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che la funzionalità di upgrade automatico della versione secondaria sia abilitata per le istanze RDS
|
Aws Config Enabled All Regions
Nome categoria nell'API: |
Come trovare la descrizione: AWS Config è un servizio web che esegue la gestione della configurazione delle risorse AWS supportate all'interno del tuo account e ti fornisce i file di log. Le informazioni registrate includono l'elemento di configurazione (risorsa AWS), le relazioni tra gli elementi di configurazione (risorse AWS) e qualsiasi modifica alla configurazione tra le risorse. Ti consigliamo di abilitare AWS Config in tutte le regioni. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che AWS Config sia abilitato in tutte le regioni
|
Aws Security Hub Enabled
Nome categoria nell'API: |
Come trovare la descrizione: Il Pannello di sicurezza raccoglie i dati di sicurezza da account e servizi AWS e prodotti di partner terzi supportati e ti aiuta ad analizzare le tendenze di sicurezza e a identificare i problemi di sicurezza con la massima priorità. Quando abiliti Security Hub, questo inizia a utilizzare, aggregare, organizzare e dare priorità ai risultati dei servizi AWS che hai abilitato, come Amazon GuardDuty, Amazon Inspector e Amazon Macie. Puoi anche abilitare le integrazioni con i prodotti di sicurezza dei partner AWS. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che AWS Security Hub sia abilitato
|
Cloudtrail Logs Encrypted Rest Using Kms Cmks
Nome categoria nell'API: |
Come trovare la descrizione: AWS CloudTrail è un servizio web che registra le chiamate API AWS per un account e rende disponibili i log a utenti e risorse in base ai criteri IAM. AWS Key Management Service (KMS) è un servizio gestito che consente di creare e controllare le chiavi di crittografia utilizzate per criptare i dati degli account e che utilizza Hardware Security Module (HSM) per proteggere la sicurezza delle chiavi di crittografia. I log di CloudTrail possono essere configurati in modo da sfruttare la crittografia lato server (SSE) e le chiavi master create dal cliente KMS (CMK) per proteggere ulteriormente i log di CloudTrail. È consigliabile configurare CloudTrail per l'utilizzo di SSE-KMS. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che i log di CloudTrail siano crittografati at-rest mediante chiavi CMK di KMS
|
Cloudtrail Log File Validation Enabled
Nome categoria nell'API: |
Come trovare la descrizione: La convalida dei file di log di CloudTrail crea un file digest con firma digitale contenente un hash di ogni log che CloudTrail scrive in S3. Questi file digest possono essere utilizzati per determinare se un file di log è stato modificato, eliminato o modificato dopo la consegna del log da parte di CloudTrail. È consigliabile abilitare la convalida dei file su tutti i CloudTrail. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che la convalida del file di log di CloudTrail sia abilitata
|
Cloudtrail Trails Integrated Cloudwatch Logs
Nome categoria nell'API: |
Come trovare la descrizione: AWS CloudTrail è un servizio web che registra le chiamate API AWS effettuate in un determinato account AWS. Le informazioni registrate includono l'identità del chiamante API, l'ora della chiamata API, l'indirizzo IP di origine del chiamante API, i parametri della richiesta e gli elementi di risposta restituiti dal servizio AWS. CloudTrail utilizza Amazon S3 per l'archiviazione e la distribuzione dei file di log, archiviando questi ultimi in modo duraturo. Oltre ad acquisire i log di CloudTrail all'interno di un bucket S3 specificato per l'analisi a lungo termine, l'analisi in tempo reale può essere eseguita configurando CloudTrail per l'invio dei log ai log di CloudWatch. Per un trail abilitato in tutte le regioni in un account, CloudTrail invia i file di log da tutte quelle regioni a un gruppo di log di CloudWatch. È consigliabile inviare i log di CloudTrail ai log di CloudWatch. Nota: lo scopo di questo suggerimento è garantire che l'attività dell'account AWS venga acquisita, monitorata e attivata in modo appropriato. CloudWatch Logs è un modo nativo per raggiungere questo obiettivo utilizzando i servizi AWS, ma non preclude l'uso di una soluzione alternativa. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che i trail di CloudTrail siano integrati con i log di CloudWatch
|
Cloudwatch Alarm Action Check
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo controlla se in Amazon Cloud Watch sono state definite azioni quando un allarme passa tra gli stati "OK", "ALARM" e "INSUFFICIENT_DATA". La configurazione delle azioni per lo stato ALARM negli allarmi di Amazon CloudWatch è molto importante per attivare una risposta immediata quando vengono monitorate le soglie di violazione delle metriche. Le sveglie prevedono almeno un'azione. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se per gli allarmi CloudWatch è abilitata almeno un'azione allarme, un'azione INSUFFICIENT_DATA o un'azione OK.
|
Cloudwatch Log Group Encrypted
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo garantisce che i log di CloudWatch siano configurati con KMS. I dati del gruppo di log sono sempre criptati nei log di CloudWatch. Per impostazione predefinita, CloudWatch Logs utilizza la crittografia lato server per i dati at-rest dei log. In alternativa, puoi utilizzare AWS Key Management Service per questa crittografia. In questo caso, la crittografia viene eseguita utilizzando una chiave KMS di AWS. La crittografia mediante KMS AWS viene abilitata a livello di gruppo di log, associando una chiave KMS a un gruppo di log, quando si crea il gruppo di log o dopo che esiste. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i gruppi di log in Amazon CloudWatch Logs siano criptati con KMS
|
CloudTrail CloudWatch Logs Enabled
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo verifica se i trail di CloudTrail sono configurati per inviare log ai log di CloudWatch. Il controllo non riesce se la proprietà CloudWatchLogsLogGroupArn del sentiero è vuota. CloudTrail registra le chiamate API AWS effettuate in un determinato account. Le informazioni registrate includono:
CloudTrail utilizza Amazon S3 per l'archiviazione e la distribuzione dei file di log. Puoi acquisire i log di CloudTrail in un bucket S3 specificato per analisi a lungo termine. Per eseguire analisi in tempo reale, puoi configurare CloudTrail per inviare i log ai log di CloudWatch. Per un trail abilitato in tutte le regioni in un account, CloudTrail invia i file di log da tutte quelle regioni a un gruppo di log di CloudWatch. Security Hub consiglia di inviare i log di CloudTrail ai log di CloudWatch. Tieni presente che questo consiglio ha lo scopo di garantire che l'attività dell'account venga rilevata, monitorata e attivata in modo appropriato. Puoi utilizzare i log di CloudWatch per configurarlo con i tuoi servizi AWS. Questo consiglio non preclude l'uso di una soluzione diversa. L'invio dei log di CloudTrail ai log di CloudWatch facilita il logging delle attività in tempo reale e storico basato su utente, API, risorsa e indirizzo IP. Puoi utilizzare questo approccio per definire allarmi e notifiche per attività anomale o sensibili dell'account. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i trail di CloudTrail siano configurati in modo da inviare i log ad AWS CloudWatch
|
No AWS Credentials in CodeBuild Project Environment Variables
Nome categoria nell'API: |
Come trovare la descrizione: Questa operazione consente di verificare se il progetto contiene le variabili di ambiente Le credenziali di autenticazione Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i progetti contenenti le variabili env AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non siano in testo non crittografato
|
Codebuild Project Source Repo Url Check
Nome categoria nell'API: |
Come trovare la descrizione: Questo valore controlla se l'URL di un repository di origine Bitbucket per il progetto AWS CodeBuild contiene token di accesso personali o un nome utente e una password. Il controllo non riesce se l'URL del repository di origine Bitbucket contiene token di accesso personali o un nome utente e una password. Le credenziali di accesso non devono essere archiviate o trasmesse in chiaro né apparire nell'URL del repository di codice sorgente. Anziché i token di accesso personale o le credenziali di accesso, devi accedere al tuo provider di origine in CodeBuild e modificare l'URL del repository di codice sorgente in modo da contenere solo il percorso della posizione del repository Bitbucket. L'utilizzo di token di accesso personali o di credenziali di accesso potrebbe comportare l'esposizione involontaria dei dati o l'accesso non autorizzato. Livello di prezzo: Enterprise Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla che tutti i progetti che usano github o bitbucket come origine utilizzino oauth
|
Credentials Unused 45 Days Greater Disabled
Nome categoria nell'API: |
Come trovare la descrizione: Gli utenti AWS IAM possono accedere alle risorse AWS utilizzando diversi tipi di credenziali, ad esempio password o chiavi di accesso. Ti consigliamo di disattivare o rimuovere tutte le credenziali non utilizzate per almeno 45 giorni. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che le credenziali non utilizzate per almeno 45 giorni siano disattivate
|
Default Security Group Vpc Restricts All Traffic
Nome categoria nell'API: |
Come trovare la descrizione: Un VPC è dotato di un gruppo di sicurezza predefinito le cui impostazioni iniziali negano tutto il traffico in entrata, consentono tutto il traffico in uscita e tutto il traffico tra le istanze assegnate al gruppo di sicurezza. Se non specifichi un gruppo di sicurezza quando avvii un'istanza, quest'ultima viene assegnata automaticamente a questo gruppo di sicurezza predefinito. I gruppi di sicurezza forniscono un filtro stateful del traffico di rete in entrata/in uscita verso le risorse AWS. È consigliabile che il gruppo di sicurezza predefinito limiti tutto il traffico. Il gruppo di sicurezza predefinito del VPC predefinito in ogni regione deve essere aggiornato in modo da renderlo conforme. I VPC appena creati conterranno automaticamente un gruppo di sicurezza predefinito che avrà bisogno di una correzione per rispettare questo suggerimento. NOTA: quando implementi questo suggerimento, il logging dei flussi VPC è inestimabile nel determinare l'accesso alle porte con privilegio minimo richiesti dai sistemi per funzionare correttamente, perché può registrare tutte le accettazioni e i rifiuti dei pacchetti che si verificano nei gruppi di sicurezza attuali. Questo riduce drasticamente l'ostacolo principale all'ingegneria privilegio minimo: la scoperta del numero minimo di porte richieste dai sistemi nell'ambiente. Anche se il suggerimento relativo al logging dei flussi VPC in questo benchmark non viene adottato come misura di sicurezza permanente, dovrebbe essere utilizzato durante qualsiasi periodo di rilevamento e progettazione per i gruppi di sicurezza con privilegi minimi. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico
|
Dms Replication Not Public
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se le istanze di replica AWS DMS sono pubbliche. Per farlo, esamina il valore del campo Un'istanza di replica privata ha un indirizzo IP privato a cui non puoi accedere al di fuori della rete di replica. Un'istanza di replica deve avere un indirizzo IP privato quando i database di origine e di destinazione si trovano nella stessa rete. La rete deve anche essere connessa al VPC dell'istanza di replica tramite VPN, AWS Direct Connect o peering VPC. Per saperne di più sulle istanze di replica pubbliche e private, consulta la sezione relativa alle istanze di replica pubbliche e private nella guida dell'utente di AWS Database Migration Service. Inoltre, devi assicurarti che l'accesso alla configurazione dell'istanza AWS DMS sia limitato solo agli utenti autorizzati. A questo scopo, limita le autorizzazioni IAM degli utenti per modificare le impostazioni e le risorse di AWS DMS. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se le istanze di replica di AWS Database Migration Service sono pubbliche
|
Do Setup Access Keys During Initial User Setup All Iam Users Console
Nome categoria nell'API: |
Come trovare la descrizione: Per impostazione predefinita, la console AWS non mostra alcuna casella di controllo selezionata durante la creazione di un nuovo utente IAM. Quando crei le credenziali utente IAM, devi determinare il tipo di accesso richiesto. Accesso programmatico: l'utente IAM potrebbe dover effettuare chiamate API, utilizzare AWS CLI o utilizzare gli strumenti per Windows PowerShell. In questo caso, crea una chiave di accesso (ID chiave di accesso e chiave di accesso segreta) per l'utente in questione. Accesso alla console di gestione AWS: se l'utente deve accedere alla console di gestione AWS, crea una password per l'utente. Livello di prezzo: Enterprise Standard di conformità:
|
Non impostare le chiavi di accesso durante la configurazione utente iniziale per tutti gli utenti IAM che dispongono di una password della console
|
Dynamodb Autoscaling Enabled
Nome categoria nell'API: |
Come trovare la descrizione: Questo controlla se una tabella Amazon DynamoDB è in grado di scalare la capacità di lettura e scrittura in base alle esigenze. Questo controllo viene superato se la tabella utilizza la modalità di capacità on demand o di cui è stato eseguito il provisioning con scalabilità automatica configurata. La capacità di scalabilità con la domanda evita le eccezioni di limitazione, il che contribuisce a mantenere la disponibilità delle applicazioni. Le tabelle DynamoDB in modalità di capacità on demand sono limitate solo dalle quote di tabella predefinite per la velocità effettiva DynamoDB. Per aumentare queste quote, puoi inviare un ticket di assistenza tramite AWS Support. Le tabelle DynamoDB in modalità di provisioning con scalabilità automatica regolano in modo dinamico la capacità di velocità effettiva sottoposta a provisioning in risposta ai modelli di traffico. Per ulteriori informazioni sulla limitazione delle richieste DynamoDB, consulta Richiedi limitazione e capacità di burst nella Guida per gli sviluppatori di Amazon DynamoDB. Livello di prezzo: Enterprise Standard di conformità:
|
Le tabelle DynamoDB devono scalare automaticamente la capacità in base alla domanda
|
Dynamodb In Backup Plan
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo valuta se una tabella DynamoDB è coperta da un piano di backup. Il controllo non riesce se una tabella DynamoDB non è coperta da un piano di backup. Questo controllo valuta solo le tabelle DynamoDB nello stato ATTIVO. I backup ti consentono di riprenderti più rapidamente da un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. L'inclusione delle tabelle DynamoDB in un piano di backup consente di proteggere i dati da perdite o eliminazioni indesiderate. Livello di prezzo: Enterprise Standard di conformità:
|
Le tabelle DynamoDB devono essere coperte da un piano di backup
|
Dynamodb Pitr Enabled
Nome categoria nell'API: |
Come trovare la descrizione: Il recupero point-in-time (PITR) è uno dei meccanismi disponibili per il backup delle tabelle DynamoDB. Un backup point-in-time viene conservato per 35 giorni. Se il tuo requisito prevede una conservazione più lunga, consulta Configurare backup pianificati per Amazon DynamoDB utilizzando AWS Backup nella documentazione di AWS. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che il recupero point-in-time (PITR) sia abilitato per tutte le tabelle AWS DynamoDB
|
Dynamodb Table Encrypted Kms
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se tutte le tabelle DynamoDB sono criptate con una chiave KMS gestita dal cliente (non predefinita). Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutte le tabelle DynamoDB siano criptate con AWS Key Management Service (KMS)
|
Ebs Optimized Instance
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se l'ottimizzazione EBS è abilitata per le istanze EC2 che possono essere ottimizzate per EBS Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che l'ottimizzazione EBS sia abilitata per tutte le istanze che la supportano
|
Ebs Snapshot Public Restorable Check
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se gli snapshot di Amazon Elastic Block Store non sono pubblici. Il controllo non riesce se gli snapshot di Amazon EBS possono essere ripristinati da chiunque. Gli snapshot EBS vengono utilizzati per eseguire il backup dei dati presenti sui volumi EBS su Amazon S3 in un momento specifico. Puoi utilizzare gli snapshot per ripristinare gli stati precedenti dei volumi EBS. Raramente è accettabile condividere un'istantanea con il pubblico. In genere la decisione di condividere pubblicamente un'istantanea è stata presa per errore o senza una completa comprensione delle implicazioni. Questo controllo garantisce che tutte queste condivisioni siano state pianificate e intenzionali. Livello di prezzo: Enterprise Standard di conformità:
|
Gli snapshot Amazon EBS non devono essere ripristinabili pubblicamente
|
Ebs Volume Encryption Enabled All Regions
Nome categoria nell'API: |
Come trovare la descrizione: Elastic Compute Cloud (EC2) supporta la crittografia at-rest quando si utilizza il servizio Elastic Block Store (EBS). Quando è disabilitata per impostazione predefinita, è supportata l'applicazione forzata della crittografia nella creazione di volumi EBS. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che la crittografia del volume EBS sia abilitata in tutte le regioni
|
Ec2 Instances In Vpc
Nome categoria nell'API: |
Come trovare la descrizione: Amazon VPC offre maggiori funzionalità di sicurezza rispetto a EC2 Classic. È consigliabile che tutti i nodi appartengano a un VPC Amazon. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che tutte le istanze appartengano a un VPC
|
Ec2 Instance No Public Ip
Nome categoria nell'API: |
Come trovare la descrizione: Le istanze EC2 con un indirizzo IP pubblico presentano un rischio maggiore di compromissione. Ti consigliamo di non configurare le istanze EC2 con un indirizzo IP pubblico. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che nessuna istanza abbia un IP pubblico
|
Ec2 Managedinstance Association Compliance Status Check
Nome categoria nell'API: |
Come trovare la descrizione: Un'associazione di State Manager è una configurazione assegnata alle tue istanze gestite. La configurazione definisce lo stato che vuoi mantenere sulle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato ed in esecuzione sulle tue istanze o che determinate porte debbano essere chiuse. Le istanze EC2 che hanno un'associazione con AWS Systems Manager sono gestite da Systems Manager, il che semplifica l'applicazione di patch, la correzione di configurazioni errate e la risposta agli eventi di sicurezza. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla lo stato di conformità dell'associazione dei gestori di sistema AWS
|
Ec2 Managedinstance Patch Compliance Status Check
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo verifica se lo stato della conformità dell'associazione di AWS Systems Manager è COMPLIANT o NON_COMPLIANT dopo l'esecuzione dell'associazione su un'istanza. Il controllo non riesce se lo stato di conformità dell'associazione è NON_COMPLIANT. Un'associazione di State Manager è una configurazione assegnata alle tue istanze gestite. La configurazione definisce lo stato che vuoi mantenere sulle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato ed in esecuzione sulle tue istanze o che determinate porte debbano essere chiuse. Dopo aver creato una o più associazioni di State Manager, le informazioni sullo stato di conformità sono immediatamente disponibili. Puoi visualizzare lo stato di conformità nella console o in risposta ai comandi AWS CLI o alle azioni corrispondenti dell'API Systems Manager. Per le associazioni, Conformità della configurazione mostra lo stato di conformità (Conforme o Non conforme). Mostra inoltre il livello di gravità assegnato all'associazione, ad esempio Critica o Media. Per saperne di più sulla conformità dell'associazione di State Manager, consulta la sezione Informazioni sulla conformità dell'associazione di State Manager nella Guida dell'utente di AWS Systems Manager. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla lo stato di conformità delle patch di AWS Systems Manager
|
Ec2 Metadata Service Allows Imdsv2
Nome categoria nell'API: |
Come trovare la descrizione: Quando abilitano il servizio metadati sulle istanze AWS EC2, gli utenti hanno la possibilità di utilizzare il servizio metadati istanza versione 1 (IMDSv1; un metodo di richiesta/risposta) o la versione 2 del servizio metadati istanza (IMDSv2; un metodo orientato alla sessione). Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che il servizio di metadati EC2 consenta solo IMDSv2
|
Ec2 Volume Inuse Check
Nome categoria nell'API: |
Come trovare la descrizione: Identificare e rimuovere i volumi Elastic Block Store (EBS) non collegati (non utilizzati) nel tuo account AWS per ridurre il costo della fattura mensile di AWS. L'eliminazione di volumi EBS inutilizzati riduce anche il rischio che dati riservati/sensibili lascino la tua sede. Inoltre, questo controllo verifica anche se le istanze EC2 archiviate sono configurate per l'eliminazione dei volumi alla terminazione. Per impostazione predefinita, le istanze EC2 sono configurate in modo da eliminare i dati in tutti i volumi EBS associati all'istanza e il volume EBS radice dell'istanza. Tuttavia, tutti i volumi EBS non principali collegati all'istanza, all'avvio o durante l'esecuzione, vengono resi persistenti dopo la terminazione per impostazione predefinita. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se i volumi EBS sono collegati alle istanze EC2 e configurati per l'eliminazione al termine dell'istanza
|
Efs Encrypted Check
Nome categoria nell'API: |
Come trovare la descrizione: Amazon EFS supporta due forme di crittografia per i file system: la crittografia dei dati in transito e la crittografia at-rest. Questo verifica che tutti i file system EFS siano configurati con crittografia at-rest in tutte le regioni abilitate nell'account. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se EFS è configurato per criptare i dati dei file utilizzando KMS
|
Efs In Backup Plan
Nome categoria nell'API: |
Come trovare la descrizione: Le best practice di Amazon consigliano di configurare i backup per i tuoi file system Elastic (EFS). In questo modo, verifica la presenza di backup abilitati in tutte le regioni EFS in ogni regione abilitata nel tuo account AWS. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se i file system EFS sono inclusi nei piani di backup AWS
|
Elb Acm Certificate Required
Nome categoria nell'API: |
Come trovare la descrizione: Verifica se il bilanciatore del carico classico utilizza certificati HTTPS/SSL forniti da AWS Certificate Manager (ACM). Il controllo non riesce se il bilanciatore del carico classico configurato con il listener HTTPS/SSL non utilizza un certificato fornito da ACM. Per creare un certificato, puoi utilizzare ACM o uno strumento che supporti i protocolli SSL e TLS, come OpenSSL. Il Pannello di sicurezza consiglia di utilizzare ACM per creare o importare certificati per il bilanciatore del carico. ACM si integra con i bilanciatori del carico classici per consentirti di eseguire il deployment del certificato sul bilanciatore del carico. Inoltre, dovresti rinnovare automaticamente questi certificati. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i bilanciatori del carico classici utilizzino i certificati SSL forniti da AWS Certificate Manager
|
Elb Deletion Protection Enabled
Nome categoria nell'API: |
Come trovare la descrizione: Verifica se per un bilanciatore del carico delle applicazioni è abilitata la protezione da eliminazione. Il controllo non riesce se la protezione da eliminazione non è configurata. Abilita la protezione da eliminazione per impedire l'eliminazione del bilanciatore del carico delle applicazioni. Livello di prezzo: Enterprise Standard di conformità:
|
La protezione dall'eliminazione del bilanciatore del carico delle applicazioni deve essere abilitata
|
Elb Logging Enabled
Nome categoria nell'API: |
Come trovare la descrizione: Questa operazione consente di verificare se il logging delle applicazioni e il bilanciatore del carico classico sono abilitati. Il controllo non riesce se access_logs.s3.enabled è falso. Elastic Load Balancing fornisce i log degli accessi che acquisiscono informazioni dettagliate sulle richieste inviate al bilanciatore del carico. Ciascun log contiene informazioni quali l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. Puoi utilizzare questi log degli accessi per analizzare i modelli di traffico e risolvere i problemi. Per saperne di più, consulta Log di accesso per il bilanciatore del carico classico nella Guida dell'utente per bilanciatori del carico classici. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se i bilanciatori del carico classici e delle applicazioni hanno la registrazione abilitata
|
Elb Tls Https Listeners Only
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo garantisce che tutti i bilanciatori del carico classici siano configurati per utilizzare comunicazioni sicure. Un listener è un processo che verifica le richieste di connessione. È configurato con un protocollo e una porta per le connessioni front-end (da client a bilanciatore del carico), un protocollo e una porta per le connessioni back-end (dal bilanciatore del carico all'istanza). Per informazioni su porte, protocolli e configurazioni di listener supportate da Elastic Load Balancing, vedi Listener per il bilanciatore del carico classico. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i bilanciatori del carico classici siano configurati con listener SSL o HTTPS
|
Encrypted Volumes
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se i volumi EBS in uno stato collegato sono criptati. Per superare questo controllo, i volumi EBS devono essere in uso e criptati. Se il volume EBS non è collegato, non è soggetto a questo controllo. Per un ulteriore livello di sicurezza dei dati sensibili nei volumi EBS, devi abilitare la crittografia at-rest di EBS. La crittografia di Amazon EBS offre una soluzione di crittografia intuitiva per le risorse EBS che non richiede la creazione, la manutenzione e la protezione della tua infrastruttura di gestione delle chiavi. Utilizza le chiavi KMS durante la creazione di volumi e snapshot criptati. Per saperne di più sulla crittografia Amazon EBS, vedi Crittografia Amazon EBS nella Guida dell'utente di Amazon EC2 per le istanze Linux. Livello di prezzo: Enterprise Standard di conformità:
|
I volumi Amazon EBS collegati devono essere criptati at-rest
|
Encryption At Rest Enabled Rds Instances
Nome categoria nell'API: |
Come trovare la descrizione: Le istanze DB criptate di Amazon RDS utilizzano l'algoritmo di crittografia AES-256 standard del settore per criptare i dati sul server che ospita le tue istanze Amazon RDS DB. Dopo la crittografia dei dati, Amazon RDS gestisce l'autenticazione dell'accesso e la decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che la crittografia at-rest sia abilitata per le istanze RDS
|
Encryption Enabled Efs File Systems
Nome categoria nell'API: |
Come trovare la descrizione: I dati EFS devono essere criptati at-rest utilizzando AWS KMS (Key Management Service). Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che la crittografia sia abilitata per i file system EFS
|
Iam Password Policy
Nome categoria nell'API: |
Come trovare la descrizione: AWS consente criteri personalizzati per le password sul tuo account AWS per specificare requisiti di complessità e periodi di rotazione obbligatori per le password degli utenti IAM. Se non imposti un criterio personalizzato per le password, le password utente IAM devono soddisfare il criterio predefinito per le password AWS. Le best practice per la sicurezza di AWS consigliano i seguenti requisiti di complessità delle password:
Questa opzione controlla tutti i requisiti specificati dei criteri relativi alle password. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se il criterio della password dell'account per gli utenti IAM soddisfa i requisiti specificati
|
Iam Password Policy Prevents Password Reuse
Nome categoria nell'API: |
Come trovare la descrizione: I criteri delle password IAM possono impedire il riutilizzo di una determinata password da parte dello stesso utente. È consigliabile che i criteri relativi alle password impediscano il riutilizzo delle password. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il criterio della password IAM impedisca il riutilizzo della password
|
Iam Password Policy Requires Minimum Length 14 Greater
Nome categoria nell'API: |
Come trovare la descrizione: I criteri relativi alle password vengono, in parte, utilizzati per applicare i requisiti di complessità delle password. È possibile utilizzare i criteri delle password IAM per garantire che le password abbiano almeno una lunghezza specifica. È consigliabile che i criteri relativi alle password richiedano una lunghezza minima delle password di 14 caratteri. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il criterio della password IAM richieda una lunghezza minima di 14 caratteri
|
Iam Policies Allow Full Administrative Privileges Attached
Nome categoria nell'API: |
Come trovare la descrizione: I criteri IAM sono i mezzi mediante i quali vengono concessi i privilegi a utenti, gruppi o ruoli. È consigliato e considerato un consiglio per la sicurezza standard di concedere il privilegio minimo, ovvero solo le autorizzazioni necessarie per eseguire un'attività. Stabilisci cosa devono fare gli utenti, quindi crea per loro criteri che consentano agli utenti di eseguire solo quelle attività, invece di concedere privilegi amministrativi completi. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che non siano collegati criteri IAM che consentono privilegi amministrativi completi "*:*"
|
Iam Users Receive Permissions Groups
Nome categoria nell'API: |
Come trovare la descrizione: Agli utenti IAM viene concesso l'accesso a servizi, funzioni e dati tramite i criteri IAM. Esistono quattro modi per definire i criteri per un utente: 1) modificare direttamente il criterio utente, ovvero un criterio in linea o utente; 2) collegare un criterio direttamente a un utente; 3) aggiungere l'utente a un gruppo IAM a cui è associato un criterio; 4) aggiungere l'utente a un gruppo IAM a cui è associato un criterio in linea. È consigliata solo la terza implementazione. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che gli utenti IAM ricevano le autorizzazioni solo tramite i gruppi
|
Iam User Group Membership Check
Nome categoria nell'API: |
Come trovare la descrizione: Gli utenti IAM devono sempre far parte di un gruppo IAM per ottemperare alle best practice per la sicurezza IAM. Aggiungendo utenti a un gruppo, è possibile condividere criteri tra tipi di utenti. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se gli utenti IAM sono membri di almeno un gruppo IAM
|
Iam User Mfa Enabled
Nome categoria nell'API: |
Come trovare la descrizione: L'autenticazione a più fattori (MFA) è una best practice che aggiunge un ulteriore livello di protezione ai nomi utente e alle password. Con MFA, quando un utente accede alla console di gestione AWS, gli viene richiesto di fornire un codice di autenticazione sensibile al fattore tempo, fornito da un dispositivo virtuale o fisico registrato. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se per gli utenti IAM AWS è abilitata l'autenticazione a più fattori (MFA)
|
Iam User Unused Credentials Check
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo consente di verificare la presenza di eventuali password IAM o chiavi di accesso attive che non sono state utilizzate negli ultimi 90 giorni. Le best practice consigliano di rimuovere, disattivare o ruotare tutte le credenziali inutilizzate per almeno 90 giorni. In questo modo si riduce la possibilità di utilizzare le credenziali associate a un account compromesso o abbandonato. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti gli utenti IAM AWS dispongano di password o chiavi di accesso attive che non sono state utilizzate in maxCredentialUsageAge giorni (il valore predefinito è 90)
|
Kms Cmk Not Scheduled For Deletion
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo verifica se è pianificata l'eliminazione delle chiavi KMS. Se è stata pianificata l'eliminazione di una chiave KMS, il controllo non riesce. Una volta eliminate, le chiavi KMS non possono essere recuperate. Anche i dati criptati in una chiave KMS non sono recuperabili definitivamente se la chiave KMS viene eliminata. Se i dati significativi sono stati criptati con una chiave KMS pianificata per l'eliminazione, valuta la possibilità di decriptarli o criptarli nuovamente con una nuova chiave KMS, a meno che tu non stia eseguendo intenzionalmente una cancellazione crittografica. Quando viene pianificata l'eliminazione di una chiave KMS, viene applicato un periodo di attesa obbligatorio per consentire il tempo necessario per annullare l'eliminazione, se pianificata per errore. Il periodo di attesa predefinito è di 30 giorni, ma può essere ridotto a un massimo di 7 giorni quando è pianificata l'eliminazione della chiave KMS. Durante il periodo di attesa, l'eliminazione pianificata può essere annullata e la chiave KMS non verrà eliminata. Per ulteriori informazioni sull'eliminazione delle chiavi KMS, consulta Eliminazione delle chiavi KMS nella Guida per gli sviluppatori di AWS Key Management Service. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che non sia pianificata l'eliminazione di tutte le CMK
|
Lambda Concurrency Check
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se la funzione Lambda è configurata con un limite di esecuzioni simultanee a livello di funzione. La regola è NON_COMPLIANT se la funzione Lambda non è configurata con un limite di esecuzioni simultanee a livello di funzione. Livello di prezzo: Enterprise Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla se le funzioni Lambda sono configurate con un limite di esecuzione simultanea a livello di funzione
|
Lambda Dlq Check
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se una funzione Lambda è configurata con una coda di messaggi non recapitabili. La regola è NON_COMPLIANT se la funzione Lambda non è configurata con una coda di messaggi non recapitabili. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se le funzioni Lambda sono configurate con una coda di messaggi non recapitabili
|
Lambda Function Public Access Prohibited
Nome categoria nell'API: |
Come trovare la descrizione: Le best practice di AWS consigliano che la funzione Lambda non sia esposta pubblicamente. Questo criterio controlla tutte le funzioni Lambda di cui è stato eseguito il deployment in tutte le regioni abilitate all'interno del tuo account e avrà esito negativo se vengono configurate o consentono l'accesso pubblico. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se il criterio collegato alla funzione Lambda vieta l'accesso pubblico
|
Lambda Inside Vpc
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se una funzione Lambda è in un VPC. Potresti visualizzare risultati non riusciti per le risorse Lambda@Edge. Non valuta la configurazione di routing della subnet VPC per determinare la connettività pubblica. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se esistono funzioni Lambda all'interno di un VPC
|
Mfa Delete Enabled S3 Buckets
Nome categoria nell'API: |
Come trovare la descrizione: Una volta abilitata l'eliminazione con autenticazione MFA nel bucket S3 sensibile e classificato, l'utente deve avere due forme di autenticazione. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che l'eliminazione con autenticazione MFA sia abilitata sui bucket S3
|
Mfa Enabled Root User Account
Nome categoria nell'API: |
Come trovare la descrizione: L'account utente "root" corrisponde all'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione oltre a nome utente e password. Con MFA abilitata, quando un utente accede a un sito web AWS, gli verrà chiesto di inserire nome utente e password, oltre a un codice di autenticazione dal proprio dispositivo AWS MFA. Nota:se per gli account "root" viene utilizzata l'MFA virtuale, è consigliabile che il dispositivo utilizzato NON sia un dispositivo personale, ma un dispositivo mobile dedicato (tablet o telefono) che possa essere mantenuto carico e protetto indipendentemente dai singoli dispositivi personali. ("MFA virtuale non personale") In questo modo si riducono i rischi di perdere l'accesso all'MFA a causa della perdita del dispositivo, della permuta del dispositivo o del fatto che il proprietario del dispositivo non sia più dipendente presso l'azienda. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che l'autenticazione MFA sia abilitata per l'account utente "root"
|
Multi Factor Authentication Mfa Enabled All Iam Users Console
Nome categoria nell'API: |
Come trovare la descrizione: L'autenticazione multi-fattore (MFA) aggiunge un ulteriore livello di garanzia dell'autenticazione oltre alle credenziali tradizionali. Con MFA abilitata, quando un utente accede alla console AWS, gli verrà richiesto il nome utente e la password, nonché un codice di autenticazione dal token MFA fisico o virtuale. Ti consigliamo di attivare l'autenticazione MFA per tutti gli account che dispongono di una password per la console. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM con una password per la console
|
No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration
Nome categoria nell'API: |
Come trovare la descrizione: La funzione Network Access Control List (NACL) fornisce un filtro stateless del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun NACL consenta l'accesso illimitato alle porte di amministrazione del server remoto, ad esempio SSH alla porta Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che nessun ACL di rete consenta il traffico in entrata da 0.0.0.0/0 alle porte di amministrazione del server remoto
|
No Root User Account Access Key Exists
Nome categoria nell'API: |
Come trovare la descrizione: L'account utente "root" corrisponde all'utente con più privilegi in un account AWS. Le chiavi di accesso AWS forniscono l'accesso programmatico a un determinato account AWS. Ti consigliamo di eliminare tutte le chiavi di accesso associate all'account utente "root". Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che non esistano chiavi di accesso all'account utente "root"
|
No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration
Nome categoria nell'API: |
Come trovare la descrizione: I gruppi di sicurezza forniscono un filtro stateful del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun gruppo di sicurezza consenta l'accesso illimitato alle porte di amministrazione del server remoto, ad esempio SSH alla porta Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che nessun gruppo di sicurezza consenta il traffico in entrata da 0.0.0.0/0 alle porte di amministrazione del server remoto
|
No Security Groups Allow Ingress 0 Remote Server Administration
Nome categoria nell'API: |
Come trovare la descrizione: I gruppi di sicurezza forniscono un filtro stateful del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun gruppo di sicurezza consenta l'accesso illimitato in entrata alle porte di amministrazione del server remoto, ad esempio SSH alla porta Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che nessun gruppo di sicurezza consenta il traffico in entrata da ::/0 alle porte di amministrazione del server remoto
|
One Active Access Key Available Any Single Iam User
Nome categoria nell'API: |
Come trovare la descrizione: Le chiavi di accesso sono credenziali a lungo termine per un utente IAM o per l'utente "root" dell'account AWS. Puoi utilizzare le chiavi di accesso per firmare richieste di pubblicità programmatica ad AWS CLI o API AWS (direttamente o utilizzando l'SDK AWS) Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che sia disponibile una sola chiave di accesso attiva per ogni singolo utente IAM
|
Public Access Given Rds Instance
Nome categoria nell'API: |
Come trovare la descrizione: Assicurati e verifica che le istanze di database RDS di cui è stato eseguito il provisioning nel tuo account AWS limitino l'accesso non autorizzato per ridurre al minimo i rischi per la sicurezza. Per limitare l'accesso a qualsiasi istanza di database RDS accessibile pubblicamente, devi disabilitare il flag del database Accessibile pubblicamente e aggiornare il gruppo di sicurezza VPC associato all'istanza. Livello di prezzo: Enterprise Standard di conformità:
|
Verifica che l'accesso pubblico non sia concesso all'istanza RDS
|
Rds Enhanced Monitoring Enabled
Nome categoria nell'API: |
Come trovare la descrizione: Il monitoraggio avanzato fornisce metriche in tempo reale sul sistema operativo su cui viene eseguita l'istanza RDS, tramite un agente installato nell'istanza. Per maggiori dettagli, consulta Monitoraggio delle metriche del sistema operativo con il monitoraggio avanzato. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se il monitoraggio avanzato è abilitato per tutte le istanze DB RDS
|
Rds Instance Deletion Protection Enabled
Nome categoria nell'API: |
Come trovare la descrizione: L'attivazione della protezione da eliminazione delle istanze è un ulteriore livello di protezione contro l'eliminazione o l'eliminazione accidentale del database da parte di un'entità non autorizzata. Se è abilitata la protezione da eliminazione, non è possibile eliminare un'istanza DB RDS. Prima che una richiesta di eliminazione possa andare a buon fine, è necessario disabilitare la protezione da eliminazione. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se per tutte le istanze RDS è abilitata la protezione da eliminazione
|
Rds In Backup Plan
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo valuta se le istanze DB di Amazon RDS sono coperte da un piano di backup. Questo controllo non riesce se un'istanza DB RDS non è coperta da un piano di backup. AWS Backup è un servizio di backup completamente gestito che centralizza e automatizza il backup dei dati in tutti i servizi AWS. Con AWS Backup puoi creare criteri di backup chiamati piani di backup. Puoi utilizzare questi piani per definire i requisiti del backup, ad esempio la frequenza con cui eseguire il backup dei dati e per quanto tempo conservarli. L'inclusione delle istanze DB RDS in un piano di backup consente di proteggere i dati da perdite o eliminazione indesiderate. Livello di prezzo: Enterprise Standard di conformità:
|
Le istanze DB di RDS devono essere coperte da un piano di backup
|
Rds Logging Enabled
Nome categoria nell'API: |
Come trovare la descrizione: Questa operazione consente di verificare se i seguenti log di Amazon RDS sono abilitati e inviati a CloudWatch. Nei database RDS devono essere abilitati i log pertinenti. Il logging dei database fornisce record dettagliati delle richieste inviate a RDS. I log del database possono aiutare con i controlli di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se i log esportati sono abilitati per tutte le istanze DB RDS
|
Rds Multi Az Support
Nome categoria nell'API: |
Come trovare la descrizione: Le istanze DB RDS devono essere configurate per più zone di disponibilità (AZ). Ciò garantisce la disponibilità dei dati archiviati. I deployment multi-AZ consentono il failover automatico in caso di problemi con la disponibilità delle zone di disponibilità e durante la normale manutenzione di RDS. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se l'alta disponibilità è abilitata per tutte le istanze DB RDS
|
Redshift Cluster Configuration Check
Nome categoria nell'API: |
Come trovare la descrizione: Questo verifica la presenza di elementi essenziali di un cluster Redshift: crittografia at-rest, logging e tipo di nodo. Questi elementi di configurazione sono importanti per la manutenzione di un cluster Redshift sicuro e osservabile. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i cluster Redshift dispongano di crittografia at-rest, logging e tipo di nodo.
|
Redshift Cluster Maintenancesettings Check
Nome categoria nell'API: |
Come trovare la descrizione: Gli upgrade automatici della versione principale vengono eseguiti in base al periodo di manutenzione Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i cluster Redshift abbiano allowVersionUpgrade abilitato e preferredMaintenanceWindow e automatedSnapshotRetentionPeriod impostati
|
Redshift Cluster Public Access Check
Nome categoria nell'API: |
Come trovare la descrizione: L'attributo PubliclyAccessible della configurazione del cluster Amazon Redshift indica se il cluster è accessibile pubblicamente. Se il cluster è configurato con PubliclyAccessible impostato su true, si tratta di un'istanza per internet con un nome DNS risolvibile pubblicamente, che si risolve in un indirizzo IP pubblico. Quando il cluster non è accessibile pubblicamente, si tratta di un'istanza interna con un nome DNS che si risolve in un indirizzo IP privato. A meno che tu non voglia che il cluster sia accessibile pubblicamente, il cluster non deve essere configurato con PubliclyAccessible impostato su true. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se i cluster Redshift sono accessibili pubblicamente
|
Restricted Common Ports
Nome categoria nell'API: |
Come trovare la descrizione: Questo valore consente di verificare se il traffico in entrata senza restrizioni per i gruppi di sicurezza è accessibile alle porte specificate che presentano il rischio più elevato. Questo controllo non riesce se una delle regole di un gruppo di sicurezza consente il traffico in entrata da "0.0.0.0/0" o "::/0" per quelle porte. L'accesso illimitato (0.0.0.0/0) aumenta le opportunità di attività dannose, come la pirateria informatica, gli attacchi denial-of-service e la perdita di dati. I gruppi di sicurezza forniscono un filtro stateful del traffico di rete in entrata e in uscita verso le risorse AWS. Nessun gruppo di sicurezza deve consentire l'accesso senza restrizioni in entrata alle seguenti porte:
Livello di prezzo: Enterprise Standard di conformità:
|
I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio
|
Restricted Ssh
Nome categoria nell'API: |
Come trovare la descrizione: I gruppi di sicurezza forniscono un filtro stateful del traffico di rete in entrata e in uscita verso le risorse AWS. Il CIS consiglia che nessun gruppo di sicurezza consenta l'accesso illimitato in entrata alla porta 22. La rimozione della connettività illimitata ai servizi della console remota, ad esempio SSH, riduce l'esposizione del server al rischio. Livello di prezzo: Enterprise Standard di conformità:
|
I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 alla porta 22
|
Rotation Customer Created Cmks Enabled
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se la rotazione automatica della chiave è abilitata per ogni chiave e corrisponde all'ID della chiave della chiave KMS AWS creata dal cliente. La regola è NON_COMPLIANT se il ruolo del registratore di configurazione AWS per una risorsa non ha l'autorizzazione kms:DescribeKey. Livello di prezzo: Enterprise Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Assicurati che sia abilitata la rotazione per le chiavi CMK create dal cliente
|
Rotation Customer Created Symmetric Cmks Enabled
Nome categoria nell'API: |
Come trovare la descrizione: AWS Key Management Service (KMS) consente ai clienti di ruotare la chiave di supporto, che è il materiale della chiave archiviato nel KMS e che è legato all'ID della chiave master del cliente (CMK) creata dal cliente. È la chiave di supporto utilizzata per eseguire operazioni crittografiche come la crittografia e la decriptazione. Attualmente la rotazione automatica della chiave conserva tutte le chiavi di supporto precedenti in modo che la decrittografia dei dati criptati possa avvenire in modo trasparente. Ti consigliamo di abilitare rotazione della chiave CMK per le chiavi simmetriche. La rotazione della chiave non può essere abilitata per una CMK asimmetrica. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che sia abilitata la rotazione per le chiavi CMK simmetriche create dal cliente
|
Routing Tables Vpc Peering Are Least Access
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se le tabelle di route per il peering VPC sono configurate con l'entità con privilegi minimi. Livello di prezzo: Enterprise Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Assicurati che le tabelle di routing per il peering VPC siano ad "accesso minimo"
|
S3 Account Level Public Access Blocks
Nome categoria nell'API: |
Come trovare la descrizione: La funzionalità Blocca accesso pubblico di Amazon S3 fornisce impostazioni per punti di accesso, bucket e account per aiutarti a gestire l'accesso pubblico alle risorse Amazon S3. Per impostazione predefinita, nuovi bucket, punti di accesso e oggetti non consentono l'accesso pubblico. Livello di prezzo: Enterprise Standard di conformità: Questa categoria di risultati non è mappata ad alcun controllo standard di conformità. |
Controlla se le impostazioni richieste di blocco dell'accesso pubblico S3 sono configurate a livello di account
|
S3 Bucket Logging Enabled
Nome categoria nell'API: |
Come trovare la descrizione: La funzionalità Registrazione degli accessi al server AWS S3 registra le richieste di accesso ai bucket di archiviazione, il che è utile per i controlli di sicurezza. Per impostazione predefinita, il logging degli accessi al server non è abilitato per i bucket S3. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se il logging è abilitato su tutti i bucket S3
|
S3 Bucket Policy Set Deny Http Requests
Nome categoria nell'API: |
Come trovare la descrizione: A livello di bucket Amazon S3, puoi configurare le autorizzazioni tramite un criterio del bucket che rende gli oggetti accessibili solo tramite HTTPS. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il criterio bucket S3 sia impostato in modo da rifiutare le richieste HTTP
|
S3 Bucket Replication Enabled
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo verifica se in un bucket Amazon S3 è abilitata la replica tra regioni. Il controllo non riesce se nel bucket non è abilitata la replica tra regioni o se è abilitata anche la replica nelle stesse regioni. La replica è la copia automatica e asincrona degli oggetti nei bucket nella stessa regione AWS o in regioni diverse. La replica copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine a uno o più bucket di destinazione. Le best practice di AWS consigliano la replica per i bucket di origine e di destinazione che appartengono allo stesso account AWS. Oltre alla disponibilità, dovresti prendere in considerazione altre impostazioni di protezione dei sistemi. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se la replica tra regioni di bucket S3 è abilitata
|
S3 Bucket Server Side Encryption Enabled
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo verifica che nel bucket S3 sia abilitata la crittografia predefinita di Amazon S3 o che il criterio del bucket S3 neghi esplicitamente le richieste put-object senza crittografia lato server. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che tutti i bucket S3 utilizzino la crittografia at-rest
|
S3 Bucket Versioning Enabled
Nome categoria nell'API: |
Come trovare la descrizione: Amazon S3 è un mezzo per mantenere più varianti di un oggetto nello stesso bucket e può aiutarti a recuperare più facilmente sia da azioni utente indesiderate che da errori delle applicazioni. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che il controllo delle versioni sia abilitato per tutti i bucket S3
|
S3 Default Encryption Kms
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se i bucket Amazon S3 sono criptati con AWS Key Management Service (AWS KMS) Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i bucket siano criptati con KMS
|
Sagemaker Notebook Instance Kms Key Configured
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se è configurata una chiave AWS Key Management Service (AWS KMS) per un'istanza di blocco note Amazon SageMaker. La regola è NON_COMPLIANT se "KmsKeyId" non è specificato per l'istanza del blocco note SageMaker. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutte le istanze di blocco note SageMaker siano configurate per utilizzare KMS
|
Sagemaker Notebook No Direct Internet Access
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se l'accesso diretto a internet è disabilitato per un'istanza di blocco note SageMaker. A questo scopo, verifica se il campo DirectInternetAccess è disabilitato per l'istanza del blocco note. Se configuri l'istanza SageMaker senza un VPC, per impostazione predefinita l'accesso diretto a internet è abilitato sull'istanza. Devi configurare l'istanza con un VPC e modificare l'impostazione predefinita in Disabilita: accedi a internet tramite un VPC. Per addestrare o ospitare modelli da un blocco note, è necessario l'accesso a internet. Per abilitare l'accesso a internet, assicurati che il VPC abbia un gateway NAT e che il gruppo di sicurezza consenta le connessioni in uscita. Per saperne di più su come connettere un'istanza di blocco note alle risorse in un VPC, consulta Connettere un'istanza di blocco note alle risorse in un VPC nella Guida per gli sviluppatori di Amazon SageMaker. Devi inoltre assicurarti che l'accesso alla configurazione di SageMaker sia limitato solo agli utenti autorizzati. Limita le autorizzazioni IAM degli utenti per modificare le impostazioni e le risorse di SageMaker. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla se l'accesso diretto a internet è disabilitato per tutte le istanze di blocco note Amazon SageMaker
|
Secretsmanager Rotation Enabled Check
Nome categoria nell'API: |
Come trovare la descrizione: Verifica se un secret archiviato in AWS Secret Manager è configurato con rotazione automatica. Il controllo non riesce se il secret non è configurato con la rotazione automatica. Se fornisci un valore personalizzato per il parametro Secret Manager ti aiuta a migliorare la strategia di sicurezza della tua organizzazione. I secret includono credenziali del database, password e chiavi API di terze parti. Puoi utilizzare Secret Manager per archiviare i secret a livello centrale, criptarli automaticamente, controllarne l'accesso e ruotare i secret in modo sicuro e automatico. Secret Manager può ruotare i secret. Puoi utilizzare la rotazione per sostituire i secret a lungo termine con altri a breve termine. La rotazione dei secret limita il periodo di tempo in cui un utente non autorizzato può utilizzare un secret compromesso. Per questo motivo, devi ruotare spesso i secret. Per saperne di più sulla rotazione, consulta Rotazione dei secret di AWS Secrets Manager nella Guida dell'utente di AWS Secrets Manager. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che la rotazione sia abilitata per tutti i secret di AWS Secrets Manager
|
Sns Encrypted Kms
Nome categoria nell'API: |
Come trovare la descrizione: Controlla se un argomento SNS è criptato at-rest mediante KMS AWS. I controlli hanno esito negativo se un argomento SNS non utilizza una chiave KMS per la crittografia lato server (SSE). La crittografia dei dati at-rest riduce il rischio che un utente non autenticato su AWS acceda a dati archiviati su disco. Inoltre, aggiunge un altro insieme di controlli dell'accesso per limitare la possibilità di utenti non autorizzati di accedere ai dati. Ad esempio, le autorizzazioni API sono necessarie per decriptare i dati prima che possano essere letti. Gli argomenti SNS devono essere criptati at-rest per un ulteriore livello di sicurezza. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti gli argomenti SNS siano criptati con KMS
|
Vpc Default Security Group Closed
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo verifica se il gruppo di sicurezza predefinito di un VPC consente il traffico in entrata o in uscita. Il controllo non riesce se il gruppo di sicurezza consente il traffico in entrata o in uscita. Le regole per il gruppo di sicurezza predefinito consentono tutto il traffico in uscita e in entrata dalle interfacce di rete (e dalle relative istanze associate) assegnate allo stesso gruppo di sicurezza. Ti consigliamo di non utilizzare il gruppo di sicurezza predefinito. Poiché il gruppo di sicurezza predefinito non può essere eliminato, devi modificare l'impostazione delle regole del gruppo di sicurezza predefinito per limitare il traffico in entrata e in uscita. In questo modo si evita il traffico indesiderato se il gruppo di sicurezza predefinito è stato configurato per errore per risorse come le istanze EC2. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico
|
Vpc Flow Logging Enabled All Vpcs
Nome categoria nell'API: |
Come trovare la descrizione: I log di flusso VPC sono una funzionalità che consente di acquisire informazioni sul traffico IP da e verso le interfacce di rete nel VPC. Dopo aver creato un log di flusso, puoi visualizzare e recuperare i relativi dati nei log di Amazon CloudWatch. È consigliabile abilitare i log di flusso VPC per i "rifiuti" dei pacchetti per i VPC. Livello di prezzo: Enterprise Standard di conformità:
|
Assicurati che il logging dei flussi VPC sia abilitato in tutti i VPC
|
Vpc Sg Open Only To Authorized Ports
Nome categoria nell'API: |
Come trovare la descrizione: Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente il traffico in entrata illimitato da porte non autorizzate. Lo stato del controllo viene determinato come segue: Se si utilizza il valore predefinito per AuthorizedTcpPorts, il controllo non riesce se il gruppo di sicurezza consente il traffico in entrata illimitato da qualsiasi porta diversa dalle porte 80 e 443. Se fornisci valori personalizzati per AuthorizedTcpPorts o AuthorizedUdpPorts, il controllo non andrà a buon fine se il gruppo di sicurezza consente il traffico in entrata illimitato da qualsiasi porta non in elenco. Se non viene utilizzato nessun parametro, il controllo non va a buon fine per tutti i gruppi di sicurezza che hanno una regola per il traffico in entrata senza limitazioni. I gruppi di sicurezza forniscono un filtro stateful del traffico di rete in entrata e in uscita verso AWS. Le regole del gruppo di sicurezza devono seguire l'entità dell'accesso con privilegi minimi. L'accesso senza restrizioni (indirizzo IP con suffisso /0) aumenta le possibilità di attività dannose come la pirateria informatica, gli attacchi denial of service e la perdita di dati. A meno che una porta non sia specificamente consentita, deve negare l'accesso illimitato. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che tutti i gruppi di sicurezza con 0.0.0.0/0 di qualsiasi VPC consentano solo traffico TCP/UDP in entrata specifico
|
Both VPC VPN Tunnels Up
Nome categoria nell'API: |
Come trovare la descrizione: Un tunnel VPN è un collegamento criptato in cui i dati possono passare dalla rete del cliente a o da AWS all'interno di una connessione VPN AWS Site-to-Site. Ogni connessione VPN include due tunnel VPN che puoi utilizzare contemporaneamente per garantire l'alta disponibilità. Verificare che entrambi i tunnel VPN siano attivi per una connessione VPN è importante per confermare una connessione sicura e ad alta disponibilità tra un VPC AWS e la tua rete remota. Questo controllo verifica che entrambi i tunnel VPN forniti da AWS Site-to-Site VPN siano in stato UP. Il controllo non riesce se lo stato di uno o entrambi i tunnel è GIÙ. Livello di prezzo: Enterprise Standard di conformità:
|
Controlla che entrambi i tunnel VPN forniti da AWS tra siti siano in stato attivo
|
Risultati di Web Security Scanner
Le analisi personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le analisi personalizzate delle applicazioni di cui è stato eseguito il deployment con URL e IP pubblici che non sono protetti da un firewall.
Categoria | Descrizione del risultato | Top 10 OWASP 2017 | Top 10 OWASP 2021 |
---|---|---|---|
Accessible Git repository
Nome categoria nell'API: |
Un repository Git è esposto pubblicamente. Per risolvere questo risultato, rimuovi
l'accesso pubblico involontario al repository GIT.
Livello di prezzo: Standard |
A5 | A01 |
Accessible SVN repository
Nome categoria nell'API: |
Un repository SVN è esposto pubblicamente. Per risolvere questo risultato, rimuovi
l'accesso pubblico involontario al repository SVN.
Livello di prezzo: Standard |
A5 | A01 |
Cacheable password input
Nome categoria nell'API: |
Le password inserite nell'applicazione web possono essere memorizzate nella cache in una normale cache del browser anziché in uno spazio di archiviazione sicuro delle password.
Livello di prezzo: Premium |
A3 | A04 |
Clear text password
Nome categoria nell'API: |
Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere questo risultato, cripta la password trasmessa attraverso la rete.
Livello di prezzo: Standard |
A3 | A02 |
Insecure allow origin ends with validation
Nome categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin . Per risolvere questo risultato, verifica che il dominio principale previsto faccia parte del valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin . Per i caratteri jolly nel sottodominio, anteponi il punto al dominio principale, ad esempio .endsWith(".google.com") .
Livello di prezzo: Premium |
A5 | A01 |
Insecure allow origin starts with validation
Nome categoria nell'API: |
Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin . Per risolvere questo risultato, verifica che il dominio previsto corrisponda completamente al valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin , ad esempio .equals(".google.com") .
Livello di prezzo: Premium |
A5 | A01 |
Invalid content type
Nome categoria nell'API: |
È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. Per risolvere questo risultato, imposta l'intestazione HTTP X-Content-Type-Options
con il valore corretto.
Livello di prezzo: Standard |
A6 | A05 |
Invalid header
Nome categoria nell'API: |
Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP.
Livello di prezzo: Standard |
A6 | A05 |
Mismatching security header values
Nome categoria nell'API: |
Un'intestazione di sicurezza contiene valori duplicati che non corrispondono, il che comporta un comportamento indefinito. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP.
Livello di prezzo: Standard |
A6 | A05 |
Misspelled security header name
Nome categoria nell'API: |
Un'intestazione di sicurezza contiene errori di ortografia e viene ignorata. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP.
Livello di prezzo: Standard |
A6 | A05 |
Mixed content
Nome categoria nell'API: |
Le risorse vengono gestite tramite HTTP in una pagina HTTPS. Per risolvere questo risultato, assicurati che tutte le risorse vengano gestite tramite HTTPS.
Livello di prezzo: Standard |
A6 | A05 |
Outdated library
Nome categoria nell'API: |
È stata rilevata una libreria con vulnerabilità note. Per risolvere il problema, esegui l'upgrade delle librerie a una versione più recente.
Livello di prezzo: Standard |
A9 | A06 |
Server side request forgery
Nome categoria nell'API: |
È stata rilevata una vulnerabilità di falsificazione di richieste lato server (SSRF). Per risolvere questo risultato, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può effettuare richieste.
Livello di prezzo: Standard |
Non applicabile | A10 |
Session ID leak
Nome categoria nell'API: |
Quando effettui una richiesta interdominio, l'applicazione web include l'identificatore di sessione dell'utente
nell'intestazione della richiesta Referer . Questa vulnerabilità consente al dominio ricevente di accedere
all'identificatore di sessione, che può essere utilizzato per impersonare o identificare in modo univoco l'utente.
Livello di prezzo: Premium |
A2 | A07 |
SQL injection
Nome categoria nell'API: |
È stata rilevata una potenziale vulnerabilità di SQL injection. Per risolvere questo risultato, utilizza le query con parametri per impedire che gli input utente influenzino la struttura della query SQL.
Livello di prezzo: Premium |
A1 | A03 |
Struts insecure deserialization
Nome categoria nell'API: |
È stato rilevato l'utilizzo di una versione vulnerabile di Apache Struts. Per risolvere questo risultato, esegui l'upgrade di Apache Struts alla versione più recente.
Livello di prezzo: Premium |
A8 | A08 |
XSS
Nome categoria nell'API: |
Un campo di questa applicazione web è vulnerabile a un attacco XSS (cross-site scripting). Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente.
Livello di prezzo: Standard |
A7 | A03 |
XSS angular callback
Nome categoria nell'API: |
Una stringa fornita dall'utente non contiene caratteri di escape e AngularJS può interpolarla. Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente gestiti dal framework Angular.
Livello di prezzo: Standard |
A7 | A03 |
XSS error
Nome categoria nell'API: |
Un campo di questa applicazione web è vulnerabile a un attacco tramite cross-site scripting. Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente.
Livello di prezzo: Standard |
A7 | A03 |
XXE reflected file leakage
Nome categoria nell'API: |
È stata rilevata una vulnerabilità da entità esterna XML (XXE). Questa vulnerabilità può causare la perdita di un file nell'host da parte dell'applicazione web. Per risolvere questo risultato, configura i parser XML in modo da non consentire le entità esterne.
Livello di prezzo: Premium |
A4 | A05 |
Prototype pollution
Nome categoria nell'API: |
L'applicazione è vulnerabile all'inquinamento del prototipo. Questa vulnerabilità si verifica quando alle proprietà
dell'oggetto Object.prototype possono essere assegnati valori controllabili da utenti malintenzionati. Si presume universalmente che i valori inseriti in questi prototipi
si trasformino in cross-site scripting (XSS) o in vulnerabilità simili lato client, nonché in bug logici.
Livello di prezzo: Standard |
A1 | A03 |
Risultati di Rapid Vulnerability Detection e relative soluzioni
Rapid Vulnerability Detection rileva le credenziali inefficaci, le installazioni di software incomplete e altre vulnerabilità critiche con un'alta probabilità di essere sfruttate. Il servizio rileva automaticamente gli endpoint di rete, i protocolli, le porte aperte, i servizi di rete e i pacchetti software installati.
I risultati di Rapid Vulnerability Detection sono avvisi tempestivi sulle vulnerabilità che ti consigliamo di risolvere immediatamente.
Per informazioni su come visualizzare i risultati, consulta Analisi dei risultati in Security Command Center.
Le scansioni di Rapid Vulnerability Detection identificano i seguenti tipi di risultati.
Tipo di risultato | Descrizione del risultato | 10 codici OWASP principali |
---|---|---|
Risultati relativi alle credenziali deboli | ||
WEAK_CREDENTIALS
|
Questo rilevatore verifica la presenza di credenziali inefficaci utilizzando i metodi di forza bruta ncrack. Servizi supportati: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Soluzione : applica criteri per password efficaci. Crea credenziali univoche per i tuoi servizi ed evita di usare parole del dizionario nelle password. |
2021 A07 2017 A2 |
Risultati dell'interfaccia esposta | ||
ELASTICSEARCH_API_EXPOSED
|
L'
API Elasticsearch consente ai chiamanti di eseguire query arbitrarie, scrivere ed eseguire script e aggiungere ulteriori documenti al servizio.
Soluzione: rimuovi l'accesso diretto all'API Elasticsearch instradando le richieste tramite un'applicazione o limita l'accesso solo agli utenti autenticati. Per maggiori informazioni, consulta Impostazioni di sicurezza in Elasticsearch. |
2021 A01, A05 2017 A5 e A6 |
EXPOSED_GRAFANA_ENDPOINT
|
In Grafana dalle versioni 8.0.0 alla versione 8.3.0, gli utenti possono accedere senza autenticazione a un endpoint con una vulnerabilità di attraversamento directory che consente a qualsiasi utente di leggere qualsiasi file sul server senza autenticazione. Per maggiori informazioni, consulta CVE-2021-43798. Soluzione: Applica la patch a Grafana o esegui l'upgrade di Grafana a una versione successiva. Per maggiori informazioni, consulta Grafana path traversal. |
2021 A06, A07 2017 A2 e A9 |
EXPOSED_METABASE
|
Le versioni da x.40.0 a x.40.4 di Metabase, una piattaforma di analisi dei dati open source, contengono una vulnerabilità nel supporto delle mappe GeoJSON personalizzate e la potenziale inclusione di file locali, comprese le variabili di ambiente. Gli URL non sono stati convalidati prima del caricamento. Per maggiori informazioni, consulta CVE-2021-41277. Soluzione: esegui l'upgrade alle release di manutenzione 0.40.5 o successive oppure 1.40.5 o successive. Per maggiori informazioni, consulta la pagina La convalida degli URL di GeoJSON può esporre i file del server e le variabili di ambiente a utenti non autorizzati. |
2021 A06 2017 A3 e A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
Questo rilevatore verifica se sono esposti gli endpoint sensibili dell'attuatore delle applicazioni
Spring Boot. Alcuni degli endpoint predefiniti, come /heapdump , potrebbero esporre informazioni sensibili. Altri endpoint, come /env , potrebbero comportare l'esecuzione di codice da remoto.
Al momento è selezionata solo /heapdump .
Soluzione: disabilita l'accesso agli endpoint dell'attuatore sensibili. Per maggiori informazioni, consulta Protezione degli endpoint HTTP. |
2021 A01, A05 2017 A5 e A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
Questo rilevatore verifica se l'
API Hadoop Yarn ResourceManager, che controlla le risorse di calcolo e archiviazione di un cluster Hadoop, è esposta e consente l'esecuzione di codice non autenticato.
Soluzione: utilizza gli controllo dell'accesso dell'accesso con l'API. |
2021 A01, A05 2017 A5 e A6 |
JAVA_JMX_RMI_EXPOSED
|
La
Java Management Extension (JMX) consente il monitoraggio e la diagnostica
da remoto per le applicazioni Java. L'esecuzione di JMX con un endpoint di chiamata di metodo remoto non protetto consente a qualsiasi utente remoto di creare un MBean javax.management.loading.MLet MBean e di utilizzarlo per creare nuovi MBean da URL arbitrari.
Soluzione: per configurare correttamente il monitoraggio remoto, vedi Monitoraggio e gestione utilizzando la tecnologia JMX. |
2021 A01, A05 2017 A5 e A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
Questo rilevatore verifica se è esposto un blocco note Jupyter non autenticato. Jupyter consente l'esecuzione di codice remoto per progettazione sulla macchina host.
Un blocco note Jupyter non autenticato mette la VM di hosting a rischio dell'esecuzione di codice remoto.
Soluzione: aggiungi l'autenticazione dei token al server di blocchi note Jupyter o utilizza versioni più recenti di blocco note Jupyter che utilizzano l'autenticazione dei token per impostazione predefinita. |
2021 A01, A05 2017 A5 e A6 |
KUBERNETES_API_EXPOSED
|
L'
API Kubernetes è esposta e accessibile da parte di chiamanti non autenticati. Ciò consente l'esecuzione di codice arbitrario sul cluster Kubernetes.
Soluzione: richiedi l'autenticazione per tutte le richieste API. Per ulteriori informazioni, consulta la guida all' autenticazione dell'API Kubernetes. |
2021 A01, A05 2017 A5 e A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
Questo rilevatore verifica se un'installazione di WordPress è stata completata. Un'installazione di WordPress non completata espone la pagina /wp-admin/install.php , che consente a un utente malintenzionato di impostare la password di amministratore e, potenzialmente, di compromettere il sistema.
Soluzione: completa l' installazione di WordPress. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
Questo rilevatore verifica la presenza di un'istanza
Jenkins non autenticata
inviando un ping del probe all'endpoint /view/all/newJob come
visitatore anonimo. Un'istanza Jenkins autenticata mostra il modulo createItem , che consente la creazione di job arbitrari che potrebbero portare all'esecuzione di codice remoto.
Soluzione: segui la guida di Jenkins sulla gestione della sicurezza per bloccare gli accessi non autenticati. |
2021 A01, A05 2017 A5 e A6 |
Risultati software vulnerabili | ||
APACHE_HTTPD_RCE
|
In Apache HTTP Server 2.4.49 è stato rilevato un difetto che consente a un utente malintenzionato di utilizzare un attacco path traversal per mappare gli URL ai file al di fuori della radice del documento prevista e di visualizzare l'origine dei file interpretati, come gli script CGI. È noto che questo problema è sfruttato in natura. Questo problema riguarda Apache 2.4.49 e 2.4.50, ma non versioni precedenti. Per ulteriori informazioni su questa vulnerabilità, consulta: Soluzione: proteggi i file al di fuori della radice del documento configurando l'istruzione "Richiedi tutti i contenuti rifiutati" in Apache HTTP Server. |
2021 A01, A06 2017 A5 e A9 |
APACHE_HTTPD_SSRF
|
Gli utenti malintenzionati possono creare un URI al server web Apache che fa sì che Soluzione: esegui l'upgrade del server HTTP Apache a una versione successiva. |
2021 A06 e A10 2017 A9 |
CONSUL_RCE
|
Gli utenti malintenzionati possono eseguire codice arbitrario su un server Consul perché l'istanza Consul è configurata con
Dopo il controllo, Rapid Vulnerability Detection esegue la pulizia e annulla la registrazione del servizio utilizzando l'endpoint REST Soluzione: imposta allow-script-checks su |
2021 A05, A06 2017 A6 e A9 |
DRUID_RCE
|
Apache Druid include la possibilità di eseguire codice JavaScript fornito dall'utente incorporato in vari tipi di richieste. Questa funzionalità è destinata all'utilizzo in ambienti ad alta attendibilità ed è disabilitata per impostazione predefinita. Tuttavia, in Druid 0.20.0 e versioni precedenti, è possibile che un utente autenticato invii una richiesta creata appositamente che costringa Druid a eseguire il codice JavaScript fornito dall'utente per quella richiesta, indipendentemente dalla configurazione del server. Può essere sfruttato per eseguire il codice sulla macchina di destinazione con i privilegi del processo del server Druid. Per maggiori informazioni, consulta Dettagli CVE-2021-25646. Soluzione: esegui l'upgrade di Apache Druid alla versione successiva. |
2021 A05, A06 2017 A6 e A9 |
DRUPAL_RCE
Questa categoria include due vulnerabilità in Drupal. Più risultati di questo tipo possono indicare più di una vulnerabilità. |
Le versioni
Dupal precedenti alla 7.58, 8.x prima della 8.3.9, 8.4.x precedenti alla 8.4.6 e 8.5.x precedenti alla 8.5.1 sono vulnerabili all'esecuzione di codice remoto su richieste AJAX dell'API Form.
Soluzione: esegui l'upgrade a versioni alternative di Drupal. |
2021 A06 2017 A9 |
Le versioni 8.5.x di
Dupal precedenti alla 8.5.11 e 8.6.x precedenti alla 8.6.10 sono vulnerabili all'esecuzione di codice remoto quando sono abilitati il modulo del servizio web RESTful o JSON:API. Questa vulnerabilità può essere sfruttata da un utente malintenzionato non autenticato che utilizza una richiesta POST personalizzata.
Soluzione: esegui l'upgrade a versioni alternative di Drupal. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Una vulnerabilità presente nelle versioni 1.11.0, 1.11.1 e 1.11.2 di
Apache Flink consente agli utenti malintenzionati di leggere qualsiasi file nel file system locale di JobManager tramite l'interfaccia REST del processo JobManager. L'accesso è limitato ai file accessibili dal processo JobManager.
Soluzione: se le tue istanze Flink sono esposte, esegui l'upgrade a Flink 1.11.3 o 1.12.0. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
Nelle versioni GitLab Community Edition (CE) ed Enterprise Edition (EE) 11.9 e successive, GitLab non convalida correttamente i file immagine trasmessi a un parser di file. Un utente malintenzionato può sfruttare questa vulnerabilità per l'esecuzione del comando da remoto. Soluzione: esegui l'upgrade a GitLab CE o EE release 13.10.3, 13.9.6 e 13.8.8 o successive. Per maggiori informazioni, consulta Azione richiesta dai clienti autogestiti in risposta a CVE-2021-22205. |
2021 A06 2017 A9 |
GoCD_RCE
|
In GoCD 21.2.0 e versioni precedenti, è presente un endpoint a cui è possibile accedere senza autenticazione. Questo endpoint ha una vulnerabilità di attraversamento directory che consente a un utente di leggere qualsiasi file sul server senza autenticazione. Soluzione: esegui l'upgrade alla versione 21.3.0 o successive. Per maggiori informazioni, consulta le note di rilascio di GoCD 21.3.0. |
2021 A06, A07 2017 A2 e A9 |
JENKINS_RCE
|
Le versioni di
Jenkins 2.56 e precedenti, 2.46.1 LTS e precedenti sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere attivata da un utente malintenzionato non autenticato che utilizza un oggetto Java serializzato dannoso.
Soluzione: installa una versione alternativa di Jenkins. |
2021 A06, A08 2017 A8 e A9 |
JOOMLA_RCE
Questa categoria include due vulnerabilità in Joomla. Più risultati di questo tipo possono indicare più di una vulnerabilità. |
Le versioni di
Joomla 1.5.x, 2.x e 3.x precedenti alla 3.4.6 sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere attivata con un'intestazione
creata contenente oggetti PHP serializzati.
Soluzione: installa una versione alternativa di Joomla. |
2021 A06, A08 2017 A8 e A9 |
Le versioni da 3.0.0 a 3.4.6 di
Joomla sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere attivata inviando una richiesta POST contenente
un oggetto PHP serializzato creato.
Soluzione: installa una versione alternativa di Joomla. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
In Apache Log4j2 2.14.1 e versioni precedenti, le funzionalità JNDI utilizzate in configurazioni, messaggi di log e parametri non proteggono da LDAP controllati da utenti malintenzionati e altri endpoint correlati a JNDI. Per maggiori informazioni, consulta CVE-2021-44228. Soluzione: per informazioni sulla risoluzione, consulta Vulnerabilità di sicurezza di Apache Log4j. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
MantisBT tramite
la versione 2.3.0 consente la reimpostazione arbitraria della password e l'accesso amministrativo
non autenticato fornendo un valore confirm_hash vuoto a
verify.php .
Soluzione: aggiorna MantisBT a una versione più recente o segui le istruzioni di Mantis per applicare una correzione di sicurezza critica. |
2021 A06 2017 A9 |
OGNL_RCE
|
Le istanze Server di Confluence e Data Center contengono una vulnerabilità OGNL injection che consente a un utente malintenzionato non autenticato di eseguire codice arbitrario. Per maggiori informazioni, consulta CVE-2021-26084. Soluzione: per informazioni sulla correzione, consulta Confluence Server Webwork OGNL injection - CVE-2021-26084. |
2021 A03 2017 A1 |
OPENAM_RCE
|
I server OpenAM 14.6.2 e precedenti e i server ForgeRock 6.5.3 e versioni precedenti presentano una vulnerabilità di deserializzazione Java nel parametro Soluzione: esegui l'upgrade a una versione più recente. Per informazioni sulla correzione di ForgeRock, consulta AM Security Advisory #202104. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità, incluse le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità facilmente sfruttabile consente a un utente malintenzionato non autenticato con accesso alla rete tramite HTTP di compromettere Oracle WebLogic Server. Gli attacchi riusciti di questa vulnerabilità possono comportare il rilevamento di Oracle WebLogic Server. Per maggiori informazioni, consulta CVE-2020-14882. Soluzione: per informazioni sulle patch, consulta Avviso sull'aggiornamento delle patch critiche di Oracle - Ottobre 2020. |
2021 A06, A07 2017 A2 e A9 |
PHPUNIT_RCE
|
Le versioni
PHPUnit precedenti alla 5.6.3 consentono l'esecuzione di codice remoto con una
singola richiesta POST non autenticata.
Soluzione: esegui l'upgrade alle versioni più recenti di PHPUnit. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
Le versioni
PHP precedenti alla 5.3.12 e le versioni 5.4.x precedenti alla 5.4.2, se configurate come script CGI, consentono l'esecuzione di codice remoto. Il codice vulnerabile non gestisce correttamente le stringhe di query prive di un carattere = (uguale al segno). In questo modo i malintenzionati possono aggiungere opzioni della riga di comando che vengono eseguite sul server.
Soluzione: installa una versione PHP alternativa. |
2021 A05, A06 2017 A6 e A9 |
PORTAL_RCE
|
La deserializzazione dei dati non attendibili nelle versioni di
Liferay Portal precedenti alla 7.2.1 CE GA2 consente a utenti malintenzionati remoti
di eseguire codice arbitrario tramite i servizi web JSON.
Soluzione: esegui l'upgrade alle versioni più recenti del Liferay Portal. |
2021 A06, A08 2017 A8 e A9 |
REDIS_RCE
|
Se un'istanza Redis non richiede l'autenticazione per eseguire i comandi di amministrazione, i malintenzionati potrebbero essere in grado di eseguire un codice arbitrario. Soluzione: configura Redis in modo che richieda l'autenticazione. |
2021 A01, A05 2017 A5 e A6 |
SOLR_FILE_EXPOSED
|
L'autenticazione non è abilitata in Apache Solr, un server di ricerca open source. Quando Apache Solr non richiede l'autenticazione, un utente malintenzionato può creare direttamente una richiesta per abilitare una configurazione specifica e, infine, implementare una contraffazione di richieste lato server (SSRF) o leggere file arbitrari. Soluzione: esegui l'upgrade a versioni alternative di Apache Solr. |
2021 A07 e A10 2017 A2 |
SOLR_RCE
|
Le versioni
5.0.0 di Apache Solr e Apache Solr 8.3.1 sono vulnerabili all'esecuzione di codice remoto tramite VelocityResponseWriter se params.resource.loader.enabled è impostato su true . In questo modo gli utenti malintenzionati possono creare un parametro che contiene un modello Velocity dannoso.
Soluzione: esegui l'upgrade a versioni alternative di Apache Solr. |
2021 A06 2017 A9 |
STRUTS_RCE
Questa categoria include tre vulnerabilità in Apache Struts. Più risultati di questo tipo possono indicare più di una vulnerabilità. |
Le versioni di
Apache Struts precedenti alla 2.3.32 e 2.5.x prima della 2.5.10.1 sono
vulnerabili all'esecuzione di codice remoto. La vulnerabilità può essere attivata da un utente malintenzionato non autenticato che fornisce un'intestazione Content-Type creata.
Soluzione: installa una versione alternativa di Apache Struts. |
2021 A06 2017 A9 |
Il
plug-in REST nelle versioni da 2.1.1 a 2.3.x di Apache Struts precedenti alla 2.3.34 e 2.5.x prima della 2.5.13 sono vulnerabili all'esecuzione di codice remoto durante la deserializzazione dei payload XML creati.
Soluzione: installa una versione alternativa di Apache Struts. |
2021 A06, A08 2017 A8 e A9 |
|
Le versioni da 2.3 a 2.3.34 e da 2.5 a 2.5.16 di
Apache Struts sono vulnerabili all'esecuzione di codice remoto quando alwaysSelectFullNamespace è impostato su true ed esistono determinate altre configurazioni di azioni.
Soluzione: installa la versione 2.3.35 o 2.5.17. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Apache Tomcat versioni 9.x prima della 9.0.31, 8.x prima della 8.5.51, 7.x prima della
7.0.100 e tutte le versioni 6.x sono vulnerabili alla divulgazione del codice sorgente e della configurazione
tramite un connettore Apache JServ esposto. In alcuni casi, viene utilizzato per eseguire l'esecuzione di codice remoto se è consentito il caricamento di file.
Soluzione: esegui l'upgrade a versioni alternative di Apache Tomcat. |
2021 A06 2017 A3 e A9 |
VBULLETIN_RCE
|
I server
vBulletin che eseguono le versioni dalla 5.0.0 alla 5.5.4 sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere sfruttata da un utente malintenzionato non autenticato che utilizza un parametro di query in una richiesta routestring .
Soluzione: esegui l'upgrade a versioni alternative di VMware vCenter Server. |
2021 A03 e A06 2017 A1 e A9 |
VCENTER_RCE
|
VMware vCenter Server 7.x prima della 7.0 U1c, 6.7 prima della 6.7 U3l
e 6.5 prima della 6.5 U3n sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere attivata da un utente malintenzionato che carica un file Java Server Pages creato in una directory accessibile dal web e attiva l'esecuzione di tale file.
Soluzione: esegui l'upgrade a versioni alternative di VMware vCenter Server. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità di esecuzione di codice remoto, incluse le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità è correlata a CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Per maggiori informazioni, consulta CVE-2020-14883. Soluzione: per informazioni sulle patch, consulta Avviso sull'aggiornamento delle patch critiche di Oracle - Ottobre 2020. |
2021 A06, A07 2017 A2 e A9 |
Risultati del motore per suggerimenti IAM
Nella tabella seguente sono elencati i risultati di Security Command Center generati dal motore per suggerimenti IAM.
Ogni risultato del motore per suggerimenti IAM contiene suggerimenti specifici per rimuovere o sostituire un ruolo che include autorizzazioni eccessive da un'entità nel tuo ambiente Google Cloud.
I risultati generati dal motore per suggerimenti IAM corrispondono ai suggerimenti visualizzati nella console Google Cloud nella pagina IAM del progetto, della cartella o dell'organizzazione interessati.
Per ulteriori informazioni sull'integrazione del motore per suggerimenti IAM con Security Command Center, consulta Origini di sicurezza.
Rilevatore | Riepilogo |
---|---|
IAM role has excessive permissions
Nome categoria nell'API: |
Descrizione da trovare: il motore per suggerimenti IAM ha rilevato un account di servizio con uno o più ruoli IAM che concedono autorizzazioni eccessive all'account utente. Livello di prezzo: Premium Asset supportati:
Correggi questo risultato :Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi:
Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato impostandolo su |
Service agent role replaced with basic role
Nome categoria nell'API: |
Ricerca della descrizione: il motore per suggerimenti IAM ha rilevato che il ruolo IAM predefinito originale concesso a un agente di servizio è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Livello di prezzo: Premium Asset supportati:
Correggi questo risultato :Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi:
Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato impostandolo su |
Service agent granted basic role
Nome categoria nell'API: |
Ricerca della descrizione: il motore per suggerimenti IAM ha rilevato in IAM che a un agente di servizio è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Livello di prezzo: Premium Asset supportati:
Correggi questo risultato :Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi:
Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato impostandolo su |
Unused IAM role
Nome categoria nell'API: |
Come trovare la descrizione: il motore per suggerimenti IAM ha rilevato un account utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Livello di prezzo: Premium Asset supportati:
Correggi questo risultato :Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi:
Una volta risolto il problema, il motore per suggerimenti IAM aggiorna lo stato del risultato impostandolo su |
Risultati del servizio Security posture
Nella tabella seguente sono elencati i risultati di Security Command Center generati dal servizio della postura di sicurezza.
Ogni risultato del servizio della postura di sicurezza identifica un'istanza di deviazione dalla postura di sicurezza definita.
Risultato | Riepilogo |
---|---|
SHA Canned Module Drifted
Nome categoria nell'API: |
Descrizione dello stato di sicurezza: il servizio della postura di sicurezza ha rilevato una modifica a un rilevatore di Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium
Correggi questo risultato :Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le impostazioni del rilevatore nella tua postura corrispondano al tuo ambiente. Sono disponibili due opzioni per risolvere questo risultato: aggiornare il rilevatore di Security Health Analytics oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il rilevatore di Security Health Analytics nella console Google Cloud. Per le istruzioni, vedi Attivare e disattivare i rilevatori. Per accettare la modifica, completa i seguenti passaggi:
|
SHA Custom Module Drifted
Nome categoria nell'API: |
Descrizione dello stato di sicurezza:il servizio della postura di sicurezza ha rilevato una modifica in un modulo personalizzato di Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato :Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le impostazioni del modulo personalizzato nella tua postura e nel tuo ambiente corrispondano. Sono disponibili due opzioni per risolvere questo risultato: aggiornare il modulo personalizzato Security Health Analytics oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il modulo personalizzato Security Health Analytics nella console Google Cloud. Per le istruzioni, consulta Aggiornare un modulo personalizzato. Per accettare la modifica, completa i seguenti passaggi:
|
SHA Custom Module Deleted
Nome categoria nell'API: |
Descrizione dello stato di sicurezza: il servizio della postura di sicurezza ha rilevato che un modulo personalizzato di Security Health Analytics è stato eliminato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato :Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le impostazioni del modulo personalizzato nella tua postura e nel tuo ambiente corrispondano. Sono disponibili due opzioni per risolvere questo risultato: aggiornare il modulo personalizzato Security Health Analytics oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il modulo personalizzato Security Health Analytics nella console Google Cloud. Per le istruzioni, consulta Aggiornare un modulo personalizzato. Per accettare la modifica, completa i seguenti passaggi:
|
Org Policy Canned Constraint Drifted
Nome categoria nell'API: |
Descrizione della postura: il servizio della postura di sicurezza ha rilevato una modifica a un criterio dell'organizzazione che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato :Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le definizioni dei criteri dell'organizzazione nella tua postura e nel tuo ambiente corrispondano. Sono disponibili due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, vedi Creazione e modifica dei criteri. Per accettare la modifica, completa i seguenti passaggi:
|
Org Policy Canned Constraint Deleted
Nome categoria nell'API: |
Descrizione del risultato: il servizio della postura di sicurezza ha rilevato che un criterio dell'organizzazione è stato eliminato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato :Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le definizioni dei criteri dell'organizzazione nella tua postura e nel tuo ambiente corrispondano. Sono disponibili due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione nella console Google Cloud. Per le istruzioni, vedi Creazione e modifica dei criteri. Per accettare la modifica, completa i seguenti passaggi:
|
Org Policy Custom Constraint Drifted
Nome categoria nell'API: |
Descrizione della postura di sicurezza: il servizio della postura di sicurezza ha rilevato una modifica a un criterio dell'organizzazione personalizzato che si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato :Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le definizioni dei criteri personalizzati dell'organizzazione nella tua postura e nel tuo ambiente corrispondano. Sono disponibili due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione personalizzato oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione personalizzato nella console Google Cloud. Per le istruzioni, consulta Aggiornare un vincolo personalizzato. Per accettare la modifica, completa i seguenti passaggi:
|
Org Policy Custom Constraint Deleted
Nome categoria nell'API: |
Descrizione in corso: Il servizio della postura di sicurezza ha rilevato che è stato eliminato un criterio dell'organizzazione personalizzato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura. Livello di prezzo: Premium Correggi questo risultato :Questo risultato richiede che accetti la modifica o ripristini la modifica in modo che le definizioni dei criteri personalizzati dell'organizzazione nella tua postura e nel tuo ambiente corrispondano. Sono disponibili due opzioni per risolvere questo risultato: puoi aggiornare il criterio dell'organizzazione personalizzato oppure aggiornare il deployment della postura e della postura. Per ripristinare la modifica, aggiorna il criterio dell'organizzazione personalizzato nella console Google Cloud. Per le istruzioni, consulta Aggiornare un vincolo personalizzato. Per accettare la modifica, completa i seguenti passaggi:
|
VM Manager
VM Manager è una suite di strumenti utilizzabili per gestire sistemi operativi per grandi parchi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.
Se abiliti VM Manager con Security Command Center Premium a livello di organizzazione, VM Manager scrive i risultati dei suoi report sulle vulnerabilità, che sono in anteprima, in Security Command Center. I report identificano le vulnerabilità nei sistemi operativi installati sulle VM, tra cui Vulnerabilità ed esposizioni comuni (CVE).
Per utilizzare VM Manager con attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione padre.
I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.
I risultati semplificano il processo di utilizzo della funzionalità di conformità alle patch di VM Manager, che è in anteprima. La funzionalità consente di eseguire la gestione delle patch a livello di organizzazione per tutti i progetti.
La gravità dei risultati di vulnerabilità ricevuti da VM Manager è sempre CRITICAL
o HIGH
.
Risultati di VM Manager
Tutte le vulnerabilità di questo tipo sono correlate ai pacchetti del sistema operativo installati nelle VM di Compute Engine supportate.
Rilevatore | Riepilogo | Impostazioni di scansione degli asset | Standard di conformità |
---|---|---|---|
OS vulnerability
Nome categoria nell'API: |
Descrizione originale: VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo installato per una VM di Compute Engine. Livello di prezzo: Premium
Asset supportati |
I report sulle vulnerabilità di VM Manager illustrano in dettaglio le vulnerabilità nei pacchetti del sistema operativo installati per le VM di Compute Engine, incluse le Vulnerabilità ed esposizioni comuni (CVE). Per un elenco completo dei sistemi operativi supportati, consulta Dettagli del sistema operativo.I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati come segue:
|
Correzione dei risultati di VM Manager
Un risultato OS_VULNERABILITY
indica che VM Manager ha trovato una vulnerabilità nei pacchetti del sistema operativo installati in una VM di Compute Engine.
Per risolvere il problema:
Vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona l'organizzazione o il progetto Google Cloud.
Nella sottosezione Categoria di Filtri rapidi, seleziona Vulnerabilità del sistema operativo. I risultati della query dei risultati vengono filtrati per mostrare solo i risultati relativi alle vulnerabilità del sistema operativo.
Nella colonna Categoria dell'elenco Risultati query dei risultati, fai clic sul nome della categoria del risultato che stai correggendo. Si apre la pagina dei dettagli della vulnerabilità del sistema operativo.
Fai clic sulla scheda JSON. Viene visualizzato il codice JSON per questo risultato.
Copia il valore del campo
externalUri
. Questo valore è l'URI della pagina Informazioni sul sistema operativo dell'istanza VM di Compute Engine in cui è installato il sistema operativo vulnerabile.Applica tutte le patch appropriate per il sistema operativo mostrato nella sezione Informazioni di base. Per istruzioni sul deployment delle patch, consulta Creare job di applicazione patch.
impostazioni di analisi e sugli asset supportati di questo tipo di risultato.
Scopri di più sulleEsamina i risultati nella console Google Cloud
Usa la procedura seguente per esaminare i risultati nella console Google Cloud:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Se necessario, seleziona l'organizzazione o il progetto Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona VM Manager.
La tabella viene compilata con i risultati di VM Manager.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato sotto
Category
. Il riquadro dei dettagli del risultato si apre e mostra la scheda Riepilogo.Nella scheda Riepilogo, esamina le informazioni sul risultato, comprese quelle su ciò che è stato rilevato, la risorsa interessata e altro ancora.
Per informazioni sulla correzione dei risultati di VM Manager, consulta Correzione dei risultati di VM Manager.
Disattiva i risultati di VM Manager
Potresti voler nascondere alcuni o tutti i risultati di VM Manager in Security Command Center se non sono pertinenti ai tuoi requisiti di sicurezza.
Puoi nascondere i risultati di VM Manager creando una regola di disattivazione e aggiungendo attributi di query specifici per i risultati di VM Manager che vuoi nascondere.
Per creare una regola di disattivazione per VM Manager utilizzando la console Google Cloud:
Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona l'organizzazione o il progetto Google Cloud.
Fai clic su Opzioni di disattivazione, poi seleziona Crea regola di disattivazione.
Inserisci un ID regola di disattivazione. Questo valore è obbligatorio.
Inserisci una descrizione della regola di disattivazione che fornisca il contesto sul motivo per cui i risultati vengono disattivati. Questo valore è facoltativo, ma consigliato.
Conferma l'ambito della regola di disattivazione controllando il valore Risorsa padre.
Nel campo Query risultati, crea le istruzioni di query facendo clic su Aggiungi filtro. In alternativa, puoi digitare le istruzioni di query manualmente.
- Nella finestra di dialogo Seleziona filtro, seleziona Ricerca > Nome visualizzato dell'origine > VM Manager.
- Fai clic su Applica.
Ripeti finché la query di disattivazione non contiene tutti gli attributi che vuoi nascondere.
Ad esempio, se vuoi nascondere ID CVE specifici nei risultati di vulnerabilità di VM Manager, seleziona Vulnerabilità > ID CVE, quindi seleziona gli ID CVE che vuoi nascondere.
La query dei risultati è simile alla seguente:
Fai clic su Visualizza l'anteprima dei risultati corrispondenti.
Una tabella mostra i risultati che corrispondono alla tua query.
Fai clic su Salva.
Sensitive Data Protection
Questa sezione descrive i risultati di vulnerabilità generati da Sensitive Data Protection, gli standard di conformità supportati e come risolvere i problemi riscontrati.
Sensitive Data Protection invia anche i risultati osservabili a Security Command Center. Per maggiori informazioni sui risultati dell'osservazione e sulla protezione dei dati sensibili, consulta Sensitive Data Protection.
Per informazioni su come visualizzare i risultati, consulta Esaminare i risultati di Sensitive Data Protection nella console Google Cloud.
Il servizio di rilevamento di Sensitive Data Protection consente di determinare se le variabili di ambiente di Cloud Functions contengono secret, come password, token di autenticazione e credenziali Google Cloud. Per un elenco completo dei tipi di secret rilevati da Sensitive Data Protection in questa funzionalità, vedi Credenziali e secret.
Tipo di risultato | Descrizione del risultato | Standard di conformità |
---|---|---|
Secrets in environment variables Nome della categoria nell'API: SECRETS_IN_ENVIRONMENT_VARIABLES
|
Questo rilevatore verifica la presenza di secret nelle variabili di ambiente di Cloud Functions.
Soluzione: rimuovi il secret dalla variabile di ambiente e archivialo in Secret Manager. |
CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1,18 |
Per abilitare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection.
Policy Controller
Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i cluster Kubernetes registrati come membri del parco risorse. Questi criteri fungono da barriere e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse.
In questa pagina non sono elencati tutti i singoli risultati di Policy Controller, ma le informazioni sui risultati della classe Misconfiguration
che Policy Controller scrive in Security Command Center corrispondono alle violazioni dei cluster documentate per ogni bundle di Policy Controller. La documentazione per i singoli tipi di rilevamento di Policy Controller è disponibile nei seguenti bundle di Policy Controller:
- CIS Kubernetes Benchmark v1.5.1, un insieme di suggerimenti per la configurazione di Kubernetes al fine di supportare una solida strategia di sicurezza. Puoi anche visualizzare informazioni su questo bundle nel
repository GitHub per
cis-k8s-v1.5.1
. - PCI-DSS v3.2.1,
un bundle che valuta la conformità delle risorse del cluster rispetto ad alcuni aspetti dello standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1.
Puoi anche visualizzare informazioni su questo bundle nel
repository GitHub per
pci-dss-v3
.
Questa funzionalità non è compatibile con i perimetri di servizio dei Controlli di servizio VPC intorno all'API Stackdriver.
Ricerca e correzione dei risultati di Policy Controller
Le categorie di Policy Controller corrispondono ai nomi dei vincoli elencati nella documentazione dei bundle di Policy Controller. Ad esempio, un risultato di require-namespace-network-policies
indica che uno spazio dei nomi viola il criterio secondo cui ogni spazio dei nomi in un cluster ha un NetworkPolicy
.
Per correggere un risultato, segui questi passaggi:
Vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona l'organizzazione o il progetto Google Cloud.
Nella sottosezione Categoria di Filtri rapidi, seleziona il nome del Policy Controller trovato da correggere. I risultati della query Risultati vengono filtrati per mostrare solo i risultati per quella categoria.
Nella colonna Categoria dell'elenco Risultati query dei risultati, fai clic sul nome della categoria del risultato che stai correggendo. Si apre la pagina dei dettagli del risultato.
Nella scheda Riepilogo, esamina le informazioni sul risultato, comprese quelle su ciò che è stato rilevato, la risorsa interessata e altro ancora.
Nell'intestazione Passaggi successivi, esamina le informazioni su come risolvere il problema, inclusi i link alla documentazione di Kubernetes sul problema.
Passaggi successivi
- Scopri come utilizzare Security Health Analytics.
- Scopri come utilizzare Web Security Scanner.
- Scopri come utilizzare Rapid Vulnerability Detection.
- Leggi i suggerimenti per correggere i risultati di Security Health Analytics e correggere i risultati di Web Security Scanner.